本申請公開了一種網(wǎng)站脆弱性的檢測方法，包括：利用預(yù)設(shè)數(shù)量的網(wǎng)絡(luò)爬蟲在目標網(wǎng)站執(zhí)行預(yù)設(shè)深度的數(shù)據(jù)爬取操作，得到特征信息和Http請求；根據(jù)特征信息和Http請求確定目標網(wǎng)站包含的通用漏洞，并選取相應(yīng)的主動檢測插件對通用漏洞進行檢測，得到通用漏洞檢測結(jié)果；根據(jù)Http請求和預(yù)設(shè)的PayLoad插入機制選用相應(yīng)的模糊檢測插件對目標網(wǎng)站執(zhí)行常規(guī)漏洞檢測操作，得到常規(guī)漏洞檢測結(jié)果；當漏洞修復(fù)完畢后進行漏洞復(fù)測。該方法漏洞檢測方式更全面、漏洞檢測時間可控、獲知網(wǎng)站安全情況更及時且可持續(xù)性提供網(wǎng)站脆弱性監(jiān)測。本申請還同時公開了一種網(wǎng)站脆弱性的檢測系統(tǒng)、裝置及計算機可讀存儲介質(zhì)，具有上述有益效果。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)站漏洞檢測技術(shù)領(lǐng)域，特別涉及一種網(wǎng)站脆弱性的檢測方法、系統(tǒng)、裝置及計算機可讀存儲介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)的高速發(fā)展，面向互聯(lián)網(wǎng)的業(yè)務(wù)越來越多，保證互聯(lián)網(wǎng)業(yè)務(wù)的安全也越來越重要。由于針對互聯(lián)網(wǎng)業(yè)務(wù)的滲透頻繁發(fā)生、黑客技術(shù)的不斷發(fā)展、0Day漏洞(指系統(tǒng)商在知曉并發(fā)布相關(guān)補丁前就被掌握或者公開的漏洞信息)事件的頻頻爆發(fā)，企業(yè)越來越重視互聯(lián)網(wǎng)業(yè)務(wù)的安全。

為解決企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)的安全問題，很多安全企業(yè)開始提供SECaaS(Security asa Service，安全即服務(wù)，基于云計算方式提供的信息安全服務(wù))的相關(guān)服務(wù)，其中一種為網(wǎng)站脆弱性檢測。網(wǎng)站脆弱性檢測主要用于為用戶提供滲透檢測服務(wù)，幫助用戶提前發(fā)現(xiàn)隱藏的安全隱患。

現(xiàn)有的網(wǎng)站脆弱性檢測機制存在一些缺點，其一，漏洞檢測方式不全面：按照漏洞的檢測方式大體分為兩類，一類系統(tǒng)側(cè)重于檢測通用漏洞，另一類系統(tǒng)側(cè)重于檢測常規(guī)漏洞，前者對于未使用通用框架和建站組件搭建的網(wǎng)站檢測效果較差，后者則存在檢測行為單一，易漏掉復(fù)雜和組合攻擊形成的漏洞；其二，檢測時間不可控：在利用模糊檢測對網(wǎng)站進行全面檢測時，整體檢測時間偏長，無法及時使用戶得到目標網(wǎng)站當前的安全情況；其三，無法進行持續(xù)性監(jiān)測：現(xiàn)有的網(wǎng)站脆弱性檢測機制大多為一次性的，針對相同網(wǎng)站的第二次檢測會完全拋棄第一次的檢測結(jié)果。綜上，現(xiàn)有的網(wǎng)站脆弱性檢測方法實際使用效果不好、客戶體驗較差。

所以，如何克服現(xiàn)有網(wǎng)站脆弱性檢測方法存在的各項技術(shù)缺陷，提供一種更科學(xué)、更全面的漏洞檢測檢測方式，且能夠為客戶提供持續(xù)性的網(wǎng)站脆弱性監(jiān)測的網(wǎng)站脆弱性檢測機制是本領(lǐng)域技術(shù)人員亟待解決的問題。

發(fā)明內(nèi)容

本申請的目的是提供一種網(wǎng)站脆弱性的檢測方法，集成了通用漏洞和常規(guī)漏洞的檢測，利用目標網(wǎng)站的特征信息和獲取的Http請求進行通用漏洞檢測、利用Http請求和PayLoad插入機制進行常規(guī)漏洞檢測，為網(wǎng)站提供了更全面的漏洞檢測，對于經(jīng)過首次漏洞檢測發(fā)現(xiàn)的漏洞，還設(shè)置有漏洞復(fù)測機制，可以向客戶反饋真實的漏洞修復(fù)情況，提升了客戶的使用體驗和滿意度。

本申請的另一目的在于提供了一種網(wǎng)站脆弱性的檢測系統(tǒng)、裝置及計算機可讀存儲介質(zhì)。

為實現(xiàn)上述目的，本申請?zhí)峁┮环N網(wǎng)站脆弱性的檢測方法，該檢測方法包括：

利用預(yù)設(shè)數(shù)量的網(wǎng)絡(luò)爬蟲在目標網(wǎng)站執(zhí)行預(yù)設(shè)深度的數(shù)據(jù)爬取操作，得到特征信息和Http請求；

根據(jù)所述特征信息和所述Http請求確定所述目標網(wǎng)站包含的通用漏洞，并選取相應(yīng)的主動檢測插件對所述通用漏洞進行檢測，得到通用漏洞檢測結(jié)果；

根據(jù)所述Http請求和預(yù)設(shè)的PayLoad插入機制選用相應(yīng)的模糊檢測插件對所述目標網(wǎng)站執(zhí)行常規(guī)漏洞檢測操作，得到常規(guī)漏洞檢測結(jié)果；

當漏洞修復(fù)完畢后，根據(jù)所述通用漏洞檢測結(jié)果和所述常規(guī)漏洞檢測結(jié)果選用相應(yīng)的主動檢測插件和模糊檢測插件進行漏洞復(fù)測。

可選的，利用預(yù)設(shè)數(shù)量的網(wǎng)絡(luò)爬蟲在目標網(wǎng)站執(zhí)行預(yù)設(shè)深度的數(shù)據(jù)爬取操作，得到特征信息和Http請求，包括：