本发明专利技术涉及一种基于WEB网站的程序漏洞扫描方法及系统,在由系统管理模块、漏洞库管理模块、漏洞扫描模块、外部链接模块、结果展示模块组成的系统中;其扫描方法为:1)把配置好的参数信息保存在指定数据库内;2)建立root用户和一般用户账户用于登录,并设定需要扫描的目标网站链接保存到指定数据库;3)搜集并整理出所有漏洞类型,通过root用户账户登录后根据漏洞类型建立漏洞库,漏洞库中包括漏洞脚本及漏洞标号;4)使用漏洞库中的漏洞脚本检查目标网站链接中的漏洞,并调用对应漏洞标号,扫描出网站程序漏洞。本发明专利技术的方法扫描方法一次配置后就不需要再次运行,可以随时随地远程对网站程序安全扫描。
【技术实现步骤摘要】
【专利摘要】本专利技术涉及一种基于WEB网站的程序漏洞扫描方法及系统,在由系统管理模块、漏洞库管理模块、漏洞扫描模块、外部链接模块、结果展示模块组成的系统中;其扫描方法为:1)把配置好的参数信息保存在指定数据库内;2)建立root用户和一般用户账户用于登录,并设定需要扫描的目标网站链接保存到指定数据库;3)搜集并整理出所有漏洞类型,通过root用户账户登录后根据漏洞类型建立漏洞库,漏洞库中包括漏洞脚本及漏洞标号;4)使用漏洞库中的漏洞脚本检查目标网站链接中的漏洞,并调用对应漏洞标号,扫描出网站程序漏洞。本专利技术的方法扫描方法一次配置后就不需要再次运行,可以随时随地远程对网站程序安全扫描。【专利说明】基于web的网站程序漏洞扫描方法及扫描装置
本专利技术涉及一种基于WEB网站的程序漏洞扫描方法及装置,属于信息安全领域。
技术介绍
随着各种各样的WEB应用(网上银行、电子商务、个人空间、云存储等)不断进入人们的生活,如果这些WEB应用存在不安全隐患,那么个人信息、甚至是WEB站点系统都会面临安全风险。根据统计,目前80%的网络攻击行为都是通过WEB来进行的。对于通常的WEB管理员来说,基于安全的管理占用大量的工作的时间,因为对WEB应用的安全性进行手工测试和审计是一项复杂且耗时的工作,不仅需要极大的耐心还需要专业的技术经验。自动化的漏洞扫描技术能够大幅简化对于安全隐患的检测工作,有助于WEB管理员减轻工作负担。公知的网站程序漏洞扫描装置都是由C++,cbphi开发,在客户机上面工作。如中国专利,WEB漏洞扫描装置,ZL201120011885.7的专利申请,提供了一种WEB漏洞扫描装置,包括输入设备、扫描主机和输出设备,扫描主机包括与CUP连接的存储器、运算器和FPGA加速卡,FPGA加速卡通过PCI接口与CPU相连。该WEB漏洞扫描装置速度快、性能高、兼容性好、体积小。但是当需要对网站程序扫描时,需要在安装有扫描器的客户机上操作控制,因此,信息安全工程师扫描网站需要长期等待,多次运行,还需要选择客户机系统环境,配置环境来扫描网站。而现有的WEB安全自动扫描技术,主要由2大核心模块,分别是URL (Uniform/Universal Resource Locator,统一资源定位符)的提取模块和漏洞检测模块。方法主要是对于某一个待检测站点,首先通过URL提取模块,获取到整个网站的连接URL,然后使用漏洞检测模块对每一有效URL进行漏 洞的检测和确认,在漏洞检测和确认中,需要对各个漏洞类型都进行检测:最后所有网站链接和类型都检测和确认完毕,系统会输出一份WEB安全扫描的检测报告。漏洞的检测和确认是WEB扫描技术中最复杂和耗时的部分,而现有技术中的网站的每个有效的URL不加选择进行每种漏洞的扫描类型遍历的检测,导致扫描效率低下、耗时过长。特别在对大站点海量数据扫描的时候问题更加突出。比如中国专利一种对WEB安全进行自动化检测的系统和方法,申请号:201010124176.x,公开的一种检测方法包括:URL提取分析;网站挂马检测;WEB应用程序漏洞检测;系统漏洞检测、生成检测报告。主要从网站挂马检测、WEB应用程序漏洞检测、系统漏洞检测三个方面全面、系统地对WEB安全进行检测。中国专利申请,一种WEB站点漏洞扫描方法和装置,申请号:201210586173.7公开的方法包括:获取待检测网站的测试对象集合中的目标测试对象,所述目标测试对象包括目标URL和所述目标URL指向的页面;提取所述目标测试对象中待测漏洞的漏洞特征,并根据所述漏洞特征生成待测漏洞特征向量;计算阈值的待测漏洞标准向量和所述待测漏洞特征向量之间的相似度;当所述相似度小于预置的阈值时。不会所述目标测试对象进行检测索索待检测漏洞的操作。综上,在现有技术中漏洞检测的方法基于URL及漏洞检测,网站程序漏洞扫描器都是由C++,dephi开发,在客户机上面工作,而且在进行WEB漏洞检测时,需要在待检测的客户机上安装漏洞检测装置,扫描网站需要长期等待,多次运行,还需要选择客户机系统环境,配置环境来扫描网站。
技术实现思路
本专利技术为了解决上述的技术问题供了一种基于WEB的网站程序漏洞扫描方法及扫描装置,使用跨平台开源语言java编写的爬虫技术,将目标网站的链接去重复后保存在数据库,然后使用漏洞库的脚本检查网站链接是否存在漏洞,如果存在漏洞,则调用对应的公共信息漏洞库的编号的漏洞描述与解决方式,整理成为文档,提供给信息安全工程师查看。本专利技术的技术方案如下:一种基于WEB网站的程序漏洞扫描方法,其步骤为:I)配置参数信息,并把配置好的参数信息保存在指定数据库内;2)建立root用户和一般用户账户用于登录,并设定需要扫描的目标网站链接保存到所述指定数据库;3)搜集并整理出漏洞网站,通过root用户账户登录到数据库后根据所述漏洞网站建立漏洞库,所述漏洞库中包括漏洞脚本及漏洞标号;4)使用所述漏洞库中的漏洞脚本检查所述目标网站链接是否存在漏洞,若存在漏洞,则调用对应漏洞标号,扫描出网站程序漏洞。更进一步,所述指定数据库为MYSQL数据库或SQL Server数据库。更进一步,所述root用户账户在数据库中进行用户帐号添加、删除、修改。更进一步,所述目标网站链接通过MD5/MD4运算去重后保存。更进一步,所述搜集方法包括以下的一种或者多种方法:1)通过国内国际安全软件场商定期发布的漏洞;2)通过搜集主流操作系统产家与大的评测支构提供的漏洞;3)人工挖掘并按要求要求实时更新。更进一步,所述漏洞标号根据搜集到的漏洞增加到漏洞库中。更进一步,所述脚本包括:JS脚本,sh.bat脚本。更进一步,根据所述一般用户账户配置需要扫描的目标网站链接、需要扫描网站程序漏洞类型以及扫描时间段。更进一步,所述网站程序漏洞类型包括:操作系统漏洞,Web服务器漏洞,数据库服务器漏洞更进一步,本专利技术还提出一种基于WEB网站的程序漏洞扫描装置,包括:系统管理模块、漏洞库管理模块、漏洞扫描模块、外部链接模块、结果展示模块;所述系统管理模块通过计算机与漏洞库管理模块连接设置好参数信息,并把配置参数信息保存在数据库内;所述漏洞扫描模块通过网络与外部链接模块连接,设定需要扫描的网站、进行用户帐号添加,删除,修改;同时将目标网站的链接去重复后建立漏洞库;使用漏洞库中的脚本检查网站链接是否存在漏洞;所述结果展示模块作为输出。所述系统管理模块,使用java开发,能在不同的操作系统平台上使用。用于管理扫描装置中的登录用户与系统的基本设设置。用户可以用root登录到用户管理部分可以进行用户帐号添加,删除,修改。root用户可以进行用户帐号添加,删除,修改。使用普通用户登录时用户只能进行基本设置,只包括修改密码等。所述漏洞库管理模块,主要是管理已经收集到的漏洞信息。对已有的漏洞信息进行增加,删除,修改等。此模块只能用root用户管理,即系统管理员用户管理。所述漏洞扫描模块,用户以普通用户进入系统后,配置需要扫描的网站需要扫描的漏洞类型,并将配置信息保存在数据库内。配置信息包括:扫描的网站链接,和扫描时间段,漏洞类型包括:操作系统漏洞,Web服务器漏洞,数据库服务器漏洞。所述外部链接模块,普通用户进入系统后,管理本文档来自技高网...
【技术保护点】
一种基于WEB网站的程序漏洞扫描方法,其步骤为:1)配置参数信息并保存在指定数据库内;2)建立root用户和一般用户账户用于登录,设定需要扫描的目标网站链接并保存到所述指定数据库;3)搜集并整理出所有漏洞类型,通过root用户账户登录后根据所述漏洞类型建立漏洞库,所述漏洞库中包括漏洞脚本及漏洞标号;4)在一般用户账户登录时,使用所述漏洞库中的漏洞脚本检查所述目标网站链接中的漏洞,调用对应漏洞标号,扫描出程序漏洞。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴雄辉,
申请(专利权)人:北京锐安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。