网站漏洞审核方法及装置的制造方法
【技术领域】
[0001] 本发明涉及互联网技术,具体涉及一种网站漏洞审核方法及装置。
【背景技术】
[0002] 随着互联网技术应用的越来越广泛,人们很多的日常工作和娱乐都在网络上进 行,网络已跟人们的生活息息相关。因此,网站的安全也越来越被人们所重视。然而,网络 存在着各种各样的安全隐患,比如=COOKIE中毒、应用程序缓冲溢出、跨站脚本攻击、各种 安全漏洞等等。
[0003] 漏洞发现是攻击者与防护者双方对抗的关键过程,防护者如果不能早于攻击者发 现可被利用的漏洞,攻击者就有可能利用漏洞发起攻击。越早发现并修复漏洞,信息安全事 件发生的可能性就越小。
[0004] 然而,为了提高网站的安全性,通常会对一些专业用户发送的网站漏洞发送给网 站的管理者,由于这些漏洞缺少必要的漏洞验证机制,导致误报很高,给网站的管理者带来 了 一定的打扰。
【发明内容】
[0005] 针对现有技术中的缺陷,本发明提供了一种网站漏洞审核方法及装置,该方法减 少了漏洞的误报率,保证网站的信息安全。
[0006] 第一方面,本发明提供一种网站漏洞审核装置,包括:
[0007] 接收模块,用于接收通过漏洞检测网页发送的网站漏洞信息,所述网站漏洞信息 包括:存在漏洞网站的网址、漏洞测试参数和漏洞测试结果;
[0008] 测试链接生成模块,用于根据所述网址和所述漏洞测试参数生成漏洞测试链接;
[0009] 特征信息提取模块,用于根据所述漏洞测试链接进行请求,获取所述网站的响应 消息,从所述响应消息中提取漏洞的特征信息;
[0010] 确定模块,用于在所述特征信息和所述漏洞测试结果一致时,确定接收的漏洞信 息审核通过。
[0011] 可选的,所述装置还包括:
[0012] 第一获取模块,用于在所述确定模块确定所述漏洞信息审核通过之后,获取所述 漏洞的风险评估值;
[0013] 发送模块,用于向所述网站发送所述网站存在漏洞的告警信息;
[0014] 所述告警信息包括下述的一项或多项:存在漏洞的网站的网址、所述漏洞测试参 数、所述漏洞测试结果和所述风险评估等级。
[0015] 可选的,所述装置还包括:
[0016] 第二获取模块,用于在所述发送模块发送所述漏洞的告警信息之前,获取所述网 站的管理者的联系信息;
[0017] 所述发送模块,具体用于:
[0018] 根据所述联系信息,采用与所述联系信息相匹配的方式发送所述告警信息。
[0019] 可选的,所述装置还包括:
[0020] 第一展示模块,用于在所述接收模块接收的漏洞信息审核通过时,在所述漏洞检 测网页的界面展示所述漏洞的相关信息;
[0021] 和 / 或,
[0022] 在所述漏洞检测网页的界面向用户展示所述漏洞信息提交成功的信息。
[0023] 可选的,所述方法还包括:
[0024] 第二展示模块,用于在接收的漏洞信息未审核通过时,在所述漏洞检测网页的界 面展示漏洞测试失败的提示信息。
[0025] 第二方面,本发明还提供了一种网站漏洞审核方法,包括:
[0026] 接收通过漏洞检测网页发送的网站漏洞信息,所述网站漏洞信息包括:存在漏洞 网站的网址、漏洞测试参数和漏洞测试结果;
[0027] 根据所述网址和所述漏洞测试参数生成漏洞测试链接,并根据所述漏洞测试链接 进行请求,获取所述网站的响应消息;
[0028] 从所述响应消息中提取漏洞的特征信息,比较所述特征信息和所述漏洞测试结 果,根据比较结果确定接收的漏洞信息是否审核通过。
[0029] 可选的,所述方法还包括:
[0030] 在所述漏洞信息审核通过之后,获取所述漏洞的风险评估值,并向所述网站发送 所述网站存在漏洞的告警信息;
[0031] 所述告警信息包括下述的一项或多项:存在漏洞的网站的网址、所述漏洞测试参 数、所述漏洞测试结果和所述风险评估等级。
[0032] 可选的,在向所述网站发送所述网站存在漏洞的告警信息之前,所述方法还包 括:
[0033] 获取所述网站的管理者的联系信息;
[0034] 所述向所述网站发送所述网站存在漏洞的告警信息,包括:
[0035] 根据所述联系信息,采用与所述联系信息相匹配的方式发送所述告警信息。
[0036] 可选的,所述方法还包括:
[0037] 在接收的漏洞信息审核通过时,在所述漏洞检测网页的界面展示所述漏洞的相关 信息;
[0038] 和 / 或,
[0039] 在所述漏洞检测网页的界面向用户展示所述漏洞信息提交成功的信息。
[0040] 可选的,所述方法还包括:
[0041] 在接收的漏洞信息未审核通过时,在所述漏洞检测网页的界面展示漏洞测试失败 的提不?目息。
[0042] 由上述技术方案可知,本发明提供的网站漏洞审核方法及装置,该方法通过接收 漏洞信息,并对该漏洞信息中提及的漏洞进行漏洞测试验证,在验证该漏洞存在时,再将该 漏洞信息发送给网站管理者,该方法减少了漏洞的误报率,保证网站的信息安全。
【附图说明】
[0043] 图IA为本发明一实施例提供的网站漏洞审核方法的流程示意图;
[0044] 图IB为本发明一实施例中漏洞信息的示意图;
[0045] 图2为本发明另一实施例提供的网站漏洞审核方法的流程示意图;
[0046] 图3为本发明一实施例提供的网站漏洞审核装置的结构示意图。
【具体实施方式】
[0047] 下面结合附图,对发明的【具体实施方式】作进一步描述。以下实施例仅用于更加清 楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0048] 图IA示出了本发明实施例提供的一种网站漏洞告警方法,如图IA所示,该网站漏 洞告警方法包括如下步骤:
[0049] 101、接收通过漏洞检测网页发送的网站漏洞信息,所述网站漏洞信息包括:存在 漏洞网站的网址、漏洞测试参数和漏洞测试结果;
[0050] 举例来说,上述网站漏洞信息为一些专业用户如白帽子通过漏洞检测网页提交的 漏洞信息。本实施例中的漏洞检测网页可位于任一客户端中。
[0051] 可理解的是,漏洞可包括通用漏洞和专用漏洞,所述专用漏洞为根据网站类型编 辑的唯一适用于所述网站类型的漏洞,所述通用漏洞为适用于所有网站的漏洞。具体的,通 用漏洞可以包括结构化查询语言(Structured Query Language,简称SQL)注入漏洞、跨站 (Cross Site Scripting,简称CSS)漏洞、敏感信息泄露漏洞、弱口令漏洞、HTTP报头追踪 漏洞、struts〗远程命令执行漏洞等等,专用漏洞可以包括专用的注入漏洞、专用的命令执 行漏洞、以及专用CSS漏洞,例如:Discuz_qq互联插件CSS漏洞、便民电话插件SQL注入漏 洞等等。
[0052] 当前,部分专业用户可以对计算机系统或网络系统进行分析,找出其中的安全漏 洞,但并不会恶意的去利用该漏洞,而是将漏洞信息通过漏洞检测网页上报至漏洞告警装 置。
[0053] 举例来说,上述漏洞信息中的存在漏洞的网站的网址可以为http://χχχ· com(其 中"X"可以是任意字母或数字);漏洞的测试参数可以为测试该漏洞时