亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于web的網站程序漏洞掃描方法及掃描裝置制造方法

文檔序號:6515999閱讀:349來源:國知局
基于web的網站程序漏洞掃描方法及掃描裝置制造方法
【專利摘要】本發(fā)明涉及一種基于WEB網站的程序漏洞掃描方法及系統(tǒng),在由系統(tǒng)管理模塊、漏洞庫管理模塊、漏洞掃描模塊、外部鏈接模塊、結果展示模塊組成的系統(tǒng)中;其掃描方法為:1)把配置好的參數信息保存在指定數據庫內;2)建立root用戶和一般用戶賬戶用于登錄,并設定需要掃描的目標網站鏈接保存到指定數據庫;3)搜集并整理出所有漏洞類型,通過root用戶賬戶登錄后根據漏洞類型建立漏洞庫,漏洞庫中包括漏洞腳本及漏洞標號;4)使用漏洞庫中的漏洞腳本檢查目標網站鏈接中的漏洞,并調用對應漏洞標號,掃描出網站程序漏洞。本發(fā)明的方法掃描方法一次配置后就不需要再次運行,可以隨時隨地遠程對網站程序安全掃描。
【專利說明】基于web的網站程序漏洞掃描方法及掃描裝置【技術領域】
[0001]本發(fā)明涉及一種基于WEB網站的程序漏洞掃描方法及裝置,屬于信息安全領域?!颈尘凹夹g】
[0002]隨著各種各樣的WEB應用(網上銀行、電子商務、個人空間、云存儲等)不斷進入人們的生活,如果這些WEB應用存在不安全隱患,那么個人信息、甚至是WEB站點系統(tǒng)都會面臨安全風險。根據統(tǒng)計,目前80%的網絡攻擊行為都是通過WEB來進行的。
[0003]對于通常的WEB管理員來說,基于安全的管理占用大量的工作的時間,因為對WEB應用的安全性進行手工測試和審計是一項復雜且耗時的工作,不僅需要極大的耐心還需要專業(yè)的技術經驗。自動化的漏洞掃描技術能夠大幅簡化對于安全隱患的檢測工作,有助于WEB管理員減輕工作負擔。
[0004]公知的網站程序漏洞掃描裝置都是由C++,cbphi開發(fā),在客戶機上面工作。如中國專利,WEB漏洞掃描裝置,ZL201120011885.7的專利申請,提供了一種WEB漏洞掃描裝置,包括輸入設備、掃描主機和輸出設備,掃描主機包括與CUP連接的存儲器、運算器和FPGA加速卡,F(xiàn)PGA加速卡通過PCI接口與CPU相連。該WEB漏洞掃描裝置速度快、性能高、兼容性好、體積小。但是當需要對網站程序掃描時,需要在安裝有掃描器的客戶機上操作控制,因此,信息安全工程師掃描網站需要長期等待,多次運行,還需要選擇客戶機系統(tǒng)環(huán)境,配置環(huán)境來掃描網站。
[0005]而現(xiàn)有的WEB安全自動掃描技術,主要由2大核心模塊,分別是URL (Uniform/Universal Resource Locator,統(tǒng)一資源定位符)的提取模塊和漏洞檢測模塊。方法主要是對于某一個待檢測站點,首先通過URL提取模塊,獲取到整個網站的連接URL,然后使用漏洞檢測模塊對每一有效URL進行漏 洞的檢測和確認,在漏洞檢測和確認中,需要對各個漏洞類型都進行檢測:最后所有網站鏈接和類型都檢測和確認完畢,系統(tǒng)會輸出一份WEB安全掃描的檢測報告。漏洞的檢測和確認是WEB掃描技術中最復雜和耗時的部分,而現(xiàn)有技術中的網站的每個有效的URL不加選擇進行每種漏洞的掃描類型遍歷的檢測,導致掃描效率低下、耗時過長。特別在對大站點海量數據掃描的時候問題更加突出。
[0006]比如中國專利一種對WEB安全進行自動化檢測的系統(tǒng)和方法,申請?zhí)?201010124176.x,公開的一種檢測方法包括:URL提取分析;網站掛馬檢測;WEB應用程序漏洞檢測;系統(tǒng)漏洞檢測、生成檢測報告。主要從網站掛馬檢測、WEB應用程序漏洞檢測、系統(tǒng)漏洞檢測三個方面全面、系統(tǒng)地對WEB安全進行檢測。
[0007]中國專利申請,一種WEB站點漏洞掃描方法和裝置,申請?zhí)?201210586173.7公開的方法包括:獲取待檢測網站的測試對象集合中的目標測試對象,所述目標測試對象包括目標URL和所述目標URL指向的頁面;提取所述目標測試對象中待測漏洞的漏洞特征,并根據所述漏洞特征生成待測漏洞特征向量;計算閾值的待測漏洞標準向量和所述待測漏洞特征向量之間的相似度;當所述相似度小于預置的閾值時。不會所述目標測試對象進行檢測索索待檢測漏洞的操作。[0008]綜上,在現(xiàn)有技術中漏洞檢測的方法基于URL及漏洞檢測,網站程序漏洞掃描器都是由C++,dephi開發(fā),在客戶機上面工作,而且在進行WEB漏洞檢測時,需要在待檢測的客戶機上安裝漏洞檢測裝置,掃描網站需要長期等待,多次運行,還需要選擇客戶機系統(tǒng)環(huán)境,配置環(huán)境來掃描網站。

【發(fā)明內容】

[0009]本發(fā)明為了解決上述的技術問題供了一種基于WEB的網站程序漏洞掃描方法及掃描裝置,使用跨平臺開源語言java編寫的爬蟲技術,將目標網站的鏈接去重復后保存在數據庫,然后使用漏洞庫的腳本檢查網站鏈接是否存在漏洞,如果存在漏洞,則調用對應的公共信息漏洞庫的編號的漏洞描述與解決方式,整理成為文檔,提供給信息安全工程師查看。
[0010]本發(fā)明的技術方案如下:一種基于WEB網站的程序漏洞掃描方法,其步驟為:
[0011]I)配置參數信息,并把配置好的參數信息保存在指定數據庫內;
[0012]2)建立root用戶和一般用戶賬戶用于登錄,并設定需要掃描的目標網站鏈接保存到所述指定數據庫;
[0013]3)搜集并整理出漏洞網站,通過root用戶賬戶登錄到數據庫后根據所述漏洞網站建立漏洞庫,所述漏洞庫中包括漏洞腳本及漏洞標號;
[0014]4)使用所述漏洞庫中的漏洞腳本檢查所述目標網站鏈接是否存在漏洞,若存在漏洞,則調用對應漏洞標號,掃描出網站程序漏洞。
[0015]更進一步,所述指定數據庫為MYSQL數據庫或SQL Server數據庫。
[0016]更進一步,所述root用戶賬戶在數據庫中進行用戶帳號添加、刪除、修改。
[0017]更進一步,所述目標網站鏈接通過MD5/MD4運算去重后保存。
[0018]更進一步,所述搜集方法包括以下的一種或者多種方法:1)通過國內國際安全軟件場商定期發(fā)布的漏洞;2)通過搜集主流操作系統(tǒng)產家與大的評測支構提供的漏洞;3)人工挖掘并按要求要求實時更新。
[0019]更進一步,所述漏洞標號根據搜集到的漏洞增加到漏洞庫中。
[0020]更進一步,所述腳本包括:JS腳本,sh.bat腳本。
[0021]更進一步,根據所述一般用戶賬戶配置需要掃描的目標網站鏈接、需要掃描網站程序漏洞類型以及掃描時間段。
[0022]更進一步,所述網站程序漏洞類型包括:操作系統(tǒng)漏洞,Web服務器漏洞,數據庫服務器漏洞
[0023]更進一步,本發(fā)明還提出一種基于WEB網站的程序漏洞掃描裝置,包括:系統(tǒng)管理模塊、漏洞庫管理模塊、漏洞掃描模塊、外部鏈接模塊、結果展示模塊;所述系統(tǒng)管理模塊通過計算機與漏洞庫管理模塊連接設置好參數信息,并把配置參數信息保存在數據庫內;所述漏洞掃描模塊通過網絡與外部鏈接模塊連接,設定需要掃描的網站、進行用戶帳號添加,刪除,修改;同時將目標網站的鏈接去重復后建立漏洞庫;使用漏洞庫中的腳本檢查網站鏈接是否存在漏洞;所述結果展示模塊作為輸出。
[0024]所述系統(tǒng)管理模塊,使用java開發(fā),能在不同的操作系統(tǒng)平臺上使用。用于管理掃描裝置中的登錄用戶與系統(tǒng)的基本設設置。用戶可以用root登錄到用戶管理部分可以進行用戶帳號添加,刪除,修改。root用戶可以進行用戶帳號添加,刪除,修改。使用普通用戶登錄時用戶只能進行基本設置,只包括修改密碼等。
[0025]所述漏洞庫管理模塊,主要是管理已經收集到的漏洞信息。對已有的漏洞信息進行增加,刪除,修改等。此模塊只能用root用戶管理,即系統(tǒng)管理員用戶管理。
[0026]所述漏洞掃描模塊,用戶以普通用戶進入系統(tǒng)后,配置需要掃描的網站需要掃描的漏洞類型,并將配置信息保存在數據庫內。配置信息包括:掃描的網站鏈接,和掃描時間段,漏洞類型包括:操作系統(tǒng)漏洞,Web服務器漏洞,數據庫服務器漏洞。
[0027]所述外部鏈接模塊,普通用戶進入系統(tǒng)后,管理員對需要掃描網站鏈接。此處是后臺默認執(zhí)行。
[0028]所述結果展示模塊,在掃描完成后,根據數據庫內驗證結果,對驗證結果進行格式化信息處理,并將格式轉換為用戶可視的格式。格式化的目標是將獲掃描器獲取的信息,一般為漏洞號或一個簡短的說明,將此類信息歸納和整理后輸出為word、txet等文本形式的文檔,以便信息安全工程師查看。
[0029]本發(fā)明的有益效果:
[0030]本發(fā)明會根據配置信息對以漏洞庫管理為對比依據對網站進行相應配置信息的獲取,并且將獲取的信息進行去重復等優(yōu)化處理。漏洞掃描方法一次配置后就不需要再次運行,信息安全工程師可以隨時隨地遠程對網站進行安全掃描。漏洞掃描裝置相比與現(xiàn)有的裝置,現(xiàn)有方式必須將漏洞掃描器安裝到需要掃描的客戶機上,本發(fā)明提出的漏洞掃描裝置可安裝到任意機器通過網絡實現(xiàn)遠程掃描,而且脫離操作系統(tǒng)的限制。
【專利附圖】

【附圖說明】
[0031]圖1為基于WEB網站的程序漏洞掃描方法的流程示意圖。
[0032]圖2為基于WEB網站的程序漏洞掃描裝置的各個模塊示意圖。
[0033]圖3為基于WEB網站的程序漏洞掃描方法的一實施例中掃描流程示意圖。
【具體實施方式】
[0034]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,可以理解的是,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領域技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0035]如圖1所示是基于WEB網站的程序漏洞掃描方法的流程示意圖,具體步驟如下:
[0036]步驟一,設置好參數信息,并把配置參數信息保存在數據庫內;所述數據庫為MYSQL數據庫、SQL Server數據庫等,所述數據庫的類型并不受限于本發(fā)明的技術方案,故在本發(fā)明實施例中不限制。參數信息包括:數據保存天數,系統(tǒng)操作日志存儲目錄等基本數據參數,本領域技術人員清楚地明白應該如何設置參數。
[0037]步驟二,使用root用戶和/或普通用戶登錄,進行如下操作:設定需要掃描的網站、進行用戶帳號添加,刪除,修改;同時將目標網站的鏈接去重復,去重操作是以網站鏈接進行一次MD5/MD4運算后,通過比對MD5/MD4值,如果MD5/MD4值相同就視為重復,然后去除。后保存在數據庫,此處所指的數據庫是Mysql數據庫。所述去重運算對本領域技術人員而言可以是多種,本發(fā)明實施例中不限制。
[0038]建立漏洞庫,所述漏洞庫的建立是通過的root用戶登錄后,通過搜集整理網站漏洞后將其存入Mysql或SQL Server數據庫中。
[0039]搜集方法包括但不限于以下的一種或者多種方法:一,通過國內國際安全軟件廠商定期發(fā)布的漏洞;二,通過收集主流操作系統(tǒng)產家與大的評測支構提供的漏洞;三,有專人負責挖掘和發(fā)現(xiàn);四,要求實時更新。
[0040]在所述漏洞數據庫中包括腳本以及漏洞的標號。所述漏洞標號根據搜集到的漏洞增加到漏洞庫中;腳本包括:js,sh.bat等常見腳本。
[0041]步驟三,使用漏洞庫中的腳本檢查網站鏈接是否存在漏洞,若存在漏洞,則調用對應的公共信息漏洞庫的編號的漏洞描述與解決方法,整理成文檔,提供給信息安全工程師查看。
[0042]如圖2所示為基于WEB網站的程序漏洞掃描裝置的各個模塊示意圖,本發(fā)明的一實施例中還提出一種基于WEB的網站程序漏洞掃描的掃描裝置,包括以下幾個主要模塊:
[0043]系統(tǒng)管理模塊通過計算機與漏洞庫管理模塊連接設置好參數信息,并把配置參數信息保存在數據庫內;
[0044]漏洞掃描模塊通過網絡與外部鏈接模塊連接,設定需要掃描的網站、進行用戶帳號添加,刪除,修改;同時將目標網站的鏈接去重復后建立漏洞庫;使用漏洞庫中的腳本檢查網站鏈接是否存在漏洞;
[0045]結果展示模塊作為輸出。
[0046]以下是對于各個模塊的詳細介紹:
[0047]系統(tǒng)管理模塊
[0048]本發(fā)明使用java開發(fā),能在不同的操作系統(tǒng)平臺上使用,java語言的特性在業(yè)內公認,此模塊主要是管理掃描器的用戶與系統(tǒng)的基本設設置。用戶可以用root登錄到用戶管理部分可以進行用戶帳號添加,刪除,修改。root用戶可以進行用戶帳號添加,刪除,修改。使用普通用戶登錄時用戶只能進行基本設置,只包括修改密碼等。
[0049]漏洞庫管理模塊
[0050]此模塊主要是管理已經收集到的漏洞信息。對已有的漏洞信息進行增加,刪除,修改等。此模塊只能用root用戶管理,即系統(tǒng)管理員用戶管理。
[0051]漏洞掃描模塊
[0052]用戶以普通用戶進入系統(tǒng)后,配置需要掃描的網站、需要掃描的漏洞類型等,當用戶點擊確定后,將會把配置信息保存在數據庫內。只需要配置掃描的網站鏈接,和掃描時間段,程序漏洞類型包括:操作系統(tǒng)漏洞,Web服務器漏洞,數據庫服務器漏洞,以上漏洞類型業(yè)內有明確說明。
[0053]具體配置如下:
[0054]網站鏈接指的要是掃描的域名,如www.163.com。
[0055]掃描時間段指的是要在什么時間段對指定網站進行掃描;如20130620?20130630表示掃描時間段為在此指定10天內進行掃描。
[0056]操作系統(tǒng)漏洞:操作系統(tǒng)漏洞是指計算機操作系統(tǒng)(如Windows XP)本身所存在的問題或技術缺陷,操作系統(tǒng)產品提供商通常會定期對已知漏洞發(fā)布補丁程序提供修復服務。
[0057]WEB服務器漏洞:Web服務器存在的主要漏洞包括物理路徑泄露,CGI源代碼泄露,目錄遍歷,執(zhí)行任意命令,緩沖區(qū)溢出,拒絕服務,SQL注入,條件競爭和跨站腳本執(zhí)行漏洞,和CGI漏洞有些相似的地方,但是更多的地方還是有著本質的不同。不過無論是什么漏洞,都體現(xiàn)著安全是一個整體的真理,考慮Web服務器的安全性,必須要考慮到與之相配合的操作系統(tǒng)。
[0058]數據庫漏洞:數據庫安全漏洞從來源上,大致可以分為四類:缺省安裝漏洞、人為使用上的漏洞、數據庫設計缺陷、數據庫產品的bug。網站漏洞一般可能由操作系統(tǒng),數據庫漏洞引起。
[0059]本發(fā)明將會根據配置信息對以漏洞庫管理為對比依據對網站進行相應配置信息的獲取,并且將獲取的信息去重復等優(yōu)化處理。
[0060]外部鏈接模塊
[0061]普通用戶進入系統(tǒng)后,管理員指定需要掃描網站鏈接。此處是后臺默認執(zhí)行。
[0062]結果展示模塊
[0063]掃描完成后,根據數據庫內驗證結果,對驗證結果進行格式化信息處理,并將格式轉換為用戶可視的格式。格式化的目標是將獲掃描器獲取的信息,一般為漏洞號或一個簡短的說明,將此類信息歸納和整理后輸出為word、txet等文本形式的文檔,以便信息安全工程師查看。
[0064]圖3為基于WEB網站的程序漏洞掃描方法的一實施例中掃描流程示意圖,步驟包括:
[0065]I)用戶登錄到系統(tǒng),配置參數信息并保存在指定數據庫內,開始進行掃描;
[0066]2)使用所述漏洞庫中的漏洞腳本檢查所述目標網站鏈接中的漏洞,調用對應漏洞標號,掃描出網站程序漏洞;
[0067]3)掃描完成后,根據數據庫內驗證結果,對驗證結果進行格式化信息處理,并將格式轉換為用戶可視的格式;
[0068]4)若掃描得到的結果為漏洞網站,則實時更新數據庫。
【權利要求】
1.一種基于WEB網站的程序漏洞掃描方法,其步驟為: 1)配置參數信息并保存在指定數據庫內; 2)建立root用戶和一般用戶賬戶用于登錄,設定需要掃描的目標網站鏈接并保存到所述指定數據庫; 3)搜集并整理出所有漏洞類型,通過root用戶賬戶登錄后根據所述漏洞類型建立漏洞庫,所述漏洞庫中包括漏洞腳本及漏洞標號; 4)在一般用戶賬戶登錄時,使用所述漏洞庫中的漏洞腳本檢查所述目標網站鏈接中的漏洞,調用對應漏洞標號,掃描出程序漏洞。
2.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,指定數據庫為MYSQL數據庫或SQL Server數據庫。
3.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,所述root用戶賬戶在數據庫中進行一般用戶帳號添加、刪除、修改。
4.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,所述目標網站鏈接通過MD5/MD4運算去重后保存。
5.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,所述搜集方法包括以下的一種或者多種方法:1)通過國內國際安全軟件廠商定期發(fā)布的漏洞;2)通過搜集主流操作系統(tǒng)產家與大的評測支構提供的漏洞;3)人工挖掘并按要求要求實時更新。
6.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,所述漏洞標號根據搜集到的漏洞增加到漏洞庫中。
7.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,所述腳本包括:JS腳本,sh.bat腳本。
8.如權利要求1所述的基于WEB網站的程序漏洞掃描方法,其特征在于,根據所述一般用戶賬戶配置需要掃描的目標網站鏈接、需要掃描漏洞類型以及掃描時間段。
9.如權利要求8所述的基于WEB網站的程序漏洞掃描方法,其特征在于,所述漏洞類型包括:操作系統(tǒng)漏洞,Web服務器漏洞,數據庫服務器漏洞。
10.基于WEB網站的程序漏洞掃描裝置,其特征在于,包括:系統(tǒng)管理模塊、漏洞庫管理模塊、漏洞掃描模塊、外部鏈接模塊、結果展示模塊: 所述系統(tǒng)管理模塊通過計算機與漏洞庫管理模塊連接設置好參數信息,并把配置參數信息保存在數據庫內,同時該模塊用于管理掃描裝置中的登錄用戶與系統(tǒng)的基本設設置; 所述漏洞掃描模塊通過網絡與外部鏈接模塊連接,配置需要掃描的網站需要掃描的漏洞類型,并將配置信息保存在數據庫內;配置信息包括:掃描的網站鏈接,和掃描時間段,漏洞類型包括:操作系統(tǒng)漏洞,Web服務器漏洞,數據庫服務器漏洞; 所述外部鏈接模塊,所述目標網站鏈接在系統(tǒng)后臺執(zhí)行進入外部鏈接模塊,在外部鏈接模塊中使用漏洞庫中的腳本檢查網站鏈接是否存在漏洞; 所述結果展示模塊,在掃描完成后,根據數據庫內驗證結果,對驗證結果進行格式化信息處理,并將格式轉換為用戶可視的格式。
【文檔編號】G06F21/57GK103530565SQ201310495686
【公開日】2014年1月22日 申請日期:2013年10月21日 優(yōu)先權日:2013年10月21日
【發(fā)明者】吳雄輝 申請人:北京銳安科技有限公司
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1