技術領域

本發明涉及安全檢測領域，尤其涉及一種Web站點漏洞掃描方法和裝置。

背景技術

隨著各種各樣的Web應用(網上銀行、電子商務、個人空間、云存儲等)不斷進入人們的生活，如果這些Web應用存在不安全隱患，那么個人信息、甚至是Web站點系統都會面臨安全風險。據統計，目前75％的網絡攻擊行為都是通過Web來進行的。

對于通常的Web管理人員來說，基于安全的管理占用大量工作時間，因為對Web應用的安全性進行手工測試和審計是一項復雜且耗時的工作，不僅需要極大的耐心還需要專業的技術經驗。自動化的漏洞掃描技術能夠大幅簡化對于安全隱患的檢測工作，有助于Web管理人員將精力轉向如何處理安全風險上來。

現有的Web安全自動掃描技術，主要有2大核心模塊，分別是URL(Uniform/Universal?Resource?Locator，統一資源定位符，簡稱URL)的提取模塊和漏洞檢測模塊。主要流程是對于某一待檢測站點，首先通過URL提取模塊，獲取到整個網站的鏈接URL，然后使用漏洞檢測模塊對每一有效URL進行漏洞的檢測和確認工作，在漏洞檢測和確認中，需要對各種漏洞類型都進行檢測；最后所有網站鏈接和類型都檢測和確認完畢，系統會輸出一份web安全掃描的檢測報告。漏洞的檢測和確認是Web掃描技術中最復雜和耗時的部分，而現有技術對網站的每個有效URL不加選擇地進行每種漏洞類型遍歷的檢測，導致掃描效率低下、耗時過長。特別在對大站點(海量數據)掃描的時候問題更加突出。

發明內容

本發明實施例所要解決的技術問題在于，提供一種Web站點漏洞掃描方法和裝置?？山鉀Q現有技術對網站的每個有效URL不加選擇地進行每種漏洞類型遍歷的檢測，導致掃描效率低下、耗時過長的問題。

為了解決上述技術問題，本發明第一方面提供了一種Web站點漏洞掃描方法，包括：

獲取待測網站的測試對象集合中的目標測試對象，所述目標測試對象包括目標URL統一資源定位符和所述目標URL指向的頁面；

提取所述目標測試對象中待測漏洞的漏洞特征，并根據所述漏洞特征生成待測漏洞特征向量；

計算預置的待測漏洞標準向量與所述待測漏洞特征向量之間的相似度；

當所述相似度小于預置的閾值時，不對所述目標測試對象進行檢測所述待測漏洞的操作。

在第一種可能的實現方式中，所述獲取待測網站的測試對象集合中的目標測試對象之前包括：

將所述待測網站域名與預置的經驗種子庫中的種子拼接生成組合URL集合；

將所述組合URL集合和所述待測網站導航頁面中包括的URL加入到種子URL集合中；

將根據所述種子URL集合提取到的所述待測網站每一個URL和對應的頁面保存至所述測試對象集合。

結合第一方面的第一種可能的實現方式，在第二種可能的實現方式中，還包括：

將所述測試對象集合中的URL加入到所述預置的經驗種子庫中。

結合第一方面至第一方面的第二種可能的實現方式中的任一種，在第三種可能的實現方式中，還包括：

根據預置的樣本網站采用矢量空間模型VSM方法計算所述待測漏洞標準向量。

結合第一發明的第三種可能的實現方式，在第四種可能的實現方式中，所述根據預置的樣本網站采用矢量空間模型VSM計算所述待測漏洞標準向量具體包括：

獲取所述樣本網站的測試對象集合中的所述待測漏洞的樣本特征向量；

確定所述樣本特征向量中各個向量的權重；

根據所述權重和所述樣本特征向量計算出所述待測漏洞的待測漏洞標準向量。

結合第一方面的第四種可能的實現方式，在第五種可能的實現方式中，所述計算預置的待測漏洞標準向量與所述待測漏洞特征向量之間的相似度包括：

計算所述預置的待測漏洞向量和待測漏洞特征向量的夾角的余弦值作為二者之間的相似度。

本發明第二方面提供了一種Web漏洞掃描裝置，包括：

測試對象獲取模塊，用于獲取待測網站的測試對象集合中的目標測試對象，所述目標測試對象包括目標URL和所述目標URL指向的頁面；

特征生成模塊，用于提取所述目標測試對象中待測漏洞的漏洞特征，并根據所述漏洞特征生成待測漏洞特征向量；

相似度計算模塊，用于計算預置的待測漏洞標準向量與所述待測漏洞特征向量之間的相似度；

漏洞檢測篩選模塊，用于當所述相似度小于預置的閾值時，不對所述目標測試對象進行檢測所述待測漏洞的操作。