網(wǎng)站漏洞審核方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)����,具體涉及一種網(wǎng)站漏洞審核方法及裝置。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)應(yīng)用的越來(lái)越廣泛���,人們很多的日常工作和娛樂(lè)都在網(wǎng)絡(luò)上進(jìn) 行�����,網(wǎng)絡(luò)已跟人們的生活息息相關(guān)�����。因此�,網(wǎng)站的安全也越來(lái)越被人們所重視��。然而���,網(wǎng)絡(luò) 存在著各種各樣的安全隱患�,比如=COOKIE中毒����、應(yīng)用程序緩沖溢出、跨站腳本攻擊�����、各種 安全漏洞等等���。
[0003] 漏洞發(fā)現(xiàn)是攻擊者與防護(hù)者雙方對(duì)抗的關(guān)鍵過(guò)程����,防護(hù)者如果不能早于攻擊者發(fā) 現(xiàn)可被利用的漏洞,攻擊者就有可能利用漏洞發(fā)起攻擊��。越早發(fā)現(xiàn)并修復(fù)漏洞����,信息安全事 件發(fā)生的可能性就越小。
[0004] 然而�����,為了提高網(wǎng)站的安全性��,通常會(huì)對(duì)一些專業(yè)用戶發(fā)送的網(wǎng)站漏洞發(fā)送給網(wǎng) 站的管理者�,由于這些漏洞缺少必要的漏洞驗(yàn)證機(jī)制,導(dǎo)致誤報(bào)很高�����,給網(wǎng)站的管理者帶來(lái) 了 一定的打擾�����。
【發(fā)明內(nèi)容】
[0005] 針對(duì)現(xiàn)有技術(shù)中的缺陷,本發(fā)明提供了一種網(wǎng)站漏洞審核方法及裝置����,該方法減 少了漏洞的誤報(bào)率,保證網(wǎng)站的信息安全�。
[0006] 第一方面,本發(fā)明提供一種網(wǎng)站漏洞審核裝置����,包括:
[0007] 接收模塊,用于接收通過(guò)漏洞檢測(cè)網(wǎng)頁(yè)發(fā)送的網(wǎng)站漏洞信息��,所述網(wǎng)站漏洞信息 包括:存在漏洞網(wǎng)站的網(wǎng)址����、漏洞測(cè)試參數(shù)和漏洞測(cè)試結(jié)果��;
[0008] 測(cè)試鏈接生成模塊����,用于根據(jù)所述網(wǎng)址和所述漏洞測(cè)試參數(shù)生成漏洞測(cè)試鏈接;
[0009] 特征信息提取模塊�,用于根據(jù)所述漏洞測(cè)試鏈接進(jìn)行請(qǐng)求,獲取所述網(wǎng)站的響應(yīng) 消息��,從所述響應(yīng)消息中提取漏洞的特征信息;
[0010] 確定模塊����,用于在所述特征信息和所述漏洞測(cè)試結(jié)果一致時(shí),確定接收的漏洞信 息審核通過(guò)�。
[0011] 可選的,所述裝置還包括:
[0012] 第一獲取模塊�,用于在所述確定模塊確定所述漏洞信息審核通過(guò)之后,獲取所述 漏洞的風(fēng)險(xiǎn)評(píng)估值����;
[0013] 發(fā)送模塊,用于向所述網(wǎng)站發(fā)送所述網(wǎng)站存在漏洞的告警信息����;
[0014] 所述告警信息包括下述的一項(xiàng)或多項(xiàng):存在漏洞的網(wǎng)站的網(wǎng)址、所述漏洞測(cè)試參 數(shù)���、所述漏洞測(cè)試結(jié)果和所述風(fēng)險(xiǎn)評(píng)估等級(jí)�����。
[0015] 可選的����,所述裝置還包括:
[0016] 第二獲取模塊,用于在所述發(fā)送模塊發(fā)送所述漏洞的告警信息之前���,獲取所述網(wǎng) 站的管理者的聯(lián)系信息���;
[0017] 所述發(fā)送模塊,具體用于:
[0018] 根據(jù)所述聯(lián)系信息��,采用與所述聯(lián)系信息相匹配的方式發(fā)送所述告警信息�。
[0019] 可選的,所述裝置還包括:
[0020] 第一展示模塊��,用于在所述接收模塊接收的漏洞信息審核通過(guò)時(shí)�,在所述漏洞檢 測(cè)網(wǎng)頁(yè)的界面展示所述漏洞的相關(guān)信息;
[0021] 和 / 或��,
[0022] 在所述漏洞檢測(cè)網(wǎng)頁(yè)的界面向用戶展示所述漏洞信息提交成功的信息����。
[0023] 可選的���,所述方法還包括:
[0024] 第二展示模塊��,用于在接收的漏洞信息未審核通過(guò)時(shí)��,在所述漏洞檢測(cè)網(wǎng)頁(yè)的界 面展示漏洞測(cè)試失敗的提示信息��。
[0025] 第二方面��,本發(fā)明還提供了一種網(wǎng)站漏洞審核方法���,包括:
[0026] 接收通過(guò)漏洞檢測(cè)網(wǎng)頁(yè)發(fā)送的網(wǎng)站漏洞信息�,所述網(wǎng)站漏洞信息包括:存在漏洞 網(wǎng)站的網(wǎng)址�����、漏洞測(cè)試參數(shù)和漏洞測(cè)試結(jié)果�����;
[0027] 根據(jù)所述網(wǎng)址和所述漏洞測(cè)試參數(shù)生成漏洞測(cè)試鏈接�,并根據(jù)所述漏洞測(cè)試鏈接 進(jìn)行請(qǐng)求,獲取所述網(wǎng)站的響應(yīng)消息��;
[0028] 從所述響應(yīng)消息中提取漏洞的特征信息����,比較所述特征信息和所述漏洞測(cè)試結(jié) 果,根據(jù)比較結(jié)果確定接收的漏洞信息是否審核通過(guò)�。
[0029] 可選的����,所述方法還包括:
[0030] 在所述漏洞信息審核通過(guò)之后��,獲取所述漏洞的風(fēng)險(xiǎn)評(píng)估值��,并向所述網(wǎng)站發(fā)送 所述網(wǎng)站存在漏洞的告警信息���;
[0031] 所述告警信息包括下述的一項(xiàng)或多項(xiàng):存在漏洞的網(wǎng)站的網(wǎng)址����、所述漏洞測(cè)試參 數(shù)�、所述漏洞測(cè)試結(jié)果和所述風(fēng)險(xiǎn)評(píng)估等級(jí)。
[0032] 可選的�����,在向所述網(wǎng)站發(fā)送所述網(wǎng)站存在漏洞的告警信息之前��,所述方法還包 括:
[0033] 獲取所述網(wǎng)站的管理者的聯(lián)系信息����;
[0034] 所述向所述網(wǎng)站發(fā)送所述網(wǎng)站存在漏洞的告警信息��,包括:
[0035] 根據(jù)所述聯(lián)系信息,采用與所述聯(lián)系信息相匹配的方式發(fā)送所述告警信息��。
[0036] 可選的����,所述方法還包括:
[0037] 在接收的漏洞信息審核通過(guò)時(shí),在所述漏洞檢測(cè)網(wǎng)頁(yè)的界面展示所述漏洞的相關(guān) 信息�����;
[0038] 和 / 或�����,
[0039] 在所述漏洞檢測(cè)網(wǎng)頁(yè)的界面向用戶展示所述漏洞信息提交成功的信息��。
[0040] 可選的���,所述方法還包括:
[0041] 在接收的漏洞信息未審核通過(guò)時(shí)�����,在所述漏洞檢測(cè)網(wǎng)頁(yè)的界面展示漏洞測(cè)試失敗 的提不?目息����。
[0042] 由上述技術(shù)方案可知,本發(fā)明提供的網(wǎng)站漏洞審核方法及裝置�,該方法通過(guò)接收 漏洞信息,并對(duì)該漏洞信息中提及的漏洞進(jìn)行漏洞測(cè)試驗(yàn)證�,在驗(yàn)證該漏洞存在時(shí),再將該 漏洞信息發(fā)送給網(wǎng)站管理者���,該方法減少了漏洞的誤報(bào)率���,保證網(wǎng)站的信息安全。
【附圖說(shuō)明】
[0043] 圖IA為本發(fā)明一實(shí)施例提供的網(wǎng)站漏洞審核方法的流程示意圖�����;
[0044] 圖IB為本發(fā)明一實(shí)施例中漏洞信息的示意圖����;
[0045] 圖2為本發(fā)明另一實(shí)施例提供的網(wǎng)站漏洞審核方法的流程示意圖;
[0046] 圖3為本發(fā)明一實(shí)施例提供的網(wǎng)站漏洞審核裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0047] 下面結(jié)合附圖,對(duì)發(fā)明的【具體實(shí)施方式】作進(jìn)一步描述��。以下實(shí)施例僅用于更加清 楚地說(shuō)明本發(fā)明的技術(shù)方案���,而不能以此來(lái)限制本發(fā)明的保護(hù)范圍����。
[0048] 圖IA示出了本發(fā)明實(shí)施例提供的一種網(wǎng)站漏洞告警方法���,如圖IA所示����,該網(wǎng)站漏 洞告警方法包括如下步驟:
[0049] 101�、接收通過(guò)漏洞檢測(cè)網(wǎng)頁(yè)發(fā)送的網(wǎng)站漏洞信息,所述網(wǎng)站漏洞信息包括:存在 漏洞網(wǎng)站的網(wǎng)址�、漏洞測(cè)試參數(shù)和漏洞測(cè)試結(jié)果;
[0050] 舉例來(lái)說(shuō)�,上述網(wǎng)站漏洞信息為一些專業(yè)用戶如白帽子通過(guò)漏洞檢測(cè)網(wǎng)頁(yè)提交的 漏洞信息。本實(shí)施例中的漏洞檢測(cè)網(wǎng)頁(yè)可位于任一客戶端中�����。
[0051] 可理解的是�����,漏洞可包括通用漏洞和專用漏洞����,所述專用漏洞為根據(jù)網(wǎng)站類型編 輯的唯一適用于所述網(wǎng)站類型的漏洞����,所述通用漏洞為適用于所有網(wǎng)站的漏洞�����。具體的���,通 用漏洞可以包括結(jié)構(gòu)化查詢語(yǔ)言(Structured Query Language��,簡(jiǎn)稱SQL)注入漏洞����、跨站 (Cross Site Scripting��,簡(jiǎn)稱CSS)漏洞����、敏感信息泄露漏洞、弱口令漏洞����、HTTP報(bào)頭追蹤 漏洞�����、struts〗遠(yuǎn)程命令執(zhí)行漏洞等等����,專用漏洞可以包括專用的注入漏洞�、專用的命令執(zhí) 行漏洞���、以及專用CSS漏洞���,例如:Discuz_qq互聯(lián)插件CSS漏洞、便民電話插件SQL注入漏 洞等等��。
[0052] 當(dāng)前��,部分專業(yè)用戶可以對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行分析����,找出其中的安全漏 洞,但并不會(huì)惡意的去利用該漏洞��,而是將漏洞信息通過(guò)漏洞檢測(cè)網(wǎng)頁(yè)上報(bào)至漏洞告警裝 置�。
[0053] 舉例來(lái)說(shuō),上述漏洞信息中的存在漏洞的網(wǎng)站的網(wǎng)址可以為http://χχχ· com(其 中"X"可以是任意字母或數(shù)字);漏洞的測(cè)試參數(shù)可以為測(cè)試該漏洞時(shí)