技術領域

本發明涉及一種基于WEB網站的程序漏洞掃描方法及裝置，屬于信息安全領域。

背景技術

隨著各種各樣的WEB應用（網上銀行、電子商務、個人空間、云存儲等）不斷進入人們的生活，如果這些WEB應用存在不安全隱患，那么個人信息、甚至是WEB站點系統都會面臨安全風險。根據統計，目前80%的網絡攻擊行為都是通過WEB來進行的。

對于通常的WEB管理員來說，基于安全的管理占用大量的工作的時間，因為對WEB應用的安全性進行手工測試和審計是一項復雜且耗時的工作，不僅需要極大的耐心還需要專業的技術經驗。自動化的漏洞掃描技術能夠大幅簡化對于安全隱患的檢測工作，有助于WEB管理員減輕工作負擔。

公知的網站程序漏洞掃描裝置都是由C++，dephi開發，在客戶機上面工作。如中國專利，WEB漏洞掃描裝置，ZL201120011885.7的專利申請，提供了一種WEB漏洞掃描裝置，包括輸入設備、掃描主機和輸出設備，掃描主機包括與CUP連接的存儲器、運算器和FPGA加速卡，FPGA加速卡通過PCI接口與CPU相連。該WEB漏洞掃描裝置速度快、性能高、兼容性好、體積小。但是當需要對網站程序掃描時，需要在安裝有掃描器的客戶機上操作控制，因此，信息安全工程師掃描網站需要長期等待，多次運行，還需要選擇客戶機系統環境，配置環境來掃描網站。

而現有的WEB安全自動掃描技術，主要由2大核心模塊，分別是URL(Uniform/Universal?Resource?Locator，統一資源定位符)的提取模塊和漏洞檢測模塊。方法主要是對于某一個待檢測站點，首先通過URL提取模塊，獲取到整個網站的連接URL,然后使用漏洞檢測模塊對每一有效URL進行漏洞的檢測和確認，在漏洞檢測和確認中，需要對各個漏洞類型都進行檢測：最后所有網站鏈接和類型都檢測和確認完畢，系統會輸出一份WEB安全掃描的檢測報告。漏洞的檢測和確認是WEB掃描技術中最復雜和耗時的部分，而現有技術中的網站的每個有效的URL不加選擇進行每種漏洞的掃描類型遍歷的檢測，導致掃描效率低下、耗時過長。特別在對大站點海量數據掃描的時候問題更加突出。

比如中國專利一種對WEB安全進行自動化檢測的系統和方法，申請號：201010124176.x，公開的一種檢測方法包括：URL提取分析；網站掛馬檢測；WEB應用程序漏洞檢測；系統漏洞檢測、生成檢測報告。主要從網站掛馬檢測、WEB應用程序漏洞檢測、系統漏洞檢測三個方面全面、系統地對WEB安全進行檢測。

中國專利申請，一種WEB站點漏洞掃描方法和裝置，申請號：201210586173.7公開的方法包括：獲取待檢測網站的測試對象集合中的目標測試對象，所述目標測試對象包括目標URL和所述目標URL指向的頁面；提取所述目標測試對象中待測漏洞的漏洞特征，并根據所述漏洞特征生成待測漏洞特征向量；計算閾值的待測漏洞標準向量和所述待測漏洞特征向量之間的相似度；當所述相似度小于預置的閾值時。不會所述目標測試對象進行檢測索索待檢測漏洞的操作。

綜上，在現有技術中漏洞檢測的方法基于URL及漏洞檢測，網站程序漏洞掃描器都是由C++，dephi開發，在客戶機上面工作，而且在進行WEB漏洞檢測時，需要在待檢測的客戶機上安裝漏洞檢測裝置，掃描網站需要長期等待，多次運行，還需要選擇客戶機系統環境，配置環境來掃描網站。

發明內容

本發明為了解決上述的技術問題供了一種基于WEB的網站程序漏洞掃描方法及掃描裝置，使用跨平臺開源語言java編寫的爬蟲技術，將目標網站的鏈接去重復后保存在數據庫，然后使用漏洞庫的腳本檢查網站鏈接是否存在漏洞，如果存在漏洞，則調用對應的公共信息漏洞庫的編號的漏洞描述與解決方式，整理成為文檔，提供給信息安全工程師查看。

本發明的技術方案如下：一種基于WEB網站的程序漏洞掃描方法，其步驟為：

1）配置參數信息，并把配置好的參數信息保存在指定數據庫內；

2）建立root用戶和一般用戶賬戶用于登錄，并設定需要掃描的目標網站鏈接保存到所述指定數據庫；

3）搜集并整理出漏洞網站，通過root用戶賬戶登錄到數據庫后根據所述漏洞網站建立漏洞庫，所述漏洞庫中包括漏洞腳本及漏洞標號；

4）使用所述漏洞庫中的漏洞腳本檢查所述目標網站鏈接是否存在漏洞，若存在漏洞，則調用對應漏洞標號，掃描出網站程序漏洞。

更進一步，所述指定數據庫為MYSQL數據庫或SQL?Server數據庫。

更進一步，所述root用戶賬戶在數據庫中進行用戶帳號添加、刪除、修改。