本發(fā)明公開(kāi)了一種網(wǎng)頁(yè)漏洞掃描方法及系統(tǒng)，通過(guò)對(duì)用戶所提供的預(yù)置網(wǎng)頁(yè)信息進(jìn)行爬行掃描，并且掃描獲得預(yù)置網(wǎng)頁(yè)中所包含的有可能存在漏洞的其他的所有網(wǎng)頁(yè)信息，最后通過(guò)預(yù)設(shè)的各種漏洞測(cè)試方法對(duì)預(yù)置網(wǎng)頁(yè)信息和掃描獲得的所有網(wǎng)頁(yè)信息進(jìn)行漏洞測(cè)試，從而判斷預(yù)置網(wǎng)頁(yè)信息中是否存在危險(xiǎn)漏洞或包含有存在危險(xiǎn)漏洞的其他網(wǎng)頁(yè)，實(shí)現(xiàn)了網(wǎng)頁(yè)的自行檢測(cè)，有利于用戶提前發(fā)現(xiàn)網(wǎng)頁(yè)可能存在的漏洞，從而盡早采取防御措施，防止遭到不法分子的攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)頁(yè)漏洞掃描方法及系統(tǒng)。

背景技術(shù)

近年來(lái)，隨著信息科技的進(jìn)步和互聯(lián)網(wǎng)的發(fā)展，對(duì)公眾開(kāi)放的最多的互聯(lián)網(wǎng)服務(wù)的表現(xiàn)形式就是由網(wǎng)頁(yè)形成的網(wǎng)頁(yè)系統(tǒng)。網(wǎng)頁(yè)系統(tǒng)由于具有信息發(fā)布、業(yè)務(wù)流轉(zhuǎn)等功能，已成為了目前人們?nèi)粘Ｉ钪胁豢苫蛉钡牟糠帧?/p>

目前針對(duì)網(wǎng)頁(yè)的攻擊是最容易且普遍的，黑客和不法分子的持續(xù)活躍，使得網(wǎng)頁(yè)本身的安全性面臨著極大的威脅。而只有網(wǎng)頁(yè)本身做到無(wú)漏洞，才能夠防止不法分子的惡意攻擊。

現(xiàn)有技術(shù)中缺乏對(duì)網(wǎng)頁(yè)進(jìn)行自行檢測(cè)的方法，使得網(wǎng)頁(yè)存在漏洞時(shí)，網(wǎng)頁(yè)的持有者難以有效發(fā)現(xiàn)網(wǎng)頁(yè)的漏洞，從而令不法分子有了可乘之機(jī)。

發(fā)明內(nèi)容

本發(fā)明提供了一種網(wǎng)頁(yè)漏洞掃描方法及系統(tǒng)，解決了現(xiàn)有技術(shù)中缺乏對(duì)網(wǎng)頁(yè)進(jìn)行自行檢測(cè)的方法，使得網(wǎng)頁(yè)存在漏洞時(shí)，網(wǎng)頁(yè)的持有者難以有效發(fā)現(xiàn)網(wǎng)頁(yè)的漏洞的技術(shù)問(wèn)題。

本發(fā)明提供的一種網(wǎng)頁(yè)漏洞掃描方法，包括：

對(duì)預(yù)置網(wǎng)頁(yè)信息進(jìn)行爬行掃描，獲得所述預(yù)置網(wǎng)頁(yè)信息內(nèi)所包含的所有網(wǎng)頁(yè)信息；

采用預(yù)設(shè)的漏洞測(cè)試方法對(duì)所述預(yù)置網(wǎng)頁(yè)信息和所述所有網(wǎng)頁(yè)信息進(jìn)行漏洞測(cè)試，并獲得漏洞測(cè)試結(jié)果。

優(yōu)選地，所述對(duì)預(yù)置網(wǎng)頁(yè)信息進(jìn)行爬行掃描，獲得所述預(yù)置網(wǎng)頁(yè)信息內(nèi)所包含的所有網(wǎng)頁(yè)信息具體包括：

對(duì)預(yù)置的統(tǒng)一資源定位符進(jìn)行訪問(wèn)和爬行分析，獲得所述預(yù)置的統(tǒng)一資源定位符的訪問(wèn)結(jié)果中包含的其他的統(tǒng)一資源定位符。

優(yōu)選地，所述獲得所述預(yù)置的統(tǒng)一資源定位符的訪問(wèn)結(jié)果中包含的其他的統(tǒng)一資源定位符之后還包括：

對(duì)所述其他的統(tǒng)一資源定位符進(jìn)行訪問(wèn)和爬行分析，獲得所述其他的統(tǒng)一資源定位符的訪問(wèn)結(jié)果中包含的新的統(tǒng)一資源定位符，并根據(jù)所述新的統(tǒng)一資源定位符循環(huán)進(jìn)行統(tǒng)一資源定位符的爬行查找，直至無(wú)新的統(tǒng)一資源定位符出現(xiàn)。

本發(fā)明提供的網(wǎng)頁(yè)漏洞掃描方法，還包括：

在獲得統(tǒng)一資源定位符時(shí)，對(duì)獲得的統(tǒng)一資源定位符按照正則表達(dá)式進(jìn)行解析，并將解析得到的解析值加入待測(cè)試列表中；

在獲得新的統(tǒng)一資源定位符時(shí)，對(duì)新的統(tǒng)一資源定位符按照正則表達(dá)式進(jìn)行解析，并將解析得到的新的解析值與待測(cè)試列表中的解析值進(jìn)行比對(duì)，若比對(duì)得所述新的解析值與所述待測(cè)試列表中的解析值一致時(shí)，丟棄所述新的統(tǒng)一資源定位符。

優(yōu)選地，在對(duì)統(tǒng)一資源定位符進(jìn)行訪問(wèn)且獲得的訪問(wèn)結(jié)果為需要登錄信息進(jìn)行登錄時(shí)，采用cookie輸入的方式獲得有效的用戶登錄信息，并根據(jù)所述用戶登錄信息獲得登錄后的訪問(wèn)界面。

優(yōu)選地，所述預(yù)設(shè)的漏洞測(cè)試方法包括：

端口掃描、溢出測(cè)試、結(jié)構(gòu)化查詢語(yǔ)言SQL注入攻擊、跨站攻擊和Cookie注入。

本發(fā)明提供的網(wǎng)頁(yè)漏洞掃描方法，還包括：

對(duì)所述預(yù)置網(wǎng)頁(yè)信息和所述所有網(wǎng)頁(yè)信息進(jìn)行安全性檢查；

所述安全性檢查包括檢查應(yīng)用系統(tǒng)架構(gòu)、檢查身份認(rèn)證模塊、檢查數(shù)據(jù)庫(kù)接口模塊和檢查文件接口模塊。

本發(fā)明提供的一種網(wǎng)頁(yè)漏洞掃描系統(tǒng)，包括：