一种网站安全扫描方法及装置制造方法及图纸

本发明专利技术提供了一种网站安全扫描方法，包括：API服务器向用户发布网站安全扫描服务接口；收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务；本发明专利技术还提供一种网站安全扫描装置。根据本发明专利技术提供的技术方案，能够提高网站安全扫描的效率，节约本地的设备资源。

【技术实现步骤摘要】
一种网站安全扫描方法及装置【
】本专利技术涉及互联网领域的安全测试技术，尤其涉及一种网站安全扫描方法及装置。【
技术介绍
】目前，对网站进行安全扫描主要包括以下两种方法:第一种方法是通过专门的安全测试人员，对网站进行安全扫描实现的。安全扫描过程中，安全测试人员需要利用抓包工具通过手工点击录制的方式得到网站的链接列表，然后针对链接列表中的每个链接构造扫描事件，最终实现网站的安全扫描；第二种方法是安全测试人员利用一些安全扫描工具对网站进行安全扫描。对于第一种方法，由于对网站进行安全扫描依赖于安全测试人员的手工操作，需要等待安全测试人员排期进行扫描，且需要进行大量的手工操作，因此网站安全扫描效率很低。对于第二种方法，由于安全测试人员利用安全扫描工具对网站进行安全扫描时，需要在本地安装安全扫描所需要的所有程序，因此将占用较多的设备资源。【
技术实现思路
】本专利技术提供了一种网站安全扫描方法及装置，能够提高网站安全扫描的效率，节约本地的设备资源。本专利技术的具体技术方案如下:本专利技术提供一种网站安全扫描方法，应用程序编程接口 API服务器向用户发布网站安全扫描服务接口 ；还包括:`收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务。上述方法中，该方法还包括:收到用户的令牌请求时，API服务器向用户提供令牌，并将令牌存储在所述后台资源的后台数据库中；所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌；在所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务之前还包括:所述后台数据库查询所述用户的令牌是否有效，如果是，继续执行所述根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务的步骤。上述方法中，所述API服务器向用户发布网站安全扫描服务接口为:设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规贝U，所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系；API服务器将所述网页地址组成的URL集合提供给用户。上述方法中，所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接□。上述方法中，当API服务器收到用户调用申请令牌接口的请求时，调用后台资源中的后台数据库并判断所述用户是否已经申请令牌，并在所述用户还没有申请令牌时，向所述用户邮箱发送令牌激活邮件；API服务器收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时，激活令牌并将激活的令牌发送给所述用户。上述方法中，当所述API服务器收到用户调用启动扫描接口的请求时，如果正在运行的扫描任务中没有所述被测系统的扫描任务时，触发后台资源中的后台服务器启动对被测系统进行的扫描任务。上述方法中，当所述API服务器收到用户调用获取扫描进度信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息，并将所述进度信息返回给用户。上述方法中，当所述API服务器收到用户调用获取实时信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息，并将所述漏洞信息返回给用户。上述方法中，当所述API服务器收到用户调用停止扫描接口的请求时，调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。上述方法中，当所述API服务器收到用户调用获取扫描结果接口的请求时，调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果，将所述扫描结果返回给用户。本专利技术还提供一种网站安全扫描装置，位于API服务器中，包括:接口发布单元、请求处理单元；其中，接口发布单元，用于向用户发布网站安全扫描服务接口 ；请求处理单元，用于收到用户调用网站安全扫描服务接口的请求时，根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务。上述装置中，所述请求处理单元，还用于收到用户的令牌请求时，向用户提供令牌，并将令牌存储在所述后台资源的后台数据库中；所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌；所述后台数据库查询所述用户的令牌是否有效，如果是，请求处理单元还用于继续执行所述根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务的步骤。上述装置中，所述接口发布单元具体用于，设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则，所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系；API服务器将所述网页地址组成的URL集合提供给用户。上述装置中，所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接□。上述装置中，所述请求处理单元具体用于，当收到用户调用申请令牌接口的请求时，调用后台资源中的后台数据库并判断所述用户是否已经申请令牌，并在所述用户还没有申请令牌时，向所述用户邮箱发送令牌激活邮件；收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时，激活令牌并将激活的令牌发送给所述用户。上述装置中，所述请求处理单元具体用于，当收到用户调用启动扫描接口的请求时，如果正在运行的扫描任务中没有所述被测系统的扫描任务时，触发后台资源中的后台服务器启动对被测系统进行的扫描任务。上述装置中，所述请求处理单元具体用于，当收到用户调用获取扫描进度信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息，并将所述进度信息返回给用户。上述装置中，所述请求处理单元具体用于，当收到用户调用获取实时信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息，并将所述漏洞信息返回给用户。上述装置中，所述请求处理单元具体用于，当收到用户调用停止扫描接口的请求时，调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。上述装置中，所述请求处理单元具体用于，当收到用户调用获取扫描结果接口的请求时，调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果，将所述扫描结果返回给用户。由以上技术方案可以看出，本专利技术根据用户的请求实现对网站安全的自动扫描，因而不再需要专门的安全测试人员排期对网站进行安全扫描，能够提高网站安全扫描效率；而且，本专利技术通过用户请求API服务器的方式，在网络侧统一实现被测网站的安全扫描，用户不需要在本地设备中安装任何安全扫描工具，就可以实现网站安全扫描，因此能够节约本地的设备资源。【【附图说明】】`图1是本专利技术实现网站安全扫描方法的优选实施例的流程示意图；图2是本专利技术步骤103的具体实现方法的优选实施例的流程示意图；图3是本专利技术实现网站安全扫描系统的优选实施例的结构示意图；图4是本专利技术实现网站安全扫描装置的优选实施例的结构示意图。【【具体实施方式】】本专利技术的基本思想是:API服务器向用户发布网站安全扫描服务接口 ；收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务。为了使本专利技术本文档来自技高网...

【技术保护点】
一种网站安全扫描方法，其特征在于，应用程序编程接口API服务器向用户发布网站安全扫描服务接口；该方法还包括：收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务。

【技术特征摘要】
1.一种网站安全扫描方法，其特征在于，应用程序编程接口 API服务器向用户发布网站安全扫描服务接口 ；该方法还包括: 收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规贝U，调用后台资源对被测系统进行对应的安全扫描服务。2.根据权利要求1所述的方法，其特征在于，该方法还包括:收到用户的令牌请求时，API服务器向用户提供令牌，并将令牌存储在所述后台资源的后台数据库中； 所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌； 在所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务之前还包括:所述后台数据库查询所述用户的令牌是否有效，如果是，继续执行所述根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务的步骤。3.根据权利要求1所述的方法，其特征在于，所述API服务器向用户发布网站安全扫描服务接口为: 设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则，所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系；API服务器将所述网页地址组成的URL集合提供给用户。4.根据权利要求1所述的方法，其特征在于，所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结 果接口。5.根据权利要求4所述的方法，其特征在于，当API服务器收到用户调用申请令牌接口的请求时，调用后台资源中的后台数据库并判断所述用户是否已经申请令牌，并在所述用户还没有申请令牌时，向所述用户邮箱发送令牌激活邮件； API服务器收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时，激活令牌并将激活的令牌发送给所述用户。6.根据权利要求4所述的方法，其特征在于，当所述API服务器收到用户调用启动扫描接口的请求时，如果正在运行的扫描任务中没有所述被测系统的扫描任务时，触发后台资源中的后台服务器启动对被测系统进行的扫描任务。7.根据权利要求4所述的方法，其特征在于，当所述API服务器收到用户调用获取扫描进度信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息，并将所述进度信息返回给用户。8.根据权利要求4所述的方法，其特征在于，当所述API服务器收到用户调用获取实时信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息，并将所述漏洞信息返回给用户。9.根据权利要求4所述的方法，其特征在于，当所述API服务器收到用户调用停止扫描接口的请求时，调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。10.根据权利要求4所述的系统，其特征在于，当所述API服务器收到用户调用获取扫描结果接口的请求时，调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果，将所述扫描结果返回给用户。11.一...

【专利技术属性】
技术研发人员：练坤梅，王丹，
申请(专利权)人：百度在线网络技术北京有限公司，
类型：发明
国别省市：