专利名称:网站安全检测方法、设备和系统的制作方法
技术领域:
本发明涉及计算机网络安全,尤其涉及一种网站安全检测方法、设备和系统。
背景技术:
漏洞是指计算机系统存在的弱点或缺陷。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看,应用软件中的漏洞远远多于操作系统中的漏洞,特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。
·
漏洞发现是攻击者与防护者双方对抗的关键过程,防护者如果不能早于攻击者发现可被利用的漏洞,攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞,信息安全事件发生的可能性就越小。专业漏洞扫描系统是发现漏洞的一种重要手段,它能自动发现远程服务器端口分配,判断所提供的服务,并检测远程或本地主机安全弱点。发现漏洞后,还要进一步通过自动或手动的漏洞验证来检验漏洞扫描结果的准确性。信息系统的运行维护人员应定期进行漏洞扫描,及时发现并快速修复漏洞。在传统的网站漏洞扫描产品中,只会针对已经存在的页面进行漏洞测试,并且在发现漏洞后,缺少必要的漏洞验证机制,导致误报很高。
发明内容
鉴于上述问题,提出了本发明,以便提供一种克服上述问题或者至少部分地解决上述问题的网站安全检测方法以及相应的设备和系统。依据本发明的一个方面,提供了一种网站安全检测方法,包括步骤根据网站的网址,构造与该网站相关联的第一检测网址;利用第一检测网址来访问该网站,并基于该网站的返回结果来检测该网站是否存在漏洞;在检测结果指示该网站存在漏洞的情况下,基于第一检测网址,构造对应于第一检测网址的第二检测网址;以及利用第二检测网址来访问该网站,并基于该网站的返回结果来验证该网站是否存在漏洞。可选地,在根据本发明的实施例的网站安全检测方法中,构造第一检测网址的步骤包括在所述网站的网址中,添加根据要测试的漏洞类型或者预先定义的漏洞判断规则确定的字符串,以构造第一检测网址。可选地,在根据本发明的实施例的网站安全检测方法中,检测所述网站是否存在漏洞的步骤包括判断所述网站的返回结果是否符合预先定义的漏洞判断规则,在符合的情况下,指示所述网站存在漏洞。可选地,在根据本发明的实施例的网站安全检测方法中,构造第二检测网址的步骤包括在第一检测网址中添加验证字符串,以构造第二检测网址。
可选地,在根据本发明的实施例的网站安全检测方法中,验证所述网站是否存在漏洞的步骤包括判断网站的返回结果是否符合预先定义的漏洞判断规则;在返回结果不符合预先定义的漏洞判断规则的情况下,确定该网站存在漏洞;或者在返回结果符合预先定义的漏洞判断规则的情况下,确定该网站不存在漏洞。可选地,在根据本发明的实施例的网站安全检测方法中,验证所述网站是否存在漏洞的步骤包括利用第二检测网址多次访问网站,并获得多个返回结果;判断多个返回结果是否符合预先定义的漏洞判断规则;在多个返回结果中符合预先定义的漏洞判断规则的结果的比例大于或等于预先定义的阈值的情况下,确定网站不存在漏洞;或者在多个返回结果中符合预先定义的漏洞判断规则的结果的比例小于预先定义的阈值的情况下,确定网站存在所述漏洞。可选地,在根据本发明的实施例的网站安全检测方法中,访问所述网站的返回结果包括状态代码、页面内容、页面头部信息中的一个或者多个。
可选地,根据本发明的实施例的网站安全检测方法还包括在构造第一检测网址之前,从网站抓取网址。依据本发明的另一方面,提供了一种网站安全检测设备,包括网络接口,适于接收网址,并利用所接收的网址来访问网站,以及获得所述网站的返回结果。该网站安全检测设备还包括网址构造器,适于从网络接口获取网站的网址,并根据该网站的网址来构造与该网站相关联的第一检测网址,以及基于第一检测网址来构造对应于第一检测网址的第二检测网址,并且将第一检测网址和第二检测网址发送给所述网络接口。另外,网站安全检测设备还包括漏洞检测器,适于从网络接口接收对应于该第一检测网址的第一返回结果,基于第一返回结果来检测网站是否存在漏洞,在检测结果指示所述网站存在漏洞的情况下,从网络接口获取与第二检测网址相对应的第二返回结果,并基于第二返回结果验证所述网站是否存在漏洞。可选地,根据本发明的实施例的网站安全检测设备还可以包括存储器,适于存储漏洞库,漏洞库中记录有网址构造器用来构造第一检测网址的构造规则、以及预先定义的漏洞判断规则。依据本发明的又一方面,还提供了一种网站安全检测系统,包括根据本发明的实施例的上述网站安全检测设备;一个或者多个网站服务器,适于响应于网站安全检测设备对网站的访问,向所站安全检测设备返回结果;以及网络爬虫设备,适于从一个或者多个网站服务器抓取网站的网址,并且将网址发送给网站安全检测设备的网络接口。本发明提供了上述网站安全检测方法、设备和系统。根据本发明的实施例,可以基于利用第一检测网址访问网站所得到的返回结果来检测网站是否存在漏洞,并且基于利用对应于第一检测网址的第二检测网址访问网站所得到的返回结果来验证该漏洞的真实性,这样,能够很好地解决漏洞检测中普遍存在的误报率高的问题,极大地降低了误报率,提高了漏洞检测的质量和效率,有利于及早发现漏洞,维护信息安全。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1是根据本发明的实施例的网站安全检测方法的流程图;图2是根据本发明的一个实施例的网站安全检测方法中步骤S108的流程图;图3是根据本发明的另一个实施例的网站安 全检测方法中步骤S 108的流程图;图4是根据本发明的实施例的网站安全检测设备的框图;以及图5是根据本发明的实施例的网站安全检测系统的框图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。图1示意性地图示了根据本发明的实施例的网站安全检测方法100的流程图。如图1所示,在根据本发明的实施例的网站安全检测方法100中,该方法始于步骤S 102,在步骤S 102中,根据网站的网址,构造与该网站相关联的第一检测网址。根据本发明的实施例,网址例如可以是URL (Uniform Resource Locator,统一资源定位符),下文中以URL为例进行描述,但网址并不仅限于URL,而是可以包括任何标识网站地址的方式。根据本发明的一个实施例,在执行上述步骤S102之前,可以执行步骤SlOl :从网站抓取网址。可选地,此步骤SlOl可以通过网络爬虫来执行,S卩,网络爬虫从网站所在的网站服务器抓取网址。接下来,在步骤S102中,根据所抓取的网址,来构造与该网站相关联的第一检测网址。根据本发明的实施例,可以在该网站的网址中,添加根据要测试的漏洞类型或者预先定义的漏洞判断规则确定的字符串,以构造第一检测网址。举例来说,假设网络爬虫所抓取的网站URL为http://xxx.com (其中“x”可以是任意字母或数字),如果要测试的漏洞类型是敏感目录,则可以构造第一检测网址http://XXX. com/admin/;假设网络爬虫所抓取的网站URL为http: //webscan. xxx. com/app/,如果要测试的漏洞类型是备份目录,则可以构造第一检测网址http://webscan. xxx. com/app. bak ;假设网络爬虫抓取到了文件http://webscan. xxx. com/b. asp,如果要测试的漏洞类型是备份文件,则可以构造第一检测网址http://webscan. xxx. com/b. asp. tar. gz ;如果预先定义漏洞判断规则是XSS (Cross-Site Scripting,跨站脚本)规则,则可以在所抓取的URL后面添加字符串“<script>alert (42873)〈/script〉”,在这种情况下,如果所抓取的 URL 为 http: //aaa. com/a. asp a=l,则所构造的第一测试网址为http: //aaa. com/a. asp a=l<script>alert (42873) </script〉。本领域技术人员能够容易理解,上述构造第一检测网址的方式仅为示例,本发明的范围不限于此,还可以采用其他构造第一测试网址的方式,例如将SQL (Structured Query Language,结构化查询语言)注入规则作为预先定义的漏洞判断规则,来确定要添加的字符串。然后,在步骤S104中,利用第一检测网址来访问该网站,并基于该网站的返回结果来检测该网站是否存在漏洞。根据本发明的实施例,可以判断该网站的返回结果是否符合预先定义的漏洞判断规则,在符合的情况下,指示该网站存在漏洞。该返回结果可以包括状态代码、页面内容、页面头部信息中的一个或者多个。仍以XSS规则为例进行描述,假设利用上述第一测试网址 http: //aaa. com/a. asp a=l<script>alert (42873) </script〉访问该网站,所返回的页面内容中如果包含字符串“<script>alert (42873)〈/script〉”,则认为该返回结果符合XSS规则,指示该网站存在漏洞。类似地,如果采用SQL注入规则作为预先定义的漏洞判断规则,则此时可以判断返回结果是否符合SQL注入规则,在符合的情况·下,指示该网站存在漏洞。另外,例如利用上述第一检测网址http://xxx. com/admin/来访问网站,检测敏感目录漏洞,如果所返回的状态代码为200 (0K)、页面内容大于10个字符,则可以指示该网站存在漏洞。接下来,在步骤S106中,在检测结果指示该网站存在漏洞的情况下,基于该第一检测网址,构造对应于第一检测网址的第二检测网址。根据本发明的实施例,可以在第一检测网址中添加验证字符串,以构造第二检测网址。可选地,该验证字符串的长度大于一个字符。以上面的第一检测网址 http://xxx. com/admin/、http://webscan.xxx.com/app. bak、http ://webscan. xxx. com/b.asp. tar.gz、http ://aaa. com/a. asp a=l<script>alert (42873) </script > 为例,所构造的第二检测网址可以分另1J 为 http://xxx. com/adminXXXXX/> http ://webscan. xxx. com/appXXXXXX.bak 、http://webscan. xxx. com/bXXXX. asp. tar. gz 、http://aaa. com/aXXXXXX.asp a=l<script>alert (42873) </script〉,其中 “X” 可以为任意字符。随后,在步骤S108中,利用该第二检测网址来访问该网站,并基于该网站的返回结果来验证该网站是否存在该漏洞。图2示意性地图示了根据本发明的一个实施例的网站安全检测方法中步骤S108的流程图,如图2所示,在该实施例中,上述验证网站是否存在漏洞的步骤可以包含子步骤S108a、S108b、和 S108c。首先,在子步骤S 108a中,判断网站的返回结果是否符合预先定义的漏洞判断规则,以XSS 规则和上述第二检测网址http://aaa. com/aXXXXXX.asp a=l<script>alert (42873)〈/script〉为例,利用此第二检测网址来访问网站,如果所返回的页面内容中包含字符串“<script>alert (42873)〈/script >”,则认为该返回结果符合XSS规则,而如果所返回的页面内容中不包含字符串“<script>alert (42873)〈/script〉”,则认为该返回结果不符合XSS规则。在子步骤S 108b中,如果返回结果不符合漏洞判断规则,则可以确定该网站存在该漏洞。而在子步骤SlOSc中,如果返回结果符合漏洞判断规则的情况下,则可以确定该网站不存在该漏洞。也就是说,网站所在的服务器对于利用第一检测网址访问和利用在其中添加了任意字符串的第二检测网址访问的返回结果应当是不同的,如果相同,则可能存在误报。在上面的子步骤S108b和S108c中,如果利用第二检测网址访问网站所得到的返回结果与利用第一检测网址访问该网站得到的返回结果一致,都符合例如XSS规则,则可以确定该网站不存在该漏洞,之前基于利用第一检测网址访问网站的返回结果进行的检测所指示的漏洞为误报,无需上报该漏洞;而如果利用第二检测网址访问网站所得到的返回结果与利用第一检测网址访问该网站得到的返回结果不一致,不符合例如XSS规则,就可以确定该网站存在该漏洞,并且上报该漏洞。图3示意性地图示了根据本发明的另一个实施例的网站安全检测方法中步骤S108的流程图,如图3所示,在该实施例中,步骤S108可以包含子步骤S108a’、S108b’、S108c,和 S108d,。首先,在子步骤S108a’中,利用第二检测网址多次访问网站,并获得多个返回结果;接下来,在子步骤S108b’中,判断多个返回结果是否符合预先定义的漏洞判断规则;然后,在子步骤S108c’和S108d’中,如果多个返回结果中符合漏洞判断规则的结果的比例大 于或等于预先定义的阈值的情况下,确定该网站不存在该漏洞,而如果多个返回结果中符合漏洞判断规则的结果的比例小于预先定义的阈值的情况下,确定该网站存在该漏洞。该预先定义的阈值例如可以为O. 5,但不限于此值,而是可以根据实际需要进行选取。在该阈值为O. 5的情况下,如果多个返回结果中符合漏洞判断规则的结果多于或等于不符合漏洞判断规则的结果,则确定该网站不存在该漏洞,之前基于利用第一检测网址访问网站的返回结果进行的检测所指示的漏洞为误报,无需上报该漏洞;反之,如果多个返回结果中符合漏洞判断规则的结果少于不符合漏洞判断规则的结果,则可以确定该网站存在该漏洞,并且上报该漏洞。本发明提供了一种网站安全检测方法。根据本发明的实施例,可以基于利用第一检测网址访问网站所得到的返回结果来检测网站是否存在漏洞,并且基于利用对应于第一检测网址的第二检测网址访问网站所得到的返回结果来验证该漏洞的真实性,这样,能够很好地解决漏洞检测中普遍存在的误报率高的问题,极大地降低了误报率,提高了漏洞检测的质量和效率,有利于及早发现漏洞,维护信息安全。与上述的方法100相对应,本发明还提供了一种网站安全检测设备200。图4示意性地图示了根据本发明的实施例的网站安全检测设备的框图。参见图4,网站安全检测设备200主要包括网络接口 201、网址构造器203、漏洞检测器205。根据本发明的实施例,网络接口 201适于接收网址,并利用所接收的网址来访问网站,以及获得网站的返回结果。网址构造器203适于从网络接口 201获取网站的网址,并根据该网站的网址来构造与该网站相关联的第一检测网址,以及基于该第一检测网址来构造对应于该第一检测网址的第二检测网址,并且将第一检测网址和第二检测网址发送给网络接口 201。漏洞检测器205适于从网络接口 201接收对应于该第一检测网址的第一返回结果,基于第一返回结果来检测网站是否存在漏洞,在检测结果指示网站存在漏洞的情况下,从网络接口 201获取与第二检测网址相对应的第二返回结果,并基于第二返回结果验证网站是否存在漏洞。根据本发明的实施例,访问网站的第一返回结果和第二返回结果包括状态代码、页面内容、页面头部信息中的一个或者多个。上述网络接口 201、网址构造器203、以及漏洞检测器205可以用于执行上述方法100中的步骤S102、S104、S106、以及S108。根据本发明的实施例,网站安全检测设备200还可以包括存储器207,适于存储漏洞库,该漏洞库中记录有网址构造器用来构造第一检测网址的构造规则、以及预先定义的漏洞判断规则(如xss、SQL诸如等规则)。根据本发明的实施例,网址构造器203可以在网站的网址中,添加根据要测试的漏洞类型或者预先定义的漏洞判断规则确定的字符串,以构造第一检测网址。仍举上面针对方法100的描述中的例子,对应于网站网址http: //xxx. com、http: //webscan. xxx. com/app/、http : //webscan. xxx. com/b. asp、http : //aaa. com/a. asp a=l 的第一检测网址可以分别为 http://xxx. com/admin/、http://webscan.xxx. com/app. bak、http ://webscan. xxx. com/b. asp. tar. gz、http ://aaa. com/a. asp a=l<script>alert (42873) </script >。如上所述,漏洞检测器205从网络接口 201接收对应于该第一检测网址的第一返回结果,基于第一返回结果来检测网站是否存在漏洞。其中,漏洞检测器205判断网站的第一返回结果是否符合预先定义的漏洞判断规则,在符合的情况下,指示网站存在漏洞。
仍以XSS规则为例进行描述,假设利用上述第一测试网址http: //aaa. com/a. asp a=l<script>alert (42873) </script〉访问该网站,所返回的页面内容中如果包含字符串“〈script>alert (42873) </script〉”,则认为该第一返回结果符合XSS规则,指示该网站存在漏洞。另外,例如利用上述第一检测网址http://xxx. com/admin/来访问网站,检测敏感目录漏洞,如果所返回的状态代码为200(0K)、页面内容大于10个字符,则可以指示该网站存在漏洞。根据本发明的实施例,网址构造器203可以在第一检测网址中添加验证字符串,以构造第二检测网址。仍以上面的第一检测网址http: //xxx. com/admin/、http://webscan. xxx. com/app. bak、http://webscan. xxx. com/b. asp. tar. gz、http://aaa. com/a. asp a=l<script>alert (42873) </script > 为例,所构造的第二检测网址可以分别为 http://xxx. com/adminXXXXX/> http://webscan. xxx. com/appXXXXXX.bak、http ://webscan. xxx. com/bXXXX. asp. tar.gz、http ://aaa.com/aXXXXXX.asp a=l<script>alert (42873) </script〉,其中 “X” 可以为任意字符。根据本发明的一个实施例,漏洞检测器205判断网站的第二返回结果是否符合预先定义的漏洞判断规则,在第二返回结果不符合预先定义的漏洞判断规则的情况下,确定该网站存在该漏洞,或者在第二返回结果符合预先定义的漏洞判断规则的情况下,确定该网站不存在该漏洞。如果第二返回结果与第一返回结果一致,都符合例如XSS规则,则可以确定该网站不存在该漏洞,漏洞检测器205之前基于第一返回结果进行的检测所指示的漏洞为误报,无需上报该漏洞;而如果第二返回结果与第一返回结果不一致,不符合例如XSS规则,就漏洞检测器205可以确定该网站存在该漏洞,并且上报该漏洞。根据本发明的另一个实施例,漏洞检测器205利用第二检测网址多次访问该网站,并获得多个第二返回结果;判断多个第二返回结果是否符合预先定义的漏洞判断规则;在多个第二返回结果中符合预先定义的漏洞判断规则的结果的比例大于或等于预先定义的阈值的情况下,确定网站不存在该漏洞;或者在多个第二返回结果中符合预先定义的漏洞判断规则的结果的比例小于预先定义的阈值的情况下,确定该网站存在该漏洞。该预先定义的阈值例如可以为0. 5,但不限于此值,而是可以根据实际需要进行选取。在该阈值为0. 5的情况下,如果多个第二返回结果中符合漏洞判断规则的结果多于或等于不符合漏洞判断规则的结果,则确定该网站不存在该漏洞,之前基于第一返回结果进行的检测所指示的漏洞为误报,无需上报该漏洞;反之,如果多个第二返回结果中符合漏洞判断规则的结果少于不符合漏洞判断规则的结果,则可以确定该网站存在该漏洞,并且上报该漏洞。由于上述各设备(装置)实施例与前述各方法实施例相对应,因此不再对各装置实施例进行详细描述。根据本发明的又一方面,还提供了一种网站安全检测系统1000。图5示意性地图示了根据本发明的实施例的网站安全检测系统1000的框图,参见图5,网站安全检测系统1000可以包括上述的网站安全检测设备200 ;还包括一个或者多个网站服务器300-1、…、300-n,适于响应于网站安全检测设备200对网站的访问,向网站安全检测设备200返回结果;还包括网络爬虫设备400,适于从一个或者多个网站服务器300-1、…、300-n抓取网站的网址,并且将网址发送给网站安全检测设备200。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种 编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的装置中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个装置中。可以把实施例中的若干模块组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者模块中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个装置实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP )来实现根据本发明实施例的装置中的一些或者全部模块的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件 项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种网站安全检测方法,包括步骤根据网站的网址,构造与该网站相关联的第一检测网址(S102);利用所述第一检测网址来访问该网站,并基于该网站的返回结果来检测所述网站是否存在漏洞(S104);在检测结果指示所述网站存在漏洞的情况下,基于所述第一检测网址,构造对应于所述第一检测网址的第二检测网址(S106);以及利用所述第二检测网址来访问该网站,并基于该网站的返回结果来验证所述网站是否存在所述漏洞(S108)。
2.如权利要求1所述的方法,其中所述构造第一检测网址(S102)的步骤包括在所述网站的网址中,添加根据要测试的漏洞类型或者预先定义的漏洞判断规则确定的字符串, 以构造所述第一检测网址。
3.如权利要求1或2所述的方法,其中所述检测所述网站是否存在漏洞(S104)的步骤包括判断所述网站的返回结果是否符合预先定义的漏洞判断规则,在符合的情况下,指示所述网站存在漏洞。
4.如权利要求1或2所述的方法,其中所述构造第二检测网址(S106)的步骤包括在所述第一检测网址中添加验证字符串,以构造第二检测网址。
5.如权利要求1或2所述的方法,其中所述验证所述网站是否存在所述漏洞(S108)的步骤包括判断所述网站的返回结果是否符合所述预先定义的漏洞判断规则(SlOSa);在所述返回结果不符合所述预先定义的漏洞判断规则的情况下,确定所述网站存在所述漏洞(S108b);或者在所述返回结果符合所述预先定义的漏洞判断规则的情况下,确定所述网站不存在所述漏洞(S108c)。
6.如权利要求1-4中任一个所述的方法,其中所述验证所述网站是否存在所述漏洞 (S108)的步骤包括,利用所述第二检测网址多次访问所述网站,并获得多个返回结果(S108a’);判断所述多个返回结果是否符合所述预先定义的漏洞判断规则(S108b’);在所述多个返回结果中符合所述预先定义的漏洞判断规则的结果的比例大于或等于预先定义的阈值的情况下,确定所述网站不存在所述漏洞(S108c’);或者在所述多个返回结果中符合所述预先定义的漏洞判断规则的结果的比例小于预先定义的阈值的情况下,确定所述网站存在所述漏洞(S108d’)。
7.如权利要求1-6中任一个所述的方法,其中所述访问所述网站的返回结果包括状态代码、页面内容、页面头部信息中的一个或者多个。
8.如权利要求1-7中任一个所述的方法,还包括在构造所述第一检测网址(S102)之前,从所述网站抓取网址(SlOl )。
9.一种网站安全检测设备(200),包括网络接口(201),适于接收网址,并利用所接收的网址来访问网站,以及获得所述网站的返回结果;网址构造器(203),适于从所述网络接口(201)获取网站的网址,并根据该网站的网址来构造与该网站相关联的第一检测网址,以及基于所述第一检测网址来构造对应于所述第一检测网址的第二检测网址,并且将所述第一检测网址和第二检测网址发送给所述网络接口(201);漏洞检测器(205),适于从所述网络接口(201)接收对应于该第一检测网址的第一返回结果,基于所述第一返回结果来检测所述网站是否存在漏洞,在检测结果指示所述网站存在漏洞的情况下,从所述网络接口获取与所述第二检测网址相对应的第二返回结果,并基于所述第二返回结果验证所述网站是否存在漏洞。
10.如权利要求9所述的设备,还包括存储器(207),适于存储漏洞库,所述漏洞库中记录有网址构造器用来构造第一检测网址的构造规则、以及预先定义的漏洞判断规则。
11.如权利要求9或10所述的设备,其中所述网址构造器(203)在所述网站的网址中, 添加根据要测试的漏洞类型或者预先定义的漏洞判断规则确定的字符串,以构造所述第一检测网址。
12.如权利要求9或10所述的设备,其中所述漏洞检测器(205)判断所述网站的第一返回结果是否符合预先定义的漏洞判断规则,在符合的情况下,指示所述网站存在漏洞。
13.如权利要求9或10所述的设备,其中所述网址构造器(203)在所述第一检测网址中添加验证字符串,以构造第二检测网址。
14.如权利要求9-13中任一个所述的设备,其中所述漏洞检测器(205)判断所述网站的第二返回结果是否符合所述预先定义的漏洞判断规则,在所述第二返回结果不符合所述预先定义的漏洞判断规则的情况下,确定所述网站存在所述漏洞,或者在所述第二返回结果符合所述预先定义的漏洞判断规则的情况下,确定所述网站不存在所述漏洞。
15.如权利要求9-13中任一个所述的设备,其中所述漏洞检测器(205)利用所述第二检测网址多次访问所述网站,并获得多个第二返回结果;判断所述多个第二返回结果是否符合所述预先定义的漏洞判断规则;在所述多个第二返回结果中符合所述预先定义的漏洞判断规则的结果的比例大于或等于预先定义的阈值的情况下,确定所述网站不存在所述漏洞;或者在所述多个第二返回结果中符合所述预先定义的漏洞判断规则的结果的比例小于预先定义的阈值的情况下,确定所述网站存在所述漏洞。
16.如权利要求9-15中任一个所述的设备,其中所述访问所述网站的第一返回结果和第二返回结果包括状态代码、页面内容、页面头部信息中的一个或者多个。
17.一种网站安全检测系统(1000),包括如权利要求9-16所述的网站安全检测设备(200);一个或者多个网站服务器(300-1,…,300-n),适于响应于所述网站安全检测设备 (200)对网站的访问,向所述网站安全检测设备(200)返回结果;以及网络爬虫设备(400),适于从所述一个或者多个网站服务器(300-1,…,300-n)抓取网站的网址,并且将所述网址发送给所述网站安全检测设备(200)。
全文摘要
本发明公开了一种网站安全检测方法、设备和系统,其中所述方法包括步骤根据网站的网址,构造与该网站相关联的第一检测网址;利用所述第一检测网址来访问该网站,并基于该网站的返回结果来检测所述网站是否存在漏洞;在检测结果指示所述网站存在漏洞的情况下,基于所述第一检测网址,构造对应于所述第一检测网址的第二检测网址;以及利用所述第二检测网址来访问该网站,并基于该网站的返回结果来验证所述网站是否存在所述漏洞。
文档编号H04L29/06GK103001946SQ20121042812
公开日2013年3月27日 申请日期2012年10月31日 优先权日2012年10月31日
发明者龙专, 赵武 申请人:北京奇虎科技有限公司