1.一種web白盒掃描方法，其特征在于，包括以下步驟：

搭建web環(huán)境；

使用關(guān)鍵字遍歷所述web環(huán)境的靜態(tài)代碼；

根據(jù)遍歷結(jié)果并基于詞法分析對(duì)所述靜態(tài)代碼進(jìn)行跟蹤和/或回溯；

當(dāng)跟蹤到風(fēng)險(xiǎn)點(diǎn)并回溯至用戶輸入時(shí)，反饋所述風(fēng)險(xiǎn)點(diǎn)到所述用戶輸入的過(guò)程以及所述風(fēng)險(xiǎn)點(diǎn)的漏洞類型；

根據(jù)所述漏洞類型、所述風(fēng)險(xiǎn)點(diǎn)以及所述用戶輸入構(gòu)造攻擊請(qǐng)求；

將所述攻擊請(qǐng)求發(fā)送到所述web環(huán)境；以及

根據(jù)所述web環(huán)境對(duì)所述攻擊請(qǐng)求的響應(yīng)頁(yè)面判斷所述漏洞是否是真實(shí)漏洞。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，進(jìn)一步包括步驟：

如果所述漏洞是真實(shí)漏洞，則將所述漏洞輸出并記錄在第一報(bào)告中；以及

如果所述漏洞不是真實(shí)漏洞，則將所述漏洞輸出并記錄在第二報(bào)告中。

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，使用http協(xié)議將所述攻擊請(qǐng)求發(fā)送到所述web環(huán)境并使用http協(xié)議返回所述響應(yīng)頁(yè)面。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，根據(jù)所述web環(huán)境對(duì)所述攻擊請(qǐng)求的響應(yīng)頁(yè)面判斷所述漏洞是否是真實(shí)漏洞包括以下步驟：

獲取所述響應(yīng)頁(yè)面中的html頁(yè)面內(nèi)容；以及

將所述html頁(yè)面內(nèi)容與正常頁(yè)面以及所述響應(yīng)頁(yè)面對(duì)比以確定所述漏洞是否是真實(shí)漏洞。

5.根據(jù)權(quán)利要求3所述的方法，其特征在于，根據(jù)所述web環(huán)境對(duì)所述攻擊請(qǐng)求的響應(yīng)頁(yè)面判斷所述漏洞是否是真實(shí)漏洞包括以下步驟：

獲取所述響應(yīng)頁(yè)面中的html頁(yè)面內(nèi)容；以及

使用關(guān)鍵字對(duì)所述html頁(yè)面內(nèi)容進(jìn)行檢索以確定所述漏洞是否是真實(shí)漏洞。

6.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，根據(jù)所述漏洞類型、所述風(fēng)險(xiǎn)點(diǎn)以及所述用戶輸入構(gòu)造攻擊請(qǐng)求包括以下步驟：

根據(jù)所述漏洞類型和所述風(fēng)險(xiǎn)點(diǎn)來(lái)選擇對(duì)應(yīng)的PoC；以及

將所述PoC和所述用戶輸入結(jié)合以構(gòu)造所述攻擊請(qǐng)求。

7.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，所述漏洞類型包括SQL注入漏洞，CGI源碼泄露漏洞，緩沖區(qū)溢出漏洞和目錄遍歷漏洞。

8.一種web白盒掃描裝置，其特征在于，包括：

搭建模塊，所述搭建模塊用于搭建web環(huán)境；

遍歷模塊，所述遍歷模塊用于使用關(guān)鍵字遍歷所述web環(huán)境的靜態(tài)代碼；

跟蹤模塊，所述跟蹤模塊用于根據(jù)遍歷結(jié)果并基于詞法分析對(duì)所述靜態(tài)代碼進(jìn)行跟蹤和/或回溯；

反饋模塊，所述反饋模塊用于當(dāng)跟蹤到風(fēng)險(xiǎn)點(diǎn)并回溯至用戶輸入時(shí)，反饋所述風(fēng)險(xiǎn)點(diǎn)到所述用戶輸入的過(guò)程以及所述風(fēng)險(xiǎn)點(diǎn)的漏洞類型；

構(gòu)造模塊，所述構(gòu)造模塊用于根據(jù)所述漏洞類型、所述風(fēng)險(xiǎn)點(diǎn)以及所述用戶輸入構(gòu)造攻擊請(qǐng)求；

發(fā)送模塊，所述發(fā)送模塊用于將所述攻擊請(qǐng)求發(fā)送到所述web環(huán)境；以及

判斷模塊，所述判斷模塊用于根據(jù)所述web環(huán)境對(duì)所述攻擊請(qǐng)求的響應(yīng)頁(yè)面判斷所述漏洞是否是真實(shí)漏洞。

9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，進(jìn)一步包括：

第一輸出模塊，所述第一輸出模塊用于在所述漏洞是真實(shí)漏洞時(shí)，將所述漏洞輸出并記錄在第一報(bào)告中；以及

第二輸出模塊，所述第二輸出模塊用于在所述漏洞不是真實(shí)漏洞時(shí)，將所述漏洞輸出并記錄在第二報(bào)告中。

10.根據(jù)權(quán)利要求8或9所述的裝置，其特征在于，使用http協(xié)議將所述攻擊請(qǐng)求發(fā)送到所述web環(huán)境并使用http協(xié)議返回所述響應(yīng)頁(yè)面。

11.根據(jù)權(quán)利要求10所述的裝置，其特征在于，所述判斷模塊用于：

獲取所述響應(yīng)頁(yè)面中的html頁(yè)面內(nèi)容；以及

將所述html頁(yè)面內(nèi)容與正常頁(yè)面以及所述響應(yīng)頁(yè)面對(duì)比以確定所述漏洞是否是真實(shí)漏洞。

12.根據(jù)權(quán)利要求10所述的裝置，其特征在于，所述判斷模塊用于：

獲取所述響應(yīng)頁(yè)面中的html頁(yè)面內(nèi)容；以及

使用關(guān)鍵字對(duì)所述html頁(yè)面內(nèi)容進(jìn)行檢索以確定所述漏洞是否是真實(shí)漏洞。