本申請公開了一種漏洞上報方法及裝置。所述方法包括：接收對目標對象的掃描指令；在掃描到漏洞的情況下，基于當前信息指紋判斷所述漏洞是否滿足指紋規則；當不滿足指紋規則時，將所述漏洞發送至待決策隊列；當掃描到新的信息指紋時，基于當前信息指紋判斷所述待決策隊列中是否存在滿足指紋規則的漏洞；當所述待決策隊列中存在滿足指紋規則的目標漏洞時，將所述目標漏洞上報。采用本申請所公開的方案，不滿足指紋規則的漏洞不會直接上報，而是將其發送至待決策隊列，在發現新指紋后，基于新指紋從待決策隊列中尋找滿足指紋規則的漏洞，避免了漏洞的誤報。

技術領域

本申請涉及網絡安全領域，特別涉及一種漏洞上報方法及裝置。

背景技術

指紋識別在漏洞掃描中起到非常重要的作用，指紋識別大多用于Web網站的漏洞掃描，指紋可以是指設備操作系統對應的名稱、應用服務名稱、編程語言類型、開發框架、框架版本號等。現有技術中，在漏洞掃描過程中，一旦發現新的指紋，就會將該指紋傳給掃描器，掃描器利用識別到的指紋確定相應的漏洞，將識別到的漏洞以報表的形式展示出來，以便工作人員對漏洞進行驗證修復。

由于有些指紋在整個掃描過程中是不斷識別產生的，現有的漏洞檢測方法，一旦發現新的指紋，就會基于該指紋識別相應的漏洞，并進行上報，這就會造成已經上報的漏洞無法根據新產生的指紋判斷是否是誤報，因此，如何提供一種漏洞上報方法，以減少漏洞的誤報，提高漏洞上報的精準度，是一亟待解決的技術問題。

發明內容

本申請實施例的目的在于提供一種漏洞上報方法及裝置。

為了解決上述技術問題，本申請的實施例采用了如下技術方案：一種漏洞上報方法，包括：

接收對目標對象的掃描指令；

在掃描到漏洞的情況下，基于當前信息指紋判斷所述漏洞是否滿足指紋規則；

當不滿足指紋規則時，將所述漏洞發送至待決策隊列；

當掃描到新的信息指紋時，基于當前信息指紋判斷所述待決策隊列中是否存在滿足指紋規則的漏洞；

當所述待決策隊列中存在滿足指紋規則的目標漏洞時，將所述目標漏洞上報。

本申請的有益效果在于：不滿足指紋規則的漏洞不會直接上報，而是將其發送至待決策隊列，在發現新指紋后，基于新指紋從待決策隊列中尋找滿足指紋規則的漏洞，避免了漏洞的誤報。

在一個實施例中，當掃描到新的信息指紋時，所述方法還包括：

基于當前信息指紋判斷所述待決策隊列中是否存在誤報的漏洞；

當所述待決策隊列中存在誤報的漏洞時，將所述誤報的漏洞從所述待決策隊列中刪除。

在一個實施例中，所述方法還包括：

獲取當前信息指紋的類別；

根據所述當前信息指紋的類別確定各項當前信息指紋的級別。

在一個實施例中，所述基于當前信息指紋判斷所述漏洞是否滿足指紋規則，包括：

判斷所述當前信息指紋中是否存在與所述漏洞關聯的信息指紋；

當存在與所述漏洞關聯的信息指紋時，判斷與所述漏洞關聯的信息指紋的級別是否滿足預設條件；

當與所述漏洞關聯的信息指紋的級別滿足預設條件時，確定所述漏洞滿足指紋規則。

在一個實施例中，所述判斷所述當前信息指紋中是否存在與所述漏洞關聯的信息指紋，包括：

獲取預設的漏洞數據庫，所述漏洞數據庫用于存儲漏洞與信息指紋之間的對應關系；