網(wǎng)站安全評(píng)估方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出一種網(wǎng)站安全評(píng)估方法及系統(tǒng)�����。其中���,方法包括以下步驟:根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析�,并根據(jù)分析結(jié)果獲取網(wǎng)站的所有派生URL���;使用多個(gè)檢測(cè)模型對(duì)網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)�����,輸出漏洞檢測(cè)信息,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度�����;以及根據(jù)漏洞檢測(cè)信息對(duì)網(wǎng)站進(jìn)行安全性評(píng)估���。本發(fā)明通過對(duì)網(wǎng)站進(jìn)行動(dòng)態(tài)頁(yè)面分析和靜態(tài)頁(yè)面分析,能夠完備地獲取網(wǎng)站的所有URL鏈接���;同時(shí)�,通過預(yù)設(shè)的多個(gè)檢測(cè)模型對(duì)漏洞進(jìn)行自動(dòng)檢測(cè)�����,提高檢測(cè)的準(zhǔn)確性和高效性��,從而實(shí)現(xiàn)高效準(zhǔn)確的網(wǎng)站安全評(píng)估�。
【專利說明】網(wǎng)站安全評(píng)估方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,尤其涉及一種網(wǎng)站安全評(píng)估方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]目前��,網(wǎng)站安全的評(píng)估方法及系統(tǒng)相對(duì)較少,且當(dāng)前已有的評(píng)估方法的可行性較差���,無法準(zhǔn)確高效地對(duì)網(wǎng)站的安全性進(jìn)行評(píng)估�。因此�,亟需一種能夠高效準(zhǔn)確、合理地對(duì)網(wǎng)站安全性進(jìn)行評(píng)估的方法和系統(tǒng)�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明旨在至少解決上述技術(shù)問題之一�����。
[0004]為此�����,本發(fā)明的一個(gè)目的在于提出一種能夠準(zhǔn)確高效地對(duì)網(wǎng)站的安全性進(jìn)行評(píng)估的網(wǎng)站安全評(píng)估方法�����。
[0005]本發(fā)明的另一目的在于提出一種網(wǎng)站安全評(píng)估系統(tǒng)�����。
[0006]為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的第一方面實(shí)施例的網(wǎng)站安全評(píng)估方法�,包括以下步驟:根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析����,并根據(jù)分析結(jié)果獲取所述網(wǎng)站的所有派生URL ;使用多個(gè)檢測(cè)模型對(duì)所述網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè),輸出所有的漏洞檢測(cè)信息���,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度�����;以及根據(jù)所述漏洞檢測(cè)的信息對(duì)所述網(wǎng)站進(jìn)行安全評(píng)估����。
[0007]根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估方法��,通過對(duì)網(wǎng)站進(jìn)行動(dòng)態(tài)頁(yè)面分析和靜態(tài)頁(yè)面分析����,能夠完備地獲取網(wǎng)站的所有URL鏈接;同時(shí)����,通過預(yù)設(shè)的多個(gè)檢測(cè)模型對(duì)漏洞進(jìn)行自動(dòng)檢測(cè),提高檢測(cè)的準(zhǔn)確性和高效性,從而實(shí)現(xiàn)高效準(zhǔn)確的網(wǎng)站安全評(píng)估��,由此對(duì)線下環(huán)境的安全性有更好的認(rèn)識(shí)和了解����,進(jìn)而能夠有目的的改進(jìn)產(chǎn)品的安全狀況。
[0008]為了實(shí)現(xiàn)上述目的�����,根據(jù)本發(fā)明的第二方面實(shí)施例的網(wǎng)站安全評(píng)估系統(tǒng)����,包括:掃描模塊,用于根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析����,并根據(jù)分析結(jié)果獲取所述網(wǎng)站的所有派生URL;檢測(cè)模塊,用于使用多個(gè)檢測(cè)模型對(duì)所述網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)���,輸出漏洞檢測(cè)信息����,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度�;以及評(píng)估模塊����,用于根據(jù)所述漏洞檢測(cè)信息對(duì)所述網(wǎng)站進(jìn)行安全性評(píng)估���。
[0009]根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估系統(tǒng),����,通過對(duì)網(wǎng)站進(jìn)行動(dòng)態(tài)頁(yè)面分析和靜態(tài)頁(yè)面分析,能夠完備地獲取網(wǎng)站的所有URL鏈接��;同時(shí)�����,通過預(yù)設(shè)的多個(gè)檢測(cè)模型對(duì)漏洞進(jìn)行自動(dòng)檢測(cè)���,提高檢測(cè)的準(zhǔn)確性和高效性��,從而實(shí)現(xiàn)高效準(zhǔn)確的網(wǎng)站安全評(píng)估���,由此對(duì)線下環(huán)境的安全性有更好的認(rèn)識(shí)和了解,進(jìn)而能夠有目的的改進(jìn)產(chǎn)品的安全狀況��。
[0010]本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出,部分將從下面的描述中變得明顯����,或通過本發(fā)明的實(shí)踐了解到。
【專利附圖】
【附圖說明】
[0011]本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解���,其中����,
[0012]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站安全評(píng)估方法的流程圖���;
[0013]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站安全評(píng)估系統(tǒng)的結(jié)構(gòu)示意圖��;以及
[0014]圖3是圖2中的掃描模塊的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���。
【具體實(shí)施方式】
[0015]下面詳細(xì)描述本發(fā)明的實(shí)施例,所述實(shí)施例的示例在附圖中示出��,其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件��。下面通過參考附圖描述的實(shí)施例是示例性的���,僅用于解釋本發(fā)明����,而不能理解為對(duì)本發(fā)明的限制。相反���,本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化�����、修改和等同物。
[0016]在本發(fā)明的描述中�����,需要理解的是��,術(shù)語(yǔ)“第一”��、“第二”等僅用于描述目的�,而不能理解為指示或暗示相對(duì)重要性。在本發(fā)明的描述中��,需要說明的是����,除非另有明確的規(guī)定和限定����,術(shù)語(yǔ)“相連”����、“連接”應(yīng)做廣義理解,例如���,可以是固定連接���,也可以是可拆卸連接,或一體地連接��;可以是機(jī)械連接���,也可以是電連接����;可以是直接相連����,也可以通過中間媒介間接相連。對(duì)于本領(lǐng)域的普通技術(shù)人員而言����,可以具體情況理解上述術(shù)語(yǔ)在本發(fā)明中的具體含義�。此外�,在本發(fā)明的描述中,除非另有說明�,“多個(gè)”的含義是兩個(gè)或兩個(gè)以上。
[0017]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為����,表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分�����,并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)�����,其中可以不按所示出或討論的順序��,包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序��,來執(zhí)行功能�,這應(yīng)被本發(fā)明的實(shí)施例所屬【技術(shù)領(lǐng)域】的技術(shù)人員所理解����。
[0018]下面參考附圖描述根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估方法��。
[0019]一種網(wǎng)站安全評(píng)估方法����,包括以下步驟:根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析�����,并根據(jù)分析結(jié)果獲取網(wǎng)站的所有派生URL;使用多個(gè)檢測(cè)模型對(duì)網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)��,輸出所有的漏洞檢測(cè)信息���,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度�;以及根據(jù)漏洞檢測(cè)的信息對(duì)網(wǎng)站進(jìn)行安全評(píng)估����。
[0020]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站安全評(píng)估方法的流程圖。
[0021]如圖1所示�,根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估方法包括下述步驟。
[0022]步驟S101����,根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析���,并根據(jù)分析結(jié)果獲取網(wǎng)站的所有派生URL。
[0023]具體地����,首先判斷根據(jù)基本URL返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面。如果為靜態(tài)頁(yè)面��,則直接對(duì)HTML頁(yè)面進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL��。如果為動(dòng)態(tài)頁(yè)面���,則先對(duì)HTML頁(yè)面進(jìn)行動(dòng)態(tài)解析(主要是通過JS引擎進(jìn)行解析)以提取頁(yè)面的動(dòng)態(tài)URL�����,再根據(jù)動(dòng)態(tài)URL進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL。其中�����,靜態(tài)頁(yè)面分析的過程可參考現(xiàn)有技術(shù)�����,此處不再詳細(xì)描述。
[0024]更具體地���,如果HTML頁(yè)面含有〈script〉和/或〈/script〉語(yǔ)句塊�,則確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面�;或者,如果HTML頁(yè)面含有事件屬性,則確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面��;或者�,如果HTML頁(yè)面便簽的屬性值含有javascript偽協(xié)議,則確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面�。應(yīng)理解,上述示例僅為示意性的����,并不用于限制本發(fā)明。
[0025]步驟S102�,使用多個(gè)檢測(cè)模型對(duì)網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè),輸出漏洞檢測(cè)信息��,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度����。
[0026]具體地�����,在本發(fā)明的一個(gè)實(shí)施例中��,將網(wǎng)站安全從應(yīng)用維度進(jìn)行劃分��,每個(gè)應(yīng)用維度對(duì)應(yīng)不同的檢測(cè)模型�����。也就是說���,不同的漏洞種類對(duì)應(yīng)不同的檢測(cè)方法,或者是靜態(tài)的頁(yè)面解析��,或者是動(dòng)態(tài)的攻擊檢測(cè)����,最終輸出所有的漏洞。其中�,多個(gè)檢測(cè)模型可包括XSS檢測(cè)、SQL注入檢測(cè)����、SQL盲注檢測(cè)、本地文件包含檢測(cè)�����、遠(yuǎn)程文件包含檢測(cè)和命令執(zhí)行檢測(cè)
坐寸ο
[0027]更具體地����,XSS檢測(cè)的一個(gè)具體方法是,向URL請(qǐng)求中追加特定字符串��,根據(jù)該URL請(qǐng)求返回的頁(yè)面是否包含該特定字符串來判斷網(wǎng)站是否XSS可疑���。如果不包含��,則確定該網(wǎng)站不包含XSS漏洞���;如果包含,則確定網(wǎng)站可疑���,進(jìn)一步根據(jù)一個(gè)惡意腳本字典對(duì)此URL進(jìn)行模糊測(cè)試��,將每次模糊測(cè)試的返回結(jié)果交給瀏覽器引擎去動(dòng)態(tài)執(zhí)行����,如果惡意腳本得以執(zhí)行,那么確定該網(wǎng)站存在XSS漏洞�。
[0028]SQL注入檢測(cè)的一個(gè)具體方法是,將一組測(cè)試串依次追加到URL請(qǐng)求中����,根據(jù)該URL請(qǐng)求返回的頁(yè)面中是否包含預(yù)定義的數(shù)據(jù)庫(kù)(如MySQL、ORACLE�����、MSSQL)相關(guān)的錯(cuò)誤串來判斷網(wǎng)站是否可能存在SQL注入�。如果不包含,則確定該網(wǎng)站不存在SQL注入���;如果包含�����,則確定網(wǎng)站可疑����,進(jìn)一步根據(jù)正反兩個(gè)測(cè)試串對(duì)該URL進(jìn)行測(cè)試(追加到URL的參數(shù)值后面)��,判斷兩個(gè)返回頁(yè)面的相似度�,如果頁(yè)面的相似度超過閾值(如50%)���,則說明不存在SQL注入�,反之說明存在SQL注入。
[0029]SQL盲注檢測(cè)的一個(gè)具體方法是���,將SQL的SLEEP函數(shù)字典分別追加到URL的參數(shù)中����,然后發(fā)送URL請(qǐng)求��,判斷根據(jù)請(qǐng)求的頁(yè)面響應(yīng)時(shí)間是否大于指定的時(shí)間閾值���。如果大于�,說明存在SQL盲注漏洞���。
[0030]本地文件包含檢測(cè)的一個(gè)具體方法是�����,將URL中的參數(shù)值替換為“/etc/password”,然后發(fā)送URL請(qǐng)求,判斷根據(jù)請(qǐng)求返回的頁(yè)面中是否包含“root: x: O: O:root”字符串�����,如果包含���,則說明存在本地文件包含漏洞���。
[0031]遠(yuǎn)程文件包含檢測(cè)的一個(gè)具體方法是,將URL中的參數(shù)值替換為“http://www.baidu.com”���,然后發(fā)送URL請(qǐng)求���,判斷根據(jù)請(qǐng)求返回的頁(yè)面是否包含“〈title〉百度一下,你就知道〈/title〉”�,如果包含,則說明存在遠(yuǎn)程文件包含漏洞�����。
[0032]命令執(zhí)行檢測(cè)的一個(gè)具體方法是�����,將URL中的參數(shù)值替換為“ENV”命令�,然后發(fā)送URL請(qǐng)求,查看根據(jù)請(qǐng)求返回的頁(yè)面中是否包含“PATH=”和“Η0ΜΕ=”,如果包含�,則說明存在命令執(zhí)行漏洞。
[0033]應(yīng)理解�����,上述示例僅為示意性的��。本領(lǐng)域的普通技術(shù)人員應(yīng)理解���,除了上述檢測(cè)模型之外還可任意增加其他檢測(cè)模型。此外�,每個(gè)檢測(cè)模型也可使用其他方法進(jìn)行測(cè)試。這些修改和變化均應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)�。
[0034]步驟S103,根據(jù)漏洞檢測(cè)信息對(duì)網(wǎng)站進(jìn)行安全性評(píng)估��。
[0035]在本發(fā)明的一個(gè)實(shí)施例中���,根據(jù)檢測(cè)輸出的漏洞結(jié)構(gòu)�����,利用CVSS (CommonVulnerability Scoring System,通用安全漏洞評(píng)估系統(tǒng))對(duì)漏洞進(jìn)行客觀合理的評(píng)估,最后綜合所有的漏洞評(píng)分結(jié)果給出對(duì)網(wǎng)站安全性的評(píng)估�。具體的評(píng)估方法可參照現(xiàn)有技術(shù)��,此處不再詳細(xì)描述。[0036]根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估方法至少具有以下有益效果:
[0037](I)通過對(duì)網(wǎng)站進(jìn)行靜態(tài)頁(yè)面分析和動(dòng)態(tài)頁(yè)面分析�,提高網(wǎng)站爬取的完備性;
[0038](2)通過預(yù)設(shè)的多個(gè)檢測(cè)模型對(duì)漏洞進(jìn)行自動(dòng)檢測(cè)�,提高檢測(cè)的準(zhǔn)確性和高效性;
[0039](3)使用CVSS對(duì)漏洞進(jìn)行評(píng)估��,評(píng)估方法更合理����;
[0040](4)通過對(duì)網(wǎng)站的安全性做出合理有效的評(píng)估,使得提測(cè)者對(duì)線下環(huán)境的安全性有更好的認(rèn)識(shí)和了解���,進(jìn)而可以有目的地改進(jìn)產(chǎn)品的安全狀況���。
[0041]下面結(jié)合附圖詳細(xì)描述根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估系統(tǒng)。
[0042]一種網(wǎng)站安全評(píng)估系統(tǒng)���,包括:掃描模塊����,用于根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析����,并根據(jù)分析結(jié)果獲取網(wǎng)站的所有派生URL;檢測(cè)模塊�����,用于使用多個(gè)檢測(cè)模型對(duì)網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)���,輸出漏洞檢測(cè)信息,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度�����;以及評(píng)估模塊��,用于根據(jù)漏洞檢測(cè)信息對(duì)網(wǎng)站進(jìn)行安全性評(píng)估����。
[0043]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站安全評(píng)估系統(tǒng)的結(jié)構(gòu)示意圖�����。如圖2所示���,該網(wǎng)站安全評(píng)估系統(tǒng)包括:掃描模塊100��、檢測(cè)模塊200和評(píng)估模塊300�。
[0044]掃描模塊100用于根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析,并根據(jù)分析結(jié)果獲取網(wǎng)站的所有派生URL�。圖3為掃描模塊100的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。如圖3所示���,掃描模塊100可包括判斷單元110�����、動(dòng)態(tài)解析單元120和URL獲取單元130�����。判斷單元110用于判斷根據(jù)網(wǎng)站的基本URL返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面����。動(dòng)態(tài)解析單元120用于在判斷單元110確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面時(shí)�,對(duì)HTML頁(yè)面進(jìn)行動(dòng)態(tài)解析以提取HTML頁(yè)面的動(dòng)態(tài)URL。URL獲取單元130用于在判斷單元130確定HTML頁(yè)面為靜態(tài)頁(yè)面時(shí)��,對(duì)HTML頁(yè)面進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL����,以及在動(dòng)態(tài)解析單元120獲取HTML頁(yè)面的動(dòng)態(tài)URL時(shí)���,根據(jù)動(dòng)態(tài)URL進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL。
[0045]具體地�,首先,判斷單元110判斷根據(jù)基本URL返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面���。如果是靜態(tài)頁(yè)面����,則直接通過URL獲取單元130對(duì)HTML頁(yè)面進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL�。如果是動(dòng)態(tài)頁(yè)面,則首先通過動(dòng)態(tài)解析單元120對(duì)HTML頁(yè)面進(jìn)行動(dòng)態(tài)解析以提取HTML頁(yè)面的動(dòng)態(tài)URL�����,然后再通過URL獲取單元根據(jù)動(dòng)態(tài)URL進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL�����。由此�����,實(shí)現(xiàn)完備的網(wǎng)站爬取�。
[0046]更具體地,在本發(fā)明的一個(gè)實(shí)施例中��,如果HTML頁(yè)面含有〈script〉和/或〈/script〉語(yǔ)句塊���,則確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面����;或者��,如果HTML頁(yè)面含有事件屬性�,則確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面;或者����,如果HTML頁(yè)面便簽的屬性值含有javascript偽協(xié)議,則確定HTML頁(yè)面為動(dòng)態(tài)頁(yè)面����。應(yīng)理解,上述示例僅為示意性的���,并不用于限制本發(fā)明�。
[0047]檢測(cè)模塊200用于使用多個(gè)檢測(cè)模型對(duì)網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)�,輸出漏洞檢測(cè)信息�����,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度�。具體地�����,在本發(fā)明的一個(gè)實(shí)施例中��,多個(gè)檢測(cè)模型可包括XSS檢測(cè)�、SQL注入檢測(cè)、SQL盲注檢測(cè)���、本地文件包含檢測(cè)�����、遠(yuǎn)程文件包含檢測(cè)和命令執(zhí)行檢測(cè)等�。
[0048]更具體地�,XSS檢測(cè)的一個(gè)具體方法是�,向URL請(qǐng)求中追加特定字符串,根據(jù)該URL請(qǐng)求返回的頁(yè)面是否包含該特定字符串來判斷網(wǎng)站是否XSS可疑�����。如果不包含,則確定該網(wǎng)站不包含XSS漏洞���;如果包含���,則確定網(wǎng)站可疑,進(jìn)一步根據(jù)一個(gè)惡意腳本字典對(duì)此URL進(jìn)行模糊測(cè)試�����,將每次模糊測(cè)試的返回結(jié)果交給瀏覽器引擎去動(dòng)態(tài)執(zhí)行�����,如果惡意腳本得以執(zhí)行��,那么確定該網(wǎng)站存在XSS漏洞�����。
[0049]SQL注入檢測(cè)的一個(gè)具體方法是�,將一組測(cè)試串依次追加到URL請(qǐng)求中,根據(jù)該URL請(qǐng)求返回的頁(yè)面中是否包含預(yù)定義的數(shù)據(jù)庫(kù)(如MySQL��、ORACLE、MSSQL)相關(guān)的錯(cuò)誤串來判斷網(wǎng)站是否可能存在SQL注入���。如果不包含�,則確定該網(wǎng)站不存在SQL注入�����;如果包含�����,則確定網(wǎng)站可疑��,進(jìn)一步根據(jù)正反兩個(gè)測(cè)試串對(duì)該URL進(jìn)行測(cè)試(追加到URL的參數(shù)值后面)��,判斷兩個(gè)返回頁(yè)面的相似度��,如果頁(yè)面的相似度超過閾值(如50%)�,則說明不存在SQL注入,反之說明存在SQL注入�。
[0050]SQL盲注檢測(cè)的一個(gè)具體方法是,將SQL的SLEEP函數(shù)字典分別追加到URL的參數(shù)中����,然后發(fā)送URL請(qǐng)求,判斷根據(jù)請(qǐng)求的頁(yè)面響應(yīng)時(shí)間是否大于指定的時(shí)間閾值�。如果大于,說明存在SQL盲注漏洞���。
[0051]本地文件包含檢測(cè)的一個(gè)具體方法是���,將URL中的參數(shù)值替換為“/etc/password”,然后發(fā)送URL請(qǐng)求,判斷根據(jù)請(qǐng)求返回的頁(yè)面中是否包含“root:x:0:0:root”字符串,如果包含�����,則說明存在本地文件包含漏洞����。
[0052]遠(yuǎn)程文件包含檢測(cè)的一個(gè)具體方法是,將URL中的參數(shù)值替換為“http://www.baidu.com”�����,然后發(fā)送URL請(qǐng)求���,判斷根據(jù)請(qǐng)求返回的頁(yè)面是否包含“〈title〉百度一下�,你就知道〈/title〉”,如果包含��,則說明存在遠(yuǎn)程文件包含漏洞���。
[0053]命令執(zhí)行檢測(cè)的一個(gè)具體方法是���,將URL中的參數(shù)值替換為“ENV”命令,然后發(fā)送URL請(qǐng)求�,查看根據(jù)請(qǐng)求返回的頁(yè)面中是否包含“PATH=”和“H0ME=”,如果包含��,則說明存在命令執(zhí)行漏洞�����。
[0054]應(yīng)理解�,上述示例僅為示意性的。本領(lǐng)域的普通技術(shù)人員應(yīng)理解�����,除了上述檢測(cè)模型之外還可任意增加其他檢測(cè)模型��。此外���,每個(gè)檢測(cè)模型也可使用其他方法進(jìn)行測(cè)試��。這些修改和變化均應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)����。
[0055]評(píng)估模塊300用于根據(jù)漏洞檢測(cè)信息對(duì)網(wǎng)站進(jìn)行安全評(píng)估�����。在本發(fā)明的一個(gè)實(shí)施例中�����,根據(jù)檢測(cè)輸出的漏洞結(jié)構(gòu)�����,利用CVSS對(duì)漏洞進(jìn)行客觀合理的評(píng)估�,最后綜合所有的漏洞評(píng)分結(jié)果給出對(duì)網(wǎng)站安全性的評(píng)估。
[0056]根據(jù)本發(fā)明實(shí)施例的網(wǎng)站安全評(píng)估系統(tǒng)���,至少具有以下有益效果:
[0057](I)通過對(duì)網(wǎng)站進(jìn)行靜態(tài)頁(yè)面分析和動(dòng)態(tài)頁(yè)面分析����,提高網(wǎng)站爬取的完備性;
[0058](2)通過預(yù)設(shè)的多個(gè)檢測(cè)模型對(duì)漏洞進(jìn)行自動(dòng)檢測(cè)�����,提高檢測(cè)的準(zhǔn)確性和高效性���;
[0059](3)使用CVSS對(duì)漏洞進(jìn)行評(píng)估���,評(píng)估方法更合理;
[0060](4)通過對(duì)網(wǎng)站的安全性做出合理有效的評(píng)估�,使得提測(cè)者對(duì)線下環(huán)境的安全性有更好的認(rèn)識(shí)和了解,進(jìn)而可以有目的地改進(jìn)產(chǎn)品的安全狀況���。
[0061]應(yīng)當(dāng)理解��,本發(fā)明的各部分可以用硬件����、軟件�����、固件或它們的組合來實(shí)現(xiàn)���。在上述實(shí)施方式中��,多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)����。例如,如果用硬件來實(shí)現(xiàn)����,和在另一實(shí)施方式中一樣���,可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn):具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路���,具有合適的組合邏輯門電路的專用集成電路,可編程門陣列(PGA)���,現(xiàn)場(chǎng)可編程門陣列(FPGA)等���。[0062]在本說明書的描述中,參考術(shù)語(yǔ)“一個(gè)實(shí)施例”��、“一些實(shí)施例”�����、“示例”、“具體示例”��、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征�、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中�����。在本說明書中�����,對(duì)上述術(shù)語(yǔ)的示意性表述不一定指的是相同的實(shí)施例或示例�����。而且����,描述的具體特征、結(jié)構(gòu)���、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合���。
[0063]盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例���,對(duì)于本領(lǐng)域的普通技術(shù)人員而言,可以理解在不脫離本發(fā)明的原理和精神的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化���、修改���、替換和變型,本發(fā)明的范圍由所附權(quán)利要求及其等同限定�����。
【權(quán)利要求】
1.一種網(wǎng)站安全評(píng)估方法�,其特征在于�,包括以下步驟: S1:根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析,并根據(jù)分析結(jié)果獲取所述網(wǎng)站的所有派生URL ��; S2:使用多個(gè)檢測(cè)模型對(duì)所述網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)�,輸出漏洞檢測(cè)信息����,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度��;以及S3:根據(jù)所述漏洞檢測(cè)信息對(duì)所述網(wǎng)站進(jìn)行安全性評(píng)估。
2.根據(jù)權(quán)利要求1所述的網(wǎng)站安全評(píng)估方法,其特征在于�,所述步驟SI具體包括: 判斷根據(jù)所述基本URL返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面�����; 如果所述HTML頁(yè)面為靜態(tài)頁(yè)面,則直接對(duì)所述HTML頁(yè)面進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL �; 如果所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面�,則對(duì)所述HTML頁(yè)面進(jìn)行動(dòng)態(tài)解析以提取所述HTML頁(yè)面的動(dòng)態(tài)URL,并根據(jù)所述動(dòng)態(tài)URL進(jìn)行靜態(tài)頁(yè)面分析以獲取新的URL。
3.根據(jù)權(quán)利要求2所述的網(wǎng)站安全評(píng)估方法���,其特征在于�����,所述判斷URL請(qǐng)求返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面具體包括: 如果所述HTML頁(yè)面含有〈script〉和/或〈/script〉語(yǔ)句塊����,則確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面����; 如果所述HTML頁(yè)面含有事件屬性,則確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面�; 如果所述HTML頁(yè)面便簽的屬性值含有javascript偽協(xié)議���,則確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面�����。
4.根據(jù)權(quán)利要求1所述的`網(wǎng)站安全評(píng)估方法,其特征在于��,所述多個(gè)檢測(cè)模型包括:XSS檢測(cè)��、SQL注入檢測(cè)��、SQL盲注檢測(cè)����、本地文件包含檢測(cè)、遠(yuǎn)程文件包含檢測(cè)和命令執(zhí)行檢測(cè)��。
5.根據(jù)權(quán)利要求1所述的網(wǎng)站安全評(píng)估方法���,其特征在于��,所述步驟S3具體包括: 根據(jù)所述漏洞檢測(cè)的信息���,使用通用安全漏洞評(píng)估系統(tǒng)對(duì)網(wǎng)站進(jìn)行安全性評(píng)估。
6.一種網(wǎng)站安全評(píng)估系統(tǒng)��,其特征在于�,包括: 掃描模塊,用于根據(jù)網(wǎng)站的基本URL進(jìn)行動(dòng)態(tài)頁(yè)面分析或靜態(tài)頁(yè)面分析���,并根據(jù)分析結(jié)果獲取所述網(wǎng)站的所有派生URL �; 檢測(cè)模塊����,用于使用多個(gè)檢測(cè)模型對(duì)所述網(wǎng)站的所有派生URL對(duì)應(yīng)的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè),輸出漏洞檢測(cè)信息�����,其中每個(gè)檢測(cè)模型對(duì)應(yīng)一個(gè)應(yīng)用維度��;以及評(píng)估模塊����,用于根據(jù)所述漏洞檢測(cè)信息對(duì)所述網(wǎng)站進(jìn)行安全性評(píng)估。
7.根據(jù)權(quán)利要求6所述的網(wǎng)站安全評(píng)估系統(tǒng)����,其特征在于,所述掃描模塊具體包括: 判斷單元�,用于判斷根據(jù)所述基本URL返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面; 動(dòng)態(tài)解析單元���,用于在所述判斷單元確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面時(shí)����,對(duì)所述HTML頁(yè)面進(jìn)行動(dòng)態(tài)解析以提取所述HTML頁(yè)面的動(dòng)態(tài)URL ; URL獲取單元�,用于在所述判斷單元確定所述HTML頁(yè)面為靜態(tài)頁(yè)面時(shí),對(duì)所述HTML頁(yè)面進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL����,以及在所述動(dòng)態(tài)解析單元獲取所述HTML頁(yè)面的動(dòng)態(tài)URL時(shí),根據(jù)所述動(dòng)態(tài)URL進(jìn)行靜態(tài)頁(yè)面分析獲取新的URL���。
8.根據(jù)權(quán)利要求7所述的網(wǎng)站安全評(píng)估系統(tǒng)��,其特征在于�,所述判斷單元判斷URL請(qǐng)求返回的HTML頁(yè)面是靜態(tài)頁(yè)面還是動(dòng)態(tài)頁(yè)面具體包括:如果所述HTML頁(yè)面含有〈script〉和/或〈/script〉語(yǔ)句塊��,則確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面�����; 如果所述HTML頁(yè)面含有事件屬性,則確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面��; 如果所述HTML頁(yè)面便簽的屬性值含有javascript偽協(xié)議�����,則確定所述HTML頁(yè)面為動(dòng)態(tài)頁(yè)面。
9.根據(jù)權(quán)利要求6所述的網(wǎng)站安全評(píng)估系統(tǒng)����,其特征在于,所述預(yù)定的檢測(cè)模型包括:XSS檢測(cè)�、SQL注入檢測(cè)�����、SQL盲注檢測(cè)�����、本地文件包含檢測(cè)����、遠(yuǎn)程文件包含檢測(cè)和命令執(zhí)行檢測(cè)。
10.根據(jù)權(quán)利要求6所述的網(wǎng)站安全評(píng)估系統(tǒng)�,其特征在于,所述評(píng)估模塊根據(jù)所述漏洞檢測(cè)的結(jié)果���, 使用通用安全漏洞評(píng)估系統(tǒng)對(duì)網(wǎng)站進(jìn)行安全性評(píng)估�����。
【文檔編號(hào)】H04L29/06GK103685189SQ201210345714
【公開日】2014年3月26日 申請(qǐng)日期:2012年9月17日 優(yōu)先權(quán)日:2012年9月17日
【發(fā)明者】計(jì)東 申請(qǐng)人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司