本發(fā)明涉及通信技術(shù)領(lǐng)域，具體涉及一種web漏洞掃描方法、裝置及系統(tǒng)。

背景技術(shù)：

目前，隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)頁(yè)程序或者網(wǎng)站中不可避免會(huì)出現(xiàn)漏洞的問(wèn)題，黑客經(jīng)常會(huì)利用網(wǎng)絡(luò)漏洞竊取企業(yè)秘密信息以及互聯(lián)網(wǎng)用戶的私人信息等，給互聯(lián)網(wǎng)的信息安全造成威脅。

在實(shí)現(xiàn)本發(fā)明實(shí)施例的過(guò)程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問(wèn)題：目前，針對(duì)漏洞的發(fā)現(xiàn)基本上是利用掃描工具或硬件掃描設(shè)備，但是無(wú)論是掃描工具或硬件掃描設(shè)備，都基于“漏洞進(jìn)行分析—提取漏洞識(shí)別特征—變成漏洞掃描庫(kù)—升級(jí)”這樣的流程，這樣便會(huì)使發(fā)現(xiàn)漏洞到識(shí)別漏洞花費(fèi)較長(zhǎng)的時(shí)間，比如經(jīng)常會(huì)有1到3個(gè)月的時(shí)長(zhǎng)甚至是更長(zhǎng)的時(shí)間，而現(xiàn)實(shí)中基于漏洞的攻擊越來(lái)越多，經(jīng)常出現(xiàn)由于從漏洞發(fā)現(xiàn)到漏洞識(shí)別之間時(shí)間差過(guò)長(zhǎng)的問(wèn)題而導(dǎo)致企業(yè)數(shù)據(jù)庫(kù)被拖、用戶信息泄露的事件，給互聯(lián)網(wǎng)用戶的信息安全造成了很大的風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的web漏洞掃描方法、裝置及系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種web漏洞掃描方法，包括：獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，所述漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；確定所述漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。

根據(jù)本發(fā)明的另一方面，提供了一種web漏洞掃描裝置，包括：第一獲取模塊，適于獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，所述漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；第一確定模塊，適于確定所述漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型；展示模塊，適于展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；第二獲取模塊，適于獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求；第二確定模塊，適于確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；掃描模塊，適于通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。

根據(jù)本發(fā)明的再一方面，提供了一種web漏洞掃描系統(tǒng)，包括上述任一所述的漏洞掃描裝置、所述待檢測(cè)網(wǎng)站以及所述漏洞檢測(cè)終端。

在本發(fā)明實(shí)施例提供的web漏洞掃描方法、裝置及系統(tǒng)中，首先獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；然后確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，并展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；同時(shí)獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；最后通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。由此可見，本發(fā)明解決了由于漏洞的發(fā)現(xiàn)與識(shí)別之間的時(shí)間間隔過(guò)長(zhǎng)進(jìn)而使互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)信息安全受到威脅的問(wèn)題，提供了一種web漏洞掃描方案，維護(hù)了互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)信息的安全。

上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說(shuō)明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。

附圖說(shuō)明

通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

圖1示出了本發(fā)明一個(gè)實(shí)施例提供的一種web漏洞掃描方法的流程圖；

圖2示出了本發(fā)明另一個(gè)具體實(shí)施例提供的一種web漏洞掃描方法的流程圖；

圖3示出了本發(fā)明一個(gè)實(shí)施例提供的一種web漏洞掃描裝置的結(jié)構(gòu)框圖；

圖4示出了本發(fā)明另一個(gè)具體實(shí)施例提供的一種web漏洞掃描裝置的結(jié)構(gòu)框圖；

圖5示出了本發(fā)明再一個(gè)實(shí)施例提供的一種web漏洞掃描系統(tǒng)的結(jié)構(gòu)框圖。

圖6示出了本發(fā)明再一個(gè)具體實(shí)施例提供的一種web漏洞掃描系統(tǒng)的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中展示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

圖1示出了本發(fā)明一個(gè)實(shí)施例提供的一種web漏洞掃描方法的流程圖。如圖1所示，該方法包括以下步驟：

步驟s110：獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具。

具體地，漏洞檢測(cè)終端能夠針對(duì)特定網(wǎng)站漏洞的漏洞類型來(lái)編寫對(duì)應(yīng)的可擴(kuò)展掃描工具，例如編寫漏洞掃描腳本等，以用于針對(duì)特定的漏洞類型進(jìn)行漏洞掃描。在本實(shí)施例中，漏洞檢測(cè)終端可以為多個(gè)。在獲取漏洞檢測(cè)終端提供的漏洞掃描工具時(shí)，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)關(guān)于上述漏洞掃描工具的提交入口，通過(guò)該提交入口來(lái)獲取漏洞檢測(cè)終端上傳的漏洞掃描工具，并將所獲取的漏洞掃描工具進(jìn)行存儲(chǔ)。

步驟s120：確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型。

具體地，在獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具之后，進(jìn)一步確定漏洞掃描工具所適用的漏洞類型，然后根據(jù)確定結(jié)果在網(wǎng)頁(yè)界面中展示漏洞檢測(cè)終端提供的漏洞掃描工具以及適用于上述漏洞掃描工具的漏洞類型，以供后續(xù)步驟(對(duì)應(yīng)步驟s130)中待檢測(cè)網(wǎng)站能夠根據(jù)上述展示信息來(lái)對(duì)漏洞掃描工具進(jìn)行選擇。

步驟s130：獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

具體地，待檢測(cè)網(wǎng)站為互聯(lián)網(wǎng)中需要對(duì)自身網(wǎng)站漏洞進(jìn)行檢測(cè)的廠商、企業(yè)的網(wǎng)站等，在本實(shí)施例中，待檢測(cè)對(duì)象可以為多個(gè)。漏洞掃描工具選擇請(qǐng)求為待檢測(cè)網(wǎng)站根據(jù)自身網(wǎng)站漏洞的特點(diǎn)發(fā)送的請(qǐng)求，其中包含待檢測(cè)網(wǎng)站的自身網(wǎng)站漏洞的漏洞類型等信息。在獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求時(shí)，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)關(guān)于上述漏洞掃描工具選擇請(qǐng)求的請(qǐng)求入口，通過(guò)上述請(qǐng)求入口來(lái)獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，并根據(jù)上述獲取的漏洞掃描工具選擇請(qǐng)求中包含的漏洞類型等信息以及步驟s120確定的漏洞掃描工具所適用的漏洞類型，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。其中，上述漏洞掃描工具為步驟s110中存儲(chǔ)的漏洞檢測(cè)終端提供的漏洞掃描工具。

步驟s140：通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行掃描。

具體地，在確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具之后，通過(guò)上述確定的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行漏洞掃描，并根據(jù)上述掃描過(guò)程生成對(duì)應(yīng)的掃描結(jié)果，然后將掃描結(jié)果發(fā)送給對(duì)應(yīng)的待檢測(cè)網(wǎng)站，以供待檢測(cè)網(wǎng)站根據(jù)掃描結(jié)果及時(shí)發(fā)現(xiàn)自身網(wǎng)站中的漏洞信息。

由此可見，在本發(fā)明實(shí)施例提供的web漏洞掃描方法，首先獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；然后確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，并展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；同時(shí)獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；最后通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。因此，本發(fā)明解決了由于漏洞的發(fā)現(xiàn)與識(shí)別之間的時(shí)間間隔過(guò)長(zhǎng)進(jìn)而使互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)信息安全受到威脅的問(wèn)題，有效縮短了漏洞發(fā)現(xiàn)和漏洞識(shí)別之間的時(shí)間間隔，提供了一種web漏洞掃描方案，提高了對(duì)抗漏洞的能力。

圖2示出了本發(fā)明另一個(gè)具體實(shí)施例提供的一種web漏洞掃描方法的流程圖。如圖2所示，該方法包括以下步驟：

步驟s210：預(yù)先接收并保存待檢測(cè)網(wǎng)站的通信地址、待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址以及漏洞檢測(cè)終端的通信地址。

具體地，待檢測(cè)網(wǎng)站為互聯(lián)網(wǎng)中需要對(duì)其網(wǎng)站漏洞信息進(jìn)行檢測(cè)的廠商、企業(yè)等的網(wǎng)站，并且待檢測(cè)對(duì)象的數(shù)量為多個(gè)。漏洞檢測(cè)終端能夠針對(duì)特定網(wǎng)站漏洞的類型來(lái)編寫對(duì)應(yīng)的漏洞掃描工具的終端，并且漏洞檢測(cè)終端的數(shù)量也為多個(gè)。在接收并保存待檢測(cè)網(wǎng)站的通信地址、待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址以及漏洞檢測(cè)終端的通信地址時(shí)，可以設(shè)置一個(gè)信息注冊(cè)過(guò)程，通過(guò)上述信息注冊(cè)過(guò)程錄入待檢測(cè)網(wǎng)站以及漏洞檢測(cè)終端的通信地址信息、檢測(cè)地址信息等。其中，待檢測(cè)網(wǎng)站以及漏洞檢測(cè)終端的通信地址可以為郵箱地址或者針對(duì)各個(gè)待檢測(cè)網(wǎng)站以及漏洞檢測(cè)終端所設(shè)定的特定的聯(lián)系賬號(hào)地址等，待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址可以為待檢測(cè)網(wǎng)站的網(wǎng)站首頁(yè)的地址、網(wǎng)站中包含的鏈接地址等。

步驟s220：獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具。

具體地，漏洞掃描工具為漏洞檢測(cè)終端針對(duì)特定網(wǎng)站漏洞的漏洞類型所編寫的對(duì)應(yīng)的可擴(kuò)展掃描工具，該工具能夠針對(duì)特定的漏洞類型進(jìn)行漏洞掃描。在本實(shí)施例中，漏洞掃描工具具體為用于漏洞掃描的腳本插件。在獲取漏洞檢測(cè)終端提供的漏洞掃描工具時(shí)，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)關(guān)于上述漏洞掃描工具的提交入口，通過(guò)該提交入口來(lái)獲取漏洞檢測(cè)終端上傳的漏洞掃描工具，例如，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)提交按鈕，通過(guò)響應(yīng)漏洞檢測(cè)終端對(duì)上述提交按鈕進(jìn)行的相關(guān)操作(例如點(diǎn)擊操作等)來(lái)獲取漏洞檢測(cè)終端上傳的漏洞掃描工具并將所獲取的漏洞掃描工具進(jìn)行存儲(chǔ)。并且，進(jìn)一步地，在獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具之后，還可以進(jìn)一步接收并展示漏洞檢測(cè)終端提供的漏洞掃描工具對(duì)應(yīng)的價(jià)值信息，以供后續(xù)步驟(對(duì)應(yīng)步驟s270)中能夠?qū)β┒礄z測(cè)終端提供的漏洞掃描工具對(duì)應(yīng)的價(jià)值信息進(jìn)行確定。

步驟s230：確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型。

具體地，在獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具之后，進(jìn)一步確定漏洞掃描工具所適用的漏洞類型，然后根據(jù)確定結(jié)果在網(wǎng)頁(yè)界面中展示漏洞檢測(cè)終端提供的漏洞掃描工具以及適用于上述漏洞掃描工具的漏洞類型，以便在后續(xù)步驟(對(duì)應(yīng)步驟s240)中待檢測(cè)網(wǎng)站能夠根據(jù)上述展示信息來(lái)對(duì)漏洞掃描工具進(jìn)行選擇。其中，在確定漏洞掃描工具所使用的漏洞類型時(shí)，可以通過(guò)漏洞檢測(cè)終端提供的漏洞適用類型信息來(lái)確定漏洞類型、也可以針對(duì)漏洞檢測(cè)終端提供的漏洞掃描工具所包含的信息來(lái)確定漏洞類型，具體實(shí)施中其確定方式可由本領(lǐng)域技術(shù)人員靈活選擇，本發(fā)明對(duì)此不做限定。

在展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型時(shí)，可以直接將漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型向漏洞掃描平臺(tái)的所有用戶進(jìn)行展示。或者，為了提高信息的私密性和針對(duì)性，還可以設(shè)置一個(gè)展示權(quán)限選擇窗口，漏洞檢測(cè)終端通過(guò)對(duì)展示權(quán)限選擇窗口中包含的展示權(quán)限參數(shù)進(jìn)行設(shè)置來(lái)實(shí)現(xiàn)篩選待檢測(cè)網(wǎng)站的目的，并僅針對(duì)篩選出的待檢測(cè)網(wǎng)站展示該漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型。例如，展示權(quán)限選擇窗口中包含的展示權(quán)限參數(shù)可以包括：標(biāo)準(zhǔn)權(quán)限參數(shù)、安全權(quán)限參數(shù)、以及開放權(quán)限參數(shù)等。其中，當(dāng)展示權(quán)限選擇窗口中包含安全權(quán)限參數(shù)時(shí)，表明該漏洞檢測(cè)終端提供的漏洞掃描工具僅面向預(yù)設(shè)數(shù)量的通過(guò)認(rèn)證的、安全性較高的網(wǎng)站進(jìn)行展示；當(dāng)展示權(quán)限選擇窗口中包含開放權(quán)限參數(shù)時(shí)，表明該漏洞檢測(cè)終端提供的漏洞掃描工具面向所有的網(wǎng)站進(jìn)行展示；當(dāng)展示權(quán)限選擇窗口中包含標(biāo)準(zhǔn)權(quán)限參數(shù)時(shí)，表明該漏洞檢測(cè)終端提供的漏洞掃描工具面向多數(shù)大眾網(wǎng)站進(jìn)行展示。具體實(shí)施中其展示方式可由本領(lǐng)域技術(shù)人員靈活選擇，本發(fā)明對(duì)此不做限定。例如，展示權(quán)限選擇窗口中包含的展示權(quán)限參數(shù)除了可以按照安全級(jí)別劃分外，還可以按照網(wǎng)站類型進(jìn)行劃分。

步驟s240：為漏洞檢測(cè)終端提供的漏洞掃描工具設(shè)置對(duì)應(yīng)的選擇入口并展示上述選擇入口。

具體地，在確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型之后，為上述漏洞掃描工具設(shè)置對(duì)應(yīng)的選擇入口，例如可以在網(wǎng)頁(yè)中設(shè)置一個(gè)對(duì)應(yīng)的選擇入口按鈕或者選擇入口頁(yè)面，并將上述設(shè)置的選擇入口展示在對(duì)應(yīng)的網(wǎng)頁(yè)頁(yè)面中，以供后續(xù)步驟(對(duì)應(yīng)步驟s250)中通過(guò)上述所設(shè)置選擇入口接收待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求。

步驟s250：獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

具體地，漏洞掃描工具選擇請(qǐng)求為待檢測(cè)網(wǎng)站根據(jù)自身網(wǎng)站漏洞的特點(diǎn)發(fā)送的請(qǐng)求，其中包含待檢測(cè)網(wǎng)站的自身網(wǎng)站漏洞的漏洞類型等信息。在獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求時(shí)，通過(guò)步驟s240中設(shè)置的選擇入口來(lái)獲取上述請(qǐng)求。在確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具時(shí)，根據(jù)上述獲取的漏洞掃描工具選擇請(qǐng)求中包含的漏洞類型等信息以及步驟s230中確定的漏洞掃描工具所適用的漏洞類型，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

步驟s260：通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行掃描，并根據(jù)待檢測(cè)網(wǎng)站的通信地址將掃描結(jié)果發(fā)送給待檢測(cè)網(wǎng)站。

具體的，在使用漏洞檢測(cè)工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行掃描時(shí)，通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址進(jìn)行掃描，并通過(guò)上述掃描生成對(duì)應(yīng)的掃描結(jié)果，然后通過(guò)在步驟s210中保存的待檢測(cè)網(wǎng)站的通信地址將上述掃描結(jié)果發(fā)送給待檢測(cè)網(wǎng)站。其中，上述掃描結(jié)果中包含有與該待檢測(cè)網(wǎng)站對(duì)應(yīng)的漏洞信息。并且，在生成對(duì)應(yīng)的掃描結(jié)果時(shí)，還可以對(duì)掃描結(jié)果中包含的漏洞信息的嚴(yán)重級(jí)別進(jìn)行分類，例如，可以將漏洞信息的掃描結(jié)果按照嚴(yán)重性從高到低的順序分為高危級(jí)別、中危級(jí)別、低危級(jí)別這三個(gè)等級(jí)，則在確定掃描結(jié)果時(shí)，可以將掃描結(jié)果對(duì)應(yīng)確定為上述三個(gè)等級(jí)，以實(shí)現(xiàn)向待檢測(cè)網(wǎng)站發(fā)送掃描結(jié)果后，提醒并告知待檢測(cè)網(wǎng)站其漏洞信息的安全性的目的；或者，也可以不對(duì)上述掃描結(jié)果進(jìn)行分級(jí)，直接將掃描結(jié)果發(fā)送給待檢測(cè)網(wǎng)站，以實(shí)現(xiàn)向待檢測(cè)網(wǎng)站展示對(duì)應(yīng)的掃描結(jié)果的目的。

步驟s270：接收待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息，將結(jié)果反饋信息發(fā)送給提供漏洞掃描工具的漏洞檢測(cè)終端。

其中，結(jié)果反饋信息根據(jù)漏洞掃描工具對(duì)應(yīng)的價(jià)值信息確定。也就是說(shuō)，結(jié)果反饋信息中包含有對(duì)漏洞掃描工具對(duì)應(yīng)的價(jià)值信息進(jìn)行確認(rèn)的信息，在接收到結(jié)果反饋信息之后，將上述結(jié)果反饋信息發(fā)送給漏洞檢測(cè)終端，以供漏洞檢測(cè)終端根據(jù)確認(rèn)的價(jià)值信息更新自身的評(píng)分等信息。具體地，待檢測(cè)網(wǎng)站在接收到掃描結(jié)果之后，對(duì)上述掃描結(jié)果進(jìn)行結(jié)果確認(rèn)，并進(jìn)一步根據(jù)確認(rèn)結(jié)果發(fā)送對(duì)應(yīng)的結(jié)果反饋信息。其中，由于掃描結(jié)果是通過(guò)漏洞檢測(cè)終端提交的漏洞掃描工具進(jìn)行掃描之后提交的，中間可能會(huì)存在一些錯(cuò)誤信息或者并不一定符合待檢測(cè)網(wǎng)站的需要的情況，因此需要待檢測(cè)網(wǎng)站對(duì)漏洞信息的正確性和有效性進(jìn)行驗(yàn)證，以進(jìn)一步確保漏洞信息的正確性和有效性，并在確認(rèn)之后發(fā)送對(duì)應(yīng)的結(jié)果反饋信息。在接收到待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息之后，將上述結(jié)果反饋信息發(fā)送給提供漏洞掃描工具的漏洞檢測(cè)終端，以供漏洞檢測(cè)終端根據(jù)確認(rèn)的價(jià)值信息更新自身的評(píng)分等信息。

通過(guò)本發(fā)明實(shí)施例中的方法，可以實(shí)現(xiàn)以下有益效果：

本發(fā)明能夠?qū)⒙┒窗l(fā)現(xiàn)和漏洞識(shí)別的時(shí)間差由1到3個(gè)月(甚至更長(zhǎng)的時(shí)間)縮短至1天甚至幾個(gè)小時(shí)之內(nèi)，而且能夠按照用戶的要求進(jìn)行定制，解決了用戶需要高質(zhì)量并且快速發(fā)現(xiàn)網(wǎng)站漏洞的需求，極大地提高了與漏洞對(duì)抗的能力。

本發(fā)明提供了一種能夠基于腳本插件擴(kuò)展掃描能力的掃描引擎，基于該引擎，只要編寫相應(yīng)的腳本插件，就能即時(shí)升級(jí)漏洞掃描的能力，無(wú)需進(jìn)行專門的收集動(dòng)作，即：在本發(fā)明中只需要編寫相應(yīng)的腳本插件即可，由此能夠?qū)崿F(xiàn)即時(shí)升級(jí)漏洞掃描的能力的目的，并且其過(guò)程中無(wú)需進(jìn)行專門的收集動(dòng)作；另一方面，本發(fā)明能夠利用漏洞檢測(cè)終端為漏洞提供腳本插件，使漏洞掃描工具能夠保持實(shí)時(shí)識(shí)別漏洞的能力，提高了漏洞掃描工具時(shí)效性和可用性。

由此可見，在本發(fā)明實(shí)施例提供的web漏洞掃描方法中，首先預(yù)先接收并保存待檢測(cè)網(wǎng)站的通信地址、待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址以及漏洞檢測(cè)終端的通信地址，然后獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；在此之后確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，并展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型，并為漏洞檢測(cè)終端提供的漏洞掃描工具設(shè)置對(duì)應(yīng)的選擇入口并展示上述選擇入口；并進(jìn)一步獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具，然后通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行掃描并向待檢測(cè)網(wǎng)站發(fā)送掃描結(jié)果，最后接收待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息，將結(jié)果反饋信息發(fā)送給提供漏洞掃描工具的漏洞檢測(cè)終端。因此，本發(fā)明解決了由于漏洞的發(fā)現(xiàn)與識(shí)別之間的時(shí)間間隔過(guò)長(zhǎng)進(jìn)而使互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)信息安全受到威脅的問(wèn)題，有效縮短了漏洞發(fā)現(xiàn)和漏洞識(shí)別之間的時(shí)間間隔，能夠?qū)β┒吹陌l(fā)現(xiàn)以及識(shí)別做到實(shí)時(shí)性的處理，提高了對(duì)抗漏洞的能力。

圖3示出了本發(fā)明一個(gè)實(shí)施例提供的一種web漏洞掃描裝置的結(jié)構(gòu)框圖。如圖3所示，該裝置包括：第一獲取模塊31、第一確定模塊32、展示模塊33、第二獲取模塊34、第二確定模塊35以及掃描模塊36。

第一獲取模塊31適于獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，所述漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具。

具體地，漏洞檢測(cè)終端能夠針對(duì)特定網(wǎng)站漏洞的漏洞類型來(lái)編寫對(duì)應(yīng)的可擴(kuò)展掃描工具，例如編寫漏洞掃描腳本等，以用于針對(duì)特定的漏洞類型進(jìn)行漏洞掃描。在本實(shí)施例中，漏洞檢測(cè)終端可以為多個(gè)。第一獲取模塊31在獲取漏洞檢測(cè)終端提供的漏洞掃描工具時(shí)，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)關(guān)于上述漏洞掃描工具的提交入口，通過(guò)該提交入口來(lái)獲取漏洞檢測(cè)終端上傳的漏洞掃描工具，并將所獲取的漏洞掃描工具進(jìn)行存儲(chǔ)。

第一確定模塊32適于確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型。

具體地，在第一獲取模塊31獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具之后，確定模塊32進(jìn)一步確定漏洞掃描工具所適用的漏洞類型。然后將確定結(jié)果發(fā)送給展示模塊33。

展示模塊33適于展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；

具體地，展示模塊33接收到確定模塊32發(fā)送的確定結(jié)果之后，在根據(jù)確定結(jié)果在網(wǎng)頁(yè)界面中展示漏洞檢測(cè)終端提供的漏洞掃描工具以及適用于上述漏洞掃描工具的漏洞類型。

第二獲取模塊34適于獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求。具體地，待檢測(cè)網(wǎng)站為互聯(lián)網(wǎng)中需要對(duì)自身網(wǎng)站漏洞進(jìn)行檢測(cè)的廠商、企業(yè)的網(wǎng)站等，在本實(shí)施例中，待檢測(cè)對(duì)象可以為多個(gè)。漏洞掃描工具選擇請(qǐng)求為待檢測(cè)網(wǎng)站根據(jù)自身網(wǎng)站漏洞的特點(diǎn)發(fā)送的請(qǐng)求，其中包含待檢測(cè)網(wǎng)站的自身網(wǎng)站漏洞的漏洞類型等信息。第二獲取模塊34在獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求時(shí)，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)關(guān)于上述漏洞掃描工具選擇請(qǐng)求的請(qǐng)求入口，通過(guò)上述請(qǐng)求入口來(lái)獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求。

第二確定模塊35適于確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

具體地，在第二獲取模塊34獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求之后，第二確定模塊35根據(jù)上述獲取的漏洞掃描工具選擇請(qǐng)求中包含的漏洞類型等信息以及第一確定模塊32中確定的漏洞掃描工具所適用的漏洞類型，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

掃描模塊36適于通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。

具體地，在第二確定模塊35確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具之后，掃描模塊36通過(guò)上述確定的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行漏洞掃描，并根據(jù)上述掃描過(guò)程生成對(duì)應(yīng)的掃描結(jié)果，然后將掃描結(jié)果發(fā)送給對(duì)應(yīng)的待檢測(cè)網(wǎng)站，以供待檢測(cè)網(wǎng)站根據(jù)掃描結(jié)果及時(shí)發(fā)現(xiàn)自身網(wǎng)站中的漏洞信息。

由此可見，在本發(fā)明實(shí)施例提供的web漏洞掃描裝置中，首先通過(guò)第一獲取模塊31獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；然后通過(guò)第一確定模塊32確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，并通過(guò)展示模塊33展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；同時(shí)通過(guò)第二獲取模塊34獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，并通過(guò)第二確定模塊35確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；最后通過(guò)掃描模塊36通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。因此，本發(fā)明解決了由于漏洞的發(fā)現(xiàn)與識(shí)別之間的時(shí)間間隔過(guò)長(zhǎng)進(jìn)而使互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)信息安全受到威脅的問(wèn)題，有效縮短了漏洞發(fā)現(xiàn)和漏洞識(shí)別之間的時(shí)間間隔，提供了一種web漏洞掃描方案，提高了對(duì)抗漏洞的能力。

圖4示出了本發(fā)明另一個(gè)具體實(shí)施例提供的一種web漏洞掃描裝置的結(jié)構(gòu)框圖。如圖4所示，該裝置包括：第一接收獲取41、第一確定模塊42、展示模塊43、第二獲取模塊44、第二接確定模塊45以及掃描模塊46、發(fā)送模塊47以及結(jié)果反饋模塊48。

第一獲取模塊41適于獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，所述漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具。

具體地，漏洞掃描工具為漏洞檢測(cè)終端針對(duì)特定網(wǎng)站漏洞的漏洞類型所編寫的對(duì)應(yīng)的可擴(kuò)展掃描工具，該工具能夠針對(duì)特定的漏洞類型進(jìn)行漏洞掃描。在本實(shí)施例中，漏洞掃描工具具體為用于漏洞掃描的腳本插件。在第一獲取模塊41獲取漏洞檢測(cè)終端提供的漏洞掃描工具時(shí)，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)關(guān)于上述漏洞掃描工具的提交入口，通過(guò)該提交入口來(lái)獲取漏洞檢測(cè)終端上傳的漏洞掃描工具，例如，可以在網(wǎng)頁(yè)界面中設(shè)置一個(gè)提交按鈕，通過(guò)響應(yīng)漏洞檢測(cè)終端對(duì)上述提交按鈕進(jìn)行的相關(guān)操作(例如點(diǎn)擊操作等)來(lái)獲取漏洞檢測(cè)終端上傳的漏洞掃描工具并將所獲取的漏洞掃描工具進(jìn)行存儲(chǔ)。

第一確定模塊42適于確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型。

具體地，在第一獲取模塊41獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具之后，第一確定模塊42進(jìn)一步確定漏洞掃描工具所適用的漏洞類型，然后將確定結(jié)果發(fā)送給展示模塊43。以其中，在確定漏洞掃描工具所使用的漏洞類型時(shí)，可以通過(guò)漏洞檢測(cè)終端提供的漏洞適用類型信息來(lái)確定漏洞類型、也可以針對(duì)漏洞檢測(cè)終端提供的漏洞掃描工具所包含的信息來(lái)確定漏洞類型，具體實(shí)施中其確定方式可由本領(lǐng)域技術(shù)人員靈活選擇，本發(fā)明對(duì)此不做限定。

展示模塊43適于展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型。

展示模塊43在展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型時(shí)，可以直接將漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型向漏洞掃描平臺(tái)的所有用戶進(jìn)行展示?；蛘撸瑸榱颂岣咝畔⒌乃矫苄院歪槍?duì)性，還可以設(shè)置一個(gè)展示權(quán)限選擇窗口，漏洞檢測(cè)終端通過(guò)對(duì)展示權(quán)限選擇窗口中包含的展示權(quán)限參數(shù)進(jìn)行設(shè)置來(lái)實(shí)現(xiàn)篩選待檢測(cè)網(wǎng)站的目的，并僅針對(duì)篩選出的待檢測(cè)網(wǎng)站展示該漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型。例如，展示權(quán)限選擇窗口中包含的展示權(quán)限參數(shù)可以包括：標(biāo)準(zhǔn)權(quán)限參數(shù)、安全權(quán)限參數(shù)、以及開放權(quán)限參數(shù)等。其中，當(dāng)展示權(quán)限選擇窗口中包含安全權(quán)限參數(shù)時(shí)，表明該漏洞檢測(cè)終端提供的漏洞掃描工具僅面向預(yù)設(shè)數(shù)量的通過(guò)認(rèn)證的、安全性較高的網(wǎng)站進(jìn)行展示；當(dāng)展示權(quán)限選擇窗口中包含開放權(quán)限參數(shù)時(shí)，表明該漏洞檢測(cè)終端提供的漏洞掃描工具面向所有的網(wǎng)站進(jìn)行展示；當(dāng)展示權(quán)限選擇窗口中包含標(biāo)準(zhǔn)權(quán)限參數(shù)時(shí)，表明該漏洞檢測(cè)終端提供的漏洞掃描工具面向多數(shù)大眾網(wǎng)站進(jìn)行展示。具體實(shí)施中其展示方式可由本領(lǐng)域技術(shù)人員靈活選擇，本發(fā)明對(duì)此不做限定。例如，展示權(quán)限選擇窗口中包含的展示權(quán)限參數(shù)除了可以按照安全級(jí)別劃分外，還可以按照網(wǎng)站類型進(jìn)行劃分。

第二獲取模塊44適于獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求。

具體地，漏洞掃描工具選擇請(qǐng)求為待檢測(cè)網(wǎng)站根據(jù)自身網(wǎng)站漏洞的特點(diǎn)發(fā)送的請(qǐng)求，其中包含待檢測(cè)網(wǎng)站的自身網(wǎng)站漏洞的漏洞類型等信息。第二獲取模塊44在獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求時(shí)，通過(guò)網(wǎng)頁(yè)頁(yè)面中設(shè)置的選擇入口來(lái)獲取上述請(qǐng)求。

第二確定模塊45確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

第二確定模塊45在確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具時(shí)，根據(jù)第二獲取模塊44中獲取的漏洞掃描工具選擇請(qǐng)求中包含的漏洞類型等信息以及第一確定模塊42中確定的漏洞掃描工具所適用的漏洞類型，確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

掃描模塊46適于通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。

具體的，掃描模塊46在使用漏洞檢測(cè)工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行掃描時(shí)，通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址進(jìn)行掃描，并通過(guò)上述掃描生成對(duì)應(yīng)的掃描結(jié)果，然后掃描結(jié)果發(fā)送給發(fā)送模塊47。其中，上述掃描結(jié)果中包含有與該待檢測(cè)網(wǎng)站對(duì)應(yīng)的漏洞信息。并且，在生成對(duì)應(yīng)的掃描結(jié)果時(shí)，還可以對(duì)掃描結(jié)果中包含的漏洞信息的嚴(yán)重級(jí)別進(jìn)行分類，例如，可以將漏洞信息的掃描結(jié)果按照嚴(yán)重性從高到低的順序分為高危級(jí)別、中危級(jí)別、低危級(jí)別這三個(gè)等級(jí)，則在確定掃描結(jié)果時(shí)，可以將掃描結(jié)果對(duì)應(yīng)確定為上述三個(gè)等級(jí)，以實(shí)現(xiàn)向待檢測(cè)網(wǎng)站發(fā)送掃描結(jié)果后，提醒并告知待檢測(cè)網(wǎng)站其漏洞信息的安全性的目的；或者，也可以不對(duì)上述掃描結(jié)果進(jìn)行分級(jí)，直接將掃描結(jié)果發(fā)送給待檢測(cè)網(wǎng)站，以實(shí)現(xiàn)向待檢測(cè)網(wǎng)站展示對(duì)應(yīng)的掃描結(jié)果的目的。

發(fā)送模塊47適于預(yù)先接收并保存所述待檢測(cè)網(wǎng)站的通信地址，并根據(jù)所述待檢測(cè)網(wǎng)站的通信地址將掃描結(jié)果發(fā)送給所述待檢測(cè)網(wǎng)站。

具體地，發(fā)送模塊47在接收到掃描模塊46發(fā)送的掃描結(jié)果時(shí)，根據(jù)預(yù)先接收并保存的待檢測(cè)網(wǎng)站的通信地址將上述掃描結(jié)果發(fā)送給待檢測(cè)網(wǎng)站。

結(jié)果反饋模塊48適于預(yù)先接收并保存所述漏洞檢測(cè)終端的通信地址，并接收所述待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息，將所述結(jié)果反饋信息發(fā)送給提供所述漏洞掃描工具的漏洞檢測(cè)終端。

其中，結(jié)果反饋信息根據(jù)漏洞掃描工具對(duì)應(yīng)的價(jià)值信息確定。也就是說(shuō)，結(jié)果反饋信息中包含有對(duì)漏洞掃描工具對(duì)應(yīng)的價(jià)值信息進(jìn)行確認(rèn)的信息，在結(jié)果反饋模塊48接收到結(jié)果反饋信息之后，將上述結(jié)果反饋信息發(fā)送給漏洞檢測(cè)終端，以供漏洞檢測(cè)終端根據(jù)確認(rèn)的價(jià)值信息更新自身的評(píng)分等信息。

由此可見，在本發(fā)明實(shí)施例提供的web漏洞掃描裝置中，首先預(yù)先接收并保存待檢測(cè)網(wǎng)站的通信地址、待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址以及漏洞檢測(cè)終端的通信地址，然后通過(guò)第一獲取模塊41獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；在此之后通過(guò)第一確定模塊42確定漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，并通過(guò)展示模塊43展示漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型，并為漏洞檢測(cè)終端提供的漏洞掃描工具設(shè)置對(duì)應(yīng)的選擇入口并展示上述選擇入口；并通過(guò)第二獲取模塊44進(jìn)一步獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，然后通過(guò)第二確定模塊45確定與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具，并通過(guò)掃描模塊46通過(guò)與漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)待檢測(cè)網(wǎng)站進(jìn)行掃描，并向通過(guò)發(fā)送模塊47待檢測(cè)網(wǎng)站發(fā)送掃描結(jié)果，最后通過(guò)結(jié)果反饋模塊48接收待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息，將結(jié)果反饋信息發(fā)送給提供漏洞掃描工具的漏洞檢測(cè)終端。因此，本發(fā)明解決了由于漏洞的發(fā)現(xiàn)與識(shí)別之間的時(shí)間間隔過(guò)長(zhǎng)進(jìn)而使互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)信息安全受到威脅的問(wèn)題，有效縮短了漏洞發(fā)現(xiàn)和漏洞識(shí)別之間的時(shí)間間隔，能夠?qū)β┒吹陌l(fā)現(xiàn)以及識(shí)別做到實(shí)時(shí)性的處理，提高了對(duì)抗漏洞的能力。

圖5示出了本發(fā)明再一個(gè)實(shí)施例提供的一種web漏洞掃描系統(tǒng)500的結(jié)構(gòu)框圖。如圖5所示，該web漏洞掃描系統(tǒng)包括上述圖3所示的web漏洞掃描裝置50、待檢測(cè)網(wǎng)站57以及漏洞檢測(cè)終端58，其中，web漏洞掃描裝置50具體包括：第一獲取模塊51、第一確定模塊52、展示模塊53、第二獲取模塊54、第二確定模塊55以及掃描模塊56。待檢測(cè)網(wǎng)站57以及漏洞檢測(cè)終端58的具體結(jié)構(gòu)和工作原理可參照方法實(shí)施例中相應(yīng)步驟的描述，此處不再贅述。

圖6示出了本發(fā)明再一個(gè)具體實(shí)施例提供的一種web漏洞掃描系統(tǒng)的結(jié)構(gòu)框圖。如圖6所示，該web漏洞掃描系統(tǒng)包括上述圖4所示的web漏洞掃描裝置60、待檢測(cè)網(wǎng)站69以及漏洞檢測(cè)終端60，其中，web漏洞掃描裝置60具體包括：第一接收獲取61、第一確定模塊62、展示模塊63、第二獲取模塊64、第二接確定模塊65以及掃描模塊66、發(fā)送模塊67以及結(jié)果反饋模塊68。待檢測(cè)網(wǎng)站69以及漏洞檢測(cè)終端60的具體結(jié)構(gòu)和工作原理可參照方法實(shí)施例中相應(yīng)步驟的描述，此處不再贅述。

在此提供的算法和展示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白，可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。

在此處所提供的說(shuō)明書中，說(shuō)明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對(duì)本說(shuō)明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外，可以采用任何組合對(duì)本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述，本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。

本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(dsp)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的web漏洞掃描設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號(hào)上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。

本發(fā)明公開了：a1、一種web漏洞掃描方法，包括：

獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，所述漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；

確定所述漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型，展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；

獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；

通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。

a2、根據(jù)a1所述的方法，其中，所述確定所述漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型的步驟之后，進(jìn)一步包括步驟：為所述漏洞檢測(cè)終端提供的漏洞掃描工具設(shè)置對(duì)應(yīng)的選擇入口，則展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型時(shí)，進(jìn)一步展示所述選擇入口；

則所述接收待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求，確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具的步驟具體包括：獲取待檢測(cè)網(wǎng)站通過(guò)所述選擇入口發(fā)送的漏洞掃描工具選擇請(qǐng)求，根據(jù)所述選擇入口與漏洞掃描工具之間的對(duì)應(yīng)關(guān)系確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

a3、根據(jù)a1或a2所述的方法，其中，所述方法進(jìn)一步包括步驟：預(yù)先接收并保存所述待檢測(cè)網(wǎng)站的通信地址，則所述通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描的步驟之后，進(jìn)一步包括：根據(jù)所述待檢測(cè)網(wǎng)站的通信地址將掃描結(jié)果發(fā)送給所述待檢測(cè)網(wǎng)站。

a4、根據(jù)a1-a3任一所述的方法，其中，所述方法進(jìn)一步包括步驟：預(yù)先接收并保存所述待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址，則所述通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描的步驟的具體包括：通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址進(jìn)行掃描。

a5、根據(jù)a1-a4任一所述的方法，其中，所述方法進(jìn)一步包括步驟：預(yù)先接收并保存所述漏洞檢測(cè)終端的通信地址，則根據(jù)所述待檢測(cè)網(wǎng)站的通信地址將掃描結(jié)果發(fā)送給所述待檢測(cè)網(wǎng)站的步驟之后，進(jìn)一步包括步驟：

接收所述待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息，將所述結(jié)果反饋信息發(fā)送給提供所述漏洞掃描工具的漏洞檢測(cè)終端。

a6、根據(jù)a5所述的方法，其中，所述方法進(jìn)一步包括：

預(yù)先接收并展示所述漏洞檢測(cè)終端提供的漏洞掃描工具對(duì)應(yīng)的價(jià)值信息，則所述結(jié)果反饋信息根據(jù)所述漏洞掃描工具對(duì)應(yīng)的價(jià)值信息確定。

a7、根據(jù)a1-a6任一所述的方法，其中，所述待檢測(cè)網(wǎng)站的數(shù)量為多個(gè)，且所述漏洞檢測(cè)終端的數(shù)量為多個(gè)。

a8、根據(jù)a1-a7任一所述的方法，其中，所述漏洞掃描工具為腳本插件。

本發(fā)明還公開了：b9、一種web漏洞掃描裝置，包括：

第一獲取模塊，適于獲取并存儲(chǔ)漏洞檢測(cè)終端提供的漏洞掃描工具，其中，所述漏洞掃描工具是針對(duì)特定網(wǎng)站漏洞所編寫的可擴(kuò)展掃描工具；

第一確定模塊，適于確定所述漏洞檢測(cè)終端提供的漏洞掃描工具所適用的漏洞類型；

展示模塊，適于展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型；

第二獲取模塊，適于獲取待檢測(cè)網(wǎng)站發(fā)送的漏洞掃描工具選擇請(qǐng)求；

第二確定模塊，適于確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具；

掃描模塊，適于通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站進(jìn)行掃描。

b10、根據(jù)b9所述的裝置，其中，所述展示模塊進(jìn)一步用于：為所述漏洞檢測(cè)終端提供的漏洞掃描工具設(shè)置對(duì)應(yīng)的選擇入口，并在展示所述漏洞檢測(cè)終端提供的漏洞掃描工具及其適用的漏洞類型時(shí)，進(jìn)一步展示所述選擇入口；

則所述第二接收模塊具體用于：獲取待檢測(cè)網(wǎng)站通過(guò)所述選擇入口發(fā)送的漏洞掃描工具選擇請(qǐng)求，根據(jù)所述選擇入口與漏洞掃描工具之間的對(duì)應(yīng)關(guān)系確定與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具。

b11、根據(jù)b9或b10所述的裝置，其中，所述裝置進(jìn)一步包括：

發(fā)送模塊，適于預(yù)先接收并保存所述待檢測(cè)網(wǎng)站的通信地址，并根據(jù)所述待檢測(cè)網(wǎng)站的通信地址將掃描結(jié)果發(fā)送給所述待檢測(cè)網(wǎng)站。

b12、根據(jù)b9-b11任一所述的裝置，其中，所述掃描模塊具體用于：預(yù)先接收并保存所述待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址，通過(guò)所述與所述漏洞掃描工具選擇請(qǐng)求相對(duì)應(yīng)的漏洞掃描工具對(duì)所述待檢測(cè)網(wǎng)站對(duì)應(yīng)的檢測(cè)地址進(jìn)行掃描。

b13、根據(jù)b9-b12任一所述的裝置，其中，所述裝置進(jìn)一步包括：結(jié)果反饋模塊，適于預(yù)先接收并保存所述漏洞檢測(cè)終端的通信地址，并接收所述待檢測(cè)網(wǎng)站發(fā)送的結(jié)果反饋信息，將所述結(jié)果反饋信息發(fā)送給提供所述漏洞掃描工具的漏洞檢測(cè)終端。

b14、根據(jù)b13所述的裝置，其中，所述展示模塊進(jìn)一步用于：展示所述漏洞檢測(cè)終端提供的漏洞掃描工具對(duì)應(yīng)的價(jià)值信息，則所述結(jié)果反饋信息根據(jù)所述漏洞掃描工具對(duì)應(yīng)的價(jià)值信息確定。

b15、根據(jù)b9-b14任一所述的裝置，其中，所述待檢測(cè)網(wǎng)站的數(shù)量為多個(gè)，且所述漏洞檢測(cè)終端的數(shù)量為多個(gè)。

b16、根據(jù)b9-b15任一所述的裝置，其中，所述漏洞掃描工具為腳本插件。

本發(fā)明還公開了：c17、一種web漏洞掃描系統(tǒng)，包括：上述b9-b16任一所述的漏洞掃描裝置、所述待檢測(cè)網(wǎng)站以及所述漏洞檢測(cè)終端。