机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通信方式实现通信,包括但不限于,基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。
[0052]本领域技术人员应当理解,本发明所称的“应用”、“应用程序”、“应用软件”以及类似表述的概念,是业内技术人员所公知的相同概念,是指由一系列计算机指令及相关数据资源有机构造的适于电子运行的计算机软件。除非特别指定,这种命名本身不受编程语言种类、级别,也不受其赖以运行的操作系统或平台所限制。理所当然地,此类概念也不受任何形式的终端所限制。
[0053]如图1所示,根据本发明一个实施例的网站漏洞检测方法,包括:
[0054]SI,通过旁路侦听获取请求包,识别请求包中访问的目标IP,确定目标IP对应的目标网段;
[0055]优选地,可以通过旁路侦听从交换机获取请求包。
[0056]通过旁路侦听的方式,从网站接收交换机的数据,可以借助交换机获取接入该交换机的架设有已知特定网站的服务器即将收到的请求包,无论是通过本机侦听网卡而获取所述的请求包,还是由其他设备侦听网卡获取所述的请求包后汇聚到本机,均能对这些请求包进行集中的后续处理,确定出这些请求包中的访问目标IP,然后查询目标IP对应的目标网段。
[0057]采用旁路侦听的方式获取请求包,每当存在网络访问请求时,都可以获取对应的IP,从而实现对相应网段的自动检测。例如当开发人员制作完成一个新的网页,将该网页上线,开发人员对该网页进行测试性访问,此时就可以通过旁路侦听方式获取对该网页访问的请求包,进而获取访问的IP,查询IP对应的网段,然后对网段中所有的IP进行漏洞检测,进而实现对网段对应网站的漏洞检测。检测操作无需人工设置,实现了对网段对应网站的自动检测。
[0058]S2,检测目标网段中每个IP对应的网站是否存在漏洞;
[0059]S3,根据漏洞检测结果生成提示信息。
[0060]提示信息可以通过图形用户界面展现。
[0061]当然,图形用户界面中除了展现提示信息以外,还可供用户指定待检测的网段和/或IP,在通过侦听方式实现自动检测的同时,提供用户手动指定待检测的网段和/或IP的功能,从而实现更加全面的检测。
[0062]优选地,识别请求包中访问的目标IP,确定目标IP对应的目标网段(SI)包括:
[0063]识别目标IP所属的第一用户以及目标网段所属的第二用户,若目标IP属于目标网段,且第一用户和第二用户为同一目标用户,则判定目标网段中的所有IP均属于目标用户,
[0064]则根据漏洞检测结果生成提示信息(S3)包括:
[0065]将提示信息发送至目标用户。
[0066]在某些情况下,由于业务变更,一个网段中的IP对于用户的从属关系也会发生变更,例如a网段192.168.1.1至192.169.128属于用户A,但是因为业务变更,其中的IP地址192.168.1.1至192.168.1.64变更为属于用户B,但是在这种情况下,并未对a网段所属的用户进行变更,此时就需要对目标IP所属的目标网段进行具体判定,以避免网段所属用户的判定错误。
[0067]在确定了目标网段的所属用户后,IP和网段与用户的对应关系主要包括以下三种:
[0068]其一,目标IP属于目标网段,且目标IP属于用户A;
[0069]其二,目标IP不属目标网段,而目标IP属于用户A ;
[0070]其三,目标IP属于目标网段,而目标IP不属于用户A ;
[0071]其中,对于第一种情况,当目标IP和目标网段属于同一用户时,则可以判定该网段属于该用户,从而对网段中的IP进行漏洞检测,并生成提示信息发送至相应用户。
[0072]优选地,确定目标IP对应的目标网段(SI)包括:
[0073]若目标IP不属于目标网段,且第一用户和第二用户为同一目标用户,则根据目标IP扩展目标网段。即上述第二种情况,此时说明用户A所属的a网段已经无法完全包含属于用户A的所有IP 了,因此可以根据目标IP对a网段进行扩展,例如a网段包含IP地址192.168.1.1至192.169.128,而目标IP为192.169.200,那么可以对应用户A的a网段扩展为 IP 地址 192.168.1.1 至 192.169.200。
[0074]优选地,确定目标IP对应的目标网段(SI)包括:
[0075]若目标IP属于目标网段,且第一用户和第二用户为不同用户,则根据目标IP缩小目标网段。即上述第三种情况,此时说明用户A所属的a网段中包含了不属于用户A的所有IP 了,因此需要根据目标IP对a网段进行缩小,以保证a网段所包含的IP均属于用户A0
[0076]优选地,根据目标IP缩小目标网段包括:
[0077]识别目标IP在目标网段中的目标位置,在目标网段中,从目标位置分别向目标网段的两端识别IP所对应的用户,当识别到IP对应目标用户,以识别到的IP到其对应的目标网段的一端作为缩小后的网段。对于目标网段的具体缩小操作可以根据目标IP在目标网段中的目标位置进行。例如a网段包含IP地址192.168.1.1至192.169.128,其中的IP地址192.169.100不属于用户A,则根据IP地址192.169.100在a网段中的位置向其两端查询IP,例如依次查询192.169.101,192.169.102,192.169.103…对应的用户,以及192.169.99、192.169.98、192.169.97…对应的用户,当识别到IP对应的用户为用户A时,说明该IP为a网段的一端,例如识别到192.169.88对应用户A,那么对应的目标网段的一端为192.168.1.1,则可以将a网段缩小为192.168.1.1至192.169.88。从而保证在后续的网段检测操作中,能够准确地确定属于用户A的网段中所包含的IP。
[0078]优选地,确定目标IP对应的目标网段(SI)还包括:
[0079]查询目标IP的属性信息,根据属性信息判断目标IP对应的其他用户,根据IP扩展属于其他用户的网段。
[0080]在上述第三种情况下,由于识别到IP地址192.169.100不属于用户A,那么说明存在其他用户的IP地址得到了扩充,因此可以根据该IP的属性信息查询其实际对应的用户,例如查询其对应链接中的字符,WWW.163.XXX.com,其中包含字符“163”,与网易邮箱相关,因此可以将其与用户网易进行匹配,在判定其为用户网易的IP地址时,对用户网易的网段进行扩充。当然,除了根据链接中的字符查询IP地址实际对应的用户,还可以根据该链接的域名注册人、备案号等信息查询。
[0081]如图2所示,根据本发明一个实施例的网站漏洞检测系统20包括:
[0082]侦听单元21,用于通过旁路侦听获取请求包;
[0083]IP识别单元22,用于识别请求包中访问的目标IP,确定目标IP对应的目标网段;
[0084]检测单元23,用于检测目标网段中每个IP对应的网站是否存在漏洞;
[0085]提示单元24,用于根据漏洞检测结果生成提示信息。
[0086]如图3所示,网站漏洞检测系统20可以通过旁路侦听的方式,从网站接收交换机的数据,可以借助交换机获取接入该交换机的架设有已知特定网站的服务器即将收到的请求包,无论是通过本机侦听网卡而获取所述的请求包,还是由其他设备侦听网卡获取所述的请求包后汇聚到本机,均能对这些请求包进行集中的后续处理,确定出这些请求包中的访问目标IP,然后查询目标IP对应的目标网段,以实现针对网段的自动检测。
[0087]其中网络侧的服务器可以是IDC,即互联网数据中心。用户侧除了包括开发人员、业务人员以及网站漏洞检测系统20,还可以包括登陆服务器的用户终端(图中未示出)。
[0088]简单的企业网站可能将各个服务器直接接入一个交换机提供服务,网站漏洞检测系统20接入该交换机中,更为复杂的,多个服务器可以分别接入不同的交换机来提供服务。安装有本发明的软件的设备,特别是其用于采集交换机数据的功能逻辑部份,而不一定是该软件本身,配置有这一功能逻辑的计算机设备,适宜接入最靠近服务器的交换机处。当然,理论上也可接入这些交换机的上级交换机中。可见,这种架构的形成,是基于网络拓扑原理、是否分布式设计而实施的,理论上并不影响本发明的实现,但却在某种程度上要求本发明实现具有灵活适应性的开放架构。
[0089]优选地,IP识别单元22包括:
[0090]用户识别子单元221,识别目标IP所属的第一用户以及目标网段所属的第二用户;
[0091]判断子单元222,用于判断目标IP是否属于目标网段,以及第一用户和第二用户是否为同一目标用户,若目标IP属于目标网段,且第一用户和第二用户为同一目标用户,则判定目标网段中的所有IP均属于目标用户,则判定目标网段中的所