【技术实现步骤摘要】
本专利技术涉及安全检测领域,尤其涉及一种Web站点漏洞扫描方法和装置。
技术介绍
随着各种各样的Web应用(网上银行、电子商务、个人空间、云存储等)不断进入人们的生活,如果这些Web应用存在不安全隐患,那么个人信息、甚至是Web站点系统都会面临安全风险。据统计,目前75%的网络攻击行为都是通过Web来进行的。对于通常的Web管理人员来说,基于安全的管理占用大量工作时间,因为对Web应用的安全性进行手工测试和审计是一项复杂且耗时的工作,不仅需要极大的耐心还需要专业的技术经验。自动化的漏洞扫描技术能够大幅简化对于安全隐患的检测工作,有助于Web管理人员将精力转向如何处理安全风险上来。现有的Web安全自动扫描技术,主要有2大核心模块,分别是URL (Uniform/Universal Resource Locator,统一资源定位符,简称URL)的提取模块和漏洞检测模块。主要流程是对于某一待检测站点,首先通过URL提取模块,获取到整个网站的链接URL,然后使用漏洞检测模块对每一有效URL进行漏洞的检测和确认工作,在漏洞检测和确认中,需要对各种漏洞类型都进行检测;最后所...
【技术保护点】
一种Web站点的漏洞扫描方法,其特征在于,包括:获取待测网站的测试对象集合中的目标测试对象,所述目标测试对象包括目标URL统一资源定位符和所述目标URL指向的页面;提取所述目标测试对象中待测漏洞的漏洞特征,并根据所述漏洞特征生成待测漏洞特征向量;计算预置的待测漏洞标准向量与所述待测漏洞特征向量之间的相似度;当所述相似度小于预置的阈值时,不对所述目标测试对象进行检测所述待测漏洞的操作。
【技术特征摘要】
1.一种Web站点的漏洞扫描方法,其特征在于,包括: 获取待测网站的测试对象集合中的目标测试对象,所述目标测试对象包括目标URL统一资源定位符和所述目标URL指向的页面; 提取所述目标测试对象中待测漏洞的漏洞特征,并根据所述漏洞特征生成待测漏洞特征向量; 计算预置的待测漏洞标准向量与所述待测漏洞特征向量之间的相似度; 当所述相似度小于预置的阈值时,不对所述目标测试对象进行检测所述待测漏洞的操作。2.如权利要求1所述的方法,其特征在于,所述获取待测网站的测试对象集合中的目标测试对象之前包括: 将所述待测网站域名与预置的经验种子库中的种子拼接生成组合URL集合; 将所述组合URL集合和所述待测网站导航页面中包括的URL加入到种子URL集合中;将根据所述种子URL集合提取到的所述待测网站每一个URL和对应的页面保存至所述测试对象集合。3.如权利要求2所述的方法,其特征在于,还包括: 将所述测试对象集合中的URL加入到所述预置的经验种子库中。4.如权利要求1-3任一项所述的方法,其特征在于,还包括: 根据预置的样本网站采用矢量空间模型VSM方法计算所述待测漏洞标准向量。5.如权利要求4所述的方法,其特征在于,所述根据预置的样本网站采用矢量空间模型VSM计算所述待测漏洞标准向量具体包括: 获取所述样本网站的测试对象集合中的所述待测漏洞的样本特征向量; 确定所述样本特征向量中各个向量的权重; 根据所述权重和所述样本特征向量计算出所述待测漏洞的待测漏洞标准向量。6.如权利要求5任一项所述的方法,其特征在于,所述计算预置的待测漏洞标准向量与所述待测漏洞特征向量之间的相似度包括: 计算所述预置的待测漏洞向量和待测漏洞特征向量的夹角的余弦值作为二者之间的相似度。7.—种Web站点的...
【专利技术属性】
技术研发人员:赵剑辉,宋探,陈福军,云朋,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。