自动漏洞检测的方法、装置、系统、设备和存储介质与流程

1.本技术涉及计算机安全技术领域，尤其涉及一种自动漏洞检测的方法、装置、系统、设备和存储介质。


背景技术：

2.对软件系统进行安全扫描可以及时发现系统漏洞。现有技术例如可以通过黑盒扫描技术(dast)等漏洞检测工具来爬取系统链接，插入常规payload，检测响应信息间的差异来判断系统是否存在安全漏洞。
3.但是现有技术中，鉴于应用系统的授权问题，漏洞检测工具执行前需要给其赋值cookie或token等信息。这就需要每轮操作前测试人员手动登录目标网站，获取目标的cookie等信息，再填入漏洞检测工具的扫描信息中。此方案会额外增加测试人员工作量。而且由于软件系统迭代开发需求量大，漏洞检测频繁，这就需要人工重复登录目标系统获取cookie或token等授权信息，工作效率低而且人工成本高。


技术实现要素：

4.为了解决现有技术中需要重复登录系统获取授权信息导致工作效率低、人工成本高的技术问题。本技术提供了一种自动漏洞检测的方法、装置、系统、设备和存储介质，其主要目的在于自动化获取授权信息以实现自动化漏洞检测。
5.为实现上述目的，本技术提供了一种自动漏洞检测的方法，该方法包括：
6.获取待检测系统的登录数据，其中，登录数据包括登录地址、登录账号、登录密码和登录规则；
7.根据登录地址模拟访问待检测系统的登录页面；
8.基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作；
9.若登录成功，则获取登录后的授权信息，其中，授权信息用于标识或验证登录账号；
10.基于关键信息创建扫描任务，并执行扫描任务以对待检测系统进行漏洞检测，其中，关键信息包括待检测系统的版本号、登录地址和登录密码、登录账号及授权信息。
11.此外，为实现上述目的，本技术还提供了一种自动漏洞检测的系统，该自动漏洞检测的系统包括漏洞检测相关数据提供平台和漏洞检测平台；
12.漏洞检测相关数据提供平台，用于获取待检测系统的登录数据，其中，登录数据包括登录地址、登录账号、登录密码和登录规则，根据登录地址模拟访问待检测系统的登录页面，基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作，若登录成功，则获取登录后的授权信息，其中，授权信息用于标识或验证登录账号，将待检测系统的关键信息提供给漏洞检测平台；
13.漏洞检测平台，用于基于关键信息创建扫描任务，调用漏洞检测工具，利用漏洞检测工具执行扫描任务以对待检测系统进行漏洞检测，其中，关键信息包括待检测系统的版
本号、登录地址和登录密码、登录账号及授权信息。
14.此外，为实现上述目的，本技术还提供了一种自动漏洞检测的装置，该装置包括：
15.第一数据获取模块，用于获取待检测系统的登录数据，其中，登录数据包括登录地址、登录账号、登录密码和登录规则；
16.页面访问模块，用于根据登录地址模拟访问待检测系统的登录页面；
17.模拟登录模块，用于基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作；
18.授权信息获取模块，用于若登录成功，则获取登录后的授权信息，其中，授权信息用于标识或验证登录账号；
19.信息提供模块，用于基于关键信息创建扫描任务，并执行扫描任务以对待检测系统进行漏洞检测，其中，关键信息包括待检测系统的版本号、登录地址和登录密码、登录账号及授权信息。
20.为实现上述目的，本技术还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令，处理器执行计算机可读指令时执行如前面任一项的自动漏洞检测的方法的步骤。
21.为实现上述目的，本技术还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机可读指令，计算机可读指令被处理器执行时，使得处理器执行如前面任一项的自动漏洞检测的方法的步骤。
22.本技术提出的自动漏洞检测的方法、装置、系统、设备和存储介质，通过模拟登录待检测系统自动获取授权信息，根据登录地址、版本号、授权信息自动创建扫描任务，执行扫描任务以对待检测系统进行漏洞检测。不再需要人为登录网址获取授权信息手动创建扫描任务，实现了自动化漏洞检测，减少了安全开发生命周期的人力资源投入，节省人工成本，提高了漏洞检测效率；另外，自动化扫描减少了人员配置环境过程中操作不规范和配置错误导致的检测失败的发生，减少安全事件的发生。
附图说明
23.图1为本技术一实施例中自动漏洞检测的方法的流程示意图；
24.图2为本技术一实施例中自动漏洞检测的方法的应用场景图；
25.图3为本技术一实施例中自动漏洞检测的装置的结构框图；
26.图4为本技术一实施例中计算机设备的内部结构框图。
27.本技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
28.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。应当理解，此处所描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
29.图1为本技术一实施例中自动漏洞检测的方法的流程示意图。参考图1，该自动漏
洞检测的方法包括以下步骤s100-s500。
30.s100：获取待检测系统的登录数据，其中，登录数据包括登录地址、登录账号、登录密码和登录规则。
31.具体地，定时从版本发布平台获取各个系统的发版时间；将未到达对应发版时间的系统确定为待检测系统，同一个软件系统可能有多个不同版本的待检测系统。已到达对应发版时间的系统在未发版前已经经过漏洞检测，因此已经发布的系统不需要再进行发版前的漏洞检测。
32.登录数据预先存储在自动漏洞检测的系统所包含的漏洞检测相关数据提供平台。登录规则用于指导漏洞检测相关数据提供平台如何成功登录到待检测系统。每一种待检测系统对应一登录数据。
33.登录账号和登录密码具体为测试账号的登录账号和登录密码。
34.另外，版本发布平台可以是漏洞检测相关数据提供平台本身，也可以是其他现有的通用性平台。
35.s200：根据登录地址模拟访问待检测系统的登录页面。
36.具体地，漏洞检测相关数据提供平台具有模拟人工访问页面的功能，因此漏洞检测相关数据提供平台可以自动根据待检测系统的登录地址登录到待检测系统的登录页面。
37.s300：基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作。
38.具体地，漏洞检测相关数据提供平台具有模拟人工登录页面的功能，因此漏洞检测相关数据提供平台可以自动将登录账号和登录密码填入登录页面中对应的输入框，以模拟人工登录过程。
39.s400：若登录成功，则获取登录后的授权信息，其中，授权信息用于标识或验证登录账号。
40.具体地，如果登录成功，漏洞检测相关数据提供平台会获取到待检测系统所对应的服务器提供的授权信息。授权信息例如可以为token或cookie或headers等不局限于此。
41.其中，token为服务器在用户登录时使用密钥对用户信息进行签名并将用户信息和签名组合得到的。服务器会将这个token传给漏洞检测相关数据提供平台。漏洞检测相关数据提供平台会将这个token发送给漏洞检测平台，漏洞检测平台对待检测系统进行一些需要授权才能执行的漏洞检测时，会向待检测系统的服务器发起请求，该请求中的请求头会携带该token。待检测系统的服务器接收到这个token，使用同一个密钥对用户信息部分进行签名，再和token中的签名部分做比较，如果相等说明token没有被窜改，从而授权允许漏洞检测平台对待检测系统执行相关的漏洞检测。
42.cookie是待检测系统的服务器在用户(测试账号)登录时生成的用户唯一标识，即sessionid保存在该待检测系统的服务器上，服务器将该sessionid通过set-cookie头部传给漏洞检测相关数据提供平台保存到cookie。漏洞检测相关数据提供平台将cookie传给送给漏洞检测平台。漏洞检测平台下次向待检测系统发送用于漏洞检测的请求时会自动带上sessionid给服务器，服务器再去查对应的用户id，在核实用户id后，授权允许漏洞检测平台对待检测系统执行相关的漏洞检测。
43.s500：基于关键信息创建扫描任务，并执行扫描任务以对待检测系统进行漏洞检测，其中，关键信息包括待检测系统的版本号、登录地址和登录密码、登录账号及授权信息。
44.具体地，漏洞检测相关数据提供平台会将待检测系统的版本号、登录地址和授权信息传至漏洞检测平台，以调用并触发漏洞检测平台的任务创建接口进行扫描任务的创建。
45.漏洞检测平台可以对每个待检测系统进行漏洞检测，因此需要为每个待检测系统创建对应的扫描任务。漏洞检测平台会根据待检测系统的登录地址以及测试账号的登录账号、登录密码和授权信息在登录状态下去爬取待检测系统对应版本号的其他链接，并根据爬取到的链接对对应版本号的待检测系统进行扫描任务创建和漏洞检测。如果未填写cookie等授权信息，则扫描账户在没有登录的状态下没有权限扫描登录后待检测系统的应用功能。因此，授权信息可以用来授权利用测试账号进行漏洞检测时对待检测系统相应的访问功能，进而更全面的对待检测系统进行漏洞检测。
46.漏洞检测具体是在爬取到的链接中插入常规payload，检测响应信息间的差异来判断系统是否存在安全漏洞。这种漏洞检测无需了解应用在系统级别的内部交互或设计，也无需访问或查看源程序，即可检查正在运行的应用。大大降低了测试成本。
47.另外，漏洞检测相关数据提供平台和漏洞检测平台可以是同一个平台，也可以是通过网络通信的两个不同平台。
48.再次，通过定时执行步骤s100-s500，可以在软件系统开发生命周期中自动定时启动对系统版本进行漏洞检测，进一步保障了软件系统的安全，同时也减少了人为干预。
49.本实施例通过模拟登录待检测系统自动获取授权信息，根据登录地址、版本号、授权信息自动创建扫描任务，执行扫描任务以对待检测系统进行漏洞检测。不再需要人为登录网址获取授权信息手动创建扫描任务，实现了自动化漏洞检测，减少了安全开发生命周期的人力资源投入，节省人工成本，提高了漏洞检测效率；另外，自动化扫描减少了人员配置环境过程中操作不规范和配置错误导致的检测失败的发生，减少安全事件的发生。
50.在一个实施例中，基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作，包括：
51.对登录页面进行文字识别，定位登录页面的输入框；
52.将登录账号和登录密码分别填入登录页面对应的输入框中；
53.定位登录页面中用于指示登录的目标按钮；
54.触发目标按钮以请求登录。
55.具体地，本实施例在没有验证的情况下只需要将测试账号的登录账号和登录密码填入登录页面对应的输入框即可，然后定位并触发登录页面上用于指示登录的目标按钮即可模拟人工登录。
56.登录规则中写明了待检测系统的登录页面中填写登录账号的输入框的名称，例如名称为“手机号”或“登录账号”，通过文字识别“手机号”或“登录账号”即可定位到其所指示的账号输入框。登录规则中写明了填写登录密码的输入框的名称，例如名称为“登录密码”，通过文字识别“登录密码”即可定位到其所指示的密码输入框。登录规则还写明了登录页面上目标按钮的名称，例如目标按钮为“登录”，则定位为“登录”的按钮，点击该目标按钮即可向待检测系统请求登录账号。
57.待检测系统接收到账号登录请求后提取出其中的登录账号和登录密码进行验证，如果验证通过则待检测系统的服务器向漏洞检测相关数据提供平台提供授权信息。
58.在一个实施例中，在定位登录页面中用于指示登录的目标按钮之前，该方法还包括：
59.获取登录页面的验证方式；
60.根据验证方式从登录规则中确定目标验证规则；
61.根据目标验证规则定位并操作登录页面中的验证组件，执行模拟验证操作。
62.本实施例用于需要验证的登录页面。在定位目标按钮前还需要进行验证。验证方式包括短信验证、图形码验证、滑块验证等不局限于此。
63.不同的验证方式其验证规则不同。因此漏洞检测相关数据提供平台需要获取待检测系统登录页面的验证方式。更具体地，漏洞检测相关数据提供平台可以通过爬取待检测系统来获取其登录页面的验证方式。也可以是登录数据中预先存储有待检测系统的验证方式，从登录数据中提取验证方式即可。
64.为了使登录规则更具有通用性，登录规则中可以设有多种不同的验证规则，不同的验证方式调用不同的验证规则。验证规则用于指导在登录页面的验证。
65.当然，还可以在每个待检测系统的登录规则中直接指定待检测系统的唯一验证规则即可，此时不需要获取验证方式。
66.验证规则用于定位登录页面中的验证组件，以及操作验证组件以获取并填写验证码或操作验证组件以通过验证。
67.不同的验证方式验证组件不同，例如验证组件可以为短信验证组件、图形码验证组件、滑块验证组件等不局限于此。
68.验证通过后再定位并触发目标按钮即可向待检测系统请求登录。
69.本实施例实现了对需要验证的登录页面的自动登录。
70.在一个实施例中，根据目标验证规则定位并操作登录页面中的验证组件，执行模拟验证操作，包括：
71.若验证方式为短信验证，则基于短信验证规则定位登录页面中的短信验证组件，将短信接收端的短信填写信息填入短信验证组件的短信信息输入框中，以调用待检测系统的短信验证接口请求获取短信验证码，从短信接收端获取待检测系统提供的短信验证码，其中，短信验证码是待检测系统通过短信填写信息发送给短信接收端的，将短信验证码填入短信验证组件的验证码输入框中，其中，登录数据还包括短信填写信息；
72.若验证方式为图形验证码验证，则基于图形验证码规则定位登录页面中的图形验证码图片，对图形验证码图片进行图片文字识别，将识别到的文字依序填入验证码输入框中；
73.若验证方式为滑块验证，则基于滑块验证规则调用selenium模拟对滑块的拖动行为，以进行滑块验证。
74.具体地，如果为短信验证，则登录数据还包括短信填写信息，短信填写信息是预设的，短信填写信息例如可以为手机号或邮箱等方便待检测系统向请求方发送短信验证码的信息。
75.短信验证组件包括短信信息输入框，用于输入短信填写信息例如手机号；短信验证组件还包括验证码请求按钮，输入短信填写信息后点击验证码请求按钮即可向待检测系统请求获取短信验证码。待检测系统在接收到验证码请求后会生成短信验证码并根据短信
填写信息中的手机号或邮箱等将短信验证码发送至短信接收端。漏洞检测相关数据提供平台调用短信接收端的短信验证码接口获取短信验证码。
76.在一个具体实施例中，短信接收端可以为漏洞检测相关数据提供平台本身，这样可以减少对其他平台接口的调用，提高验证效率。短信接收端也可以为其他平台，这样可以复用现成通用的平台。
77.短信验证组件还包括验证码输入框，用于供漏洞检测相关数据提供平台将获取到的短信验证码填入其中，以完成短信验证。
78.如果验证方式为图形验证码验证，则登录页面有图形验证码图片，图形验证码图片中包含有文字，文字可以是数字、字母、中文、特殊符号中的一种或多种组合。通过调用图形验证码规则对图形验证码图片中的文字进行解析识别，将识别到的文字按照顺序依次写入验证码输入框中即可完成验证。
79.如果验证方式为滑块验证，则漏洞检测相关数据提供平台会调用selenium模拟操作拉动滑块到指定位置实现验证。其中，selenium是一种用于web应用程序测试的工具。selenium测试直接运行在浏览器或应用程序中，就像真正的用户在操作一样。
80.本实施例实现了不同验证方式的模拟验证。
81.在一个实施例中，获取登录页面的验证方式，包括：
82.爬取待检测系统的验证接口；
83.根据验证接口的类型确定登录页面的验证方式。
84.具体地，不同验证方式其验证接口是不同的，因此漏洞检测相关数据提供平台通过爬取待检测系统可以获取验证接口，根据验证接口类型可以自动判断待检测系统的登录页面的验证方式。
85.由于同一个待检测系统可能会经常性的迭代更新产生不同的版本，同一个待检测系统的不同版本其验证方式可能会发生改变。本实施例通过自动爬取目标版本的待检测系统的验证接口可以准确确定待检测系统的验证方式，即使验证方式改变也可以通用这个方式准确获取验证方式，不需要在验证方式改变的时候频繁修改登录规则的代码，实现了代码的通用和复用。
86.在一个实施例中，该方法还包括：
87.获取待检测系统的检测状态；
88.若检测状态指示扫描任务异常，则向测试人员发送携带异常信息的异常告警。
89.具体地，漏洞检测平台根据关键信息创建扫描任务，并调用漏洞检测工具执行扫描任务以对待检测系统进行漏洞检测。漏洞检测平台会记录扫描任务的进度，该进度反应了待检测系统的检测状态，并将该待检测系统的检测状态反馈给漏洞检测相关数据提供平台。
90.漏洞检测平台具体可以为基于sdlc(软件系统开发全生命周期)的漏洞检测平台，漏洞检测工具具体可以为黑盒扫描工具或黑盒扫描器(dast)，使用真实世界中的黑客技术，并合理地组织各个测试阶段，找出一些已知和未知的漏洞。
91.检测状态包括正常状态还包括异常状态，异常状态包括连接超时、dns解析异常、process异常退出等其他状态。
92.漏洞检测相关数据提供平台根据异常状态向测试人员发送异常告警。例如通过展
示异常的方式展示异常告警，异常告警携带异常信息例如连接超时或dns解析异常或process异常退出等。
93.当然，漏洞检测相关数据提供平台还可以通过短信或邮件的方式向测试人员发送异常告警。其中，漏洞检测相关数据提供平台存储有相关测试人员的联系方式例如邮箱或手机号等。
94.造成上述异常状态的原因可能是预存的登录密码过期、漏洞检测工具与待检测系统所在的网络不通、待检测系统的登录规则变更等原因。抛出异常告警可以辅助测试人员进行异常排查以及时排除异常使漏洞检测正常执行。
95.在一个实施例中，触发目标按钮以请求登录，包括：
96.触发目标按钮以使所在的客户端生成调用待检测系统的登录接口的登录请求，其中，登录请求中目标字段根据对应的加密规则被加密处理。
97.具体地，漏洞检测相关数据提供平台模拟登录待检测系统时会打开待检测系统的客户端，客户端可以为app也可以为web网页还可以为小程序等不局限于此。客户端上展示登录页面，在登录页面填写完登录账号、登录密码等内容后，客户端会根据填写的内容生成登录请求，登录请求中可以有目标字段被加密，这样可以保证在登录请求发送至服务器的过程中的数据安全。登录请求用于调用服务器的登录接口，以使服务器验证并授权登录。登录请求是客户端生成的，客户端可以与漏洞检测相关数据提供平台在同一个终端设备上。
98.在一个实施例中，登录数据还包括扫描策略，关键信息还包括扫描策略。
99.具体地，漏洞检测相关数据提供平台还会向漏洞检测平台下发扫描策略，使漏洞检测平台基于扫描策略根据版本号、登录地址和授权信息来创建扫描任务，实现对待检测系统的特定漏洞检测。扫描策略是测试人员预先配置定义的，并通过漏洞检测相关数据提供平台提供给漏洞检测平台。
100.本技术提供的自动漏洞检测的方法，可应用在如图2的应用环境中，其中，该自动漏洞检测的系统包括漏洞检测相关数据提供平台10和漏洞检测平台20；漏洞检测相关数据提供平台10，用于获取待检测系统的登录数据，其中，登录数据包括登录地址、登录账号、登录密码和登录规则，根据登录地址模拟访问待检测系统的登录页面，基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作，若登录成功，则获取登录后的授权信息，其中，授权信息用于标识或验证登录账号，将待检测系统的关键信息提供给漏洞检测平台20；漏洞检测平台20，用于基于关键信息创建扫描任务，调用漏洞检测工具，利用漏洞检测工具执行扫描任务以对待检测系统进行漏洞检测，其中，关键信息包括待检测系统的版本号、登录地址和登录密码、登录账号及授权信息。
101.漏洞检测相关数据提供平台10和漏洞检测平台20可以登录在终端设备上。终端设备可以但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。
102.在一个实施例中，漏洞检测相关数据提供平台10，具体用于对登录页面进行文字识别，定位登录页面的输入框，将登录账号和登录密码分别填入登录页面对应的输入框中，定位登录页面中用于指示登录的目标按钮，触发目标按钮以请求登录。
103.在一个实施例中，漏洞检测相关数据提供平台10，还用于获取登录页面的验证方式，根据验证方式从登录规则中确定目标验证规则，根据目标验证规则定位并操作登录页面中的验证组件，执行模拟验证操作。
104.在一个实施例中，漏洞检测相关数据提供平台10，具体用于若验证方式为短信验证，则基于短信验证规则定位登录页面中的短信验证组件，将短信接收端的短信填写信息填入短信验证组件的短信信息输入框中，以调用待检测系统的短信验证接口请求获取短信验证码，从短信接收端获取待检测系统提供的短信验证码，其中，短信验证码是待检测系统通过短信填写信息发送给短信接收端的，将短信验证码填入短信验证组件的验证码输入框中，其中，登录数据还包括短信填写信息；
105.漏洞检测相关数据提供平台10，具体用于若验证方式为图形验证码验证，则基于图形验证码规则定位登录页面中的图形验证码图片，对图形验证码图片进行图片文字识别，将识别到的文字依序填入验证码输入框中；
106.漏洞检测相关数据提供平台10，具体用于若验证方式为滑块验证，则基于滑块验证规则调用selenium模拟对滑块的拖动行为，以进行滑块验证。
107.在一个实施例中，漏洞检测相关数据提供平台10，具体用于爬取待检测系统的验证接口；根据验证接口的类型确定登录页面的验证方式。
108.在一个实施例中，漏洞检测相关数据提供平台10，还用于从漏洞检测平台20获取待检测系统的检测状态；若检测状态指示扫描任务异常，则向测试人员发送携带异常信息的异常告警。
109.图3为本技术一实施例中自动漏洞检测的装置的结构框图。参考图3，该装置包括：
110.第一数据获取模块100，用于获取待检测系统的登录数据，其中，登录数据包括登录地址、登录账号、登录密码和登录规则；
111.页面访问模块200，用于根据登录地址模拟访问待检测系统的登录页面；
112.模拟登录模块300，用于基于登录账号和登录密码通过登录规则在登录页面执行模拟登录操作；
113.授权信息获取模块400，用于若登录成功，则获取登录后的授权信息，其中，授权信息用于标识或验证登录账号；
114.信息提供模块500，用于基于关键信息创建扫描任务，并执行扫描任务以对待检测系统进行漏洞检测，其中，关键信息包括待检测系统的版本号、登录地址和登录密码、登录账号及授权信息。
115.在一个实施例中，模拟登录模块300具体包括：
116.第一定位模块，用于对登录页面进行文字识别，定位登录页面的输入框；
117.填充模块，用于将登录账号和登录密码分别填入登录页面对应的输入框中；
118.第二定位模块，用于定位登录页面中用于指示登录的目标按钮；
119.触发模块，用于触发目标按钮以请求登录。
120.在一个实施例中，该装置还包括：
121.验证方式获取模块，用于获取登录页面的验证方式；
122.验证规则确定模块，用于根据验证方式从登录规则中确定目标验证规则；
123.模拟验证模块，用于根据目标验证规则定位并操作登录页面中的验证组件，执行模拟验证操作。
124.在一个实施例中，模拟验证模块具体包括：
125.短信验证模拟模块，用于若验证方式为短信验证，则基于短信验证规则定位登录
页面中的短信验证组件，将短信接收端的短信填写信息填入短信验证组件的短信信息输入框中，以调用待检测系统的短信验证接口请求获取短信验证码，从短信接收端获取待检测系统提供的短信验证码，其中，短信验证码是待检测系统通过短信填写信息发送给短信接收端的，将短信验证码填入短信验证组件的验证码输入框中，其中，登录数据还包括短信填写信息；
126.图形码验证模拟模块，用于若验证方式为图形验证码验证，则基于图形验证码规则定位登录页面中的图形验证码图片，对图形验证码图片进行图片文字识别，将识别到的文字依序填入验证码输入框中；
127.滑块验证模拟模块，用于若验证方式为滑块验证，则基于滑块验证规则调用selenium模拟对滑块的拖动行为，以进行滑块验证。
128.在一个实施例中，验证方式获取模块具体包括：
129.爬取模块，用于爬取待检测系统的验证接口；
130.验证方式确定模块，用于根据验证接口的类型确定登录页面的验证方式。
131.在一个实施例中，该装置还包括：
132.检测状态获取模块，用于获取待检测系统的检测状态；
133.告警模块，用于若检测状态指示扫描任务异常，则向测试人员发送携带异常信息的异常告警。
134.本技术自动化黑盒扫描流程，减少安全开发生命周期中，人力资源的投入。形成自动化检测和高风险需求人工检测相结合的安全排查模式。减少安全事件发生率。
135.黑盒扫描根据统一由自动化平台实现扫描。不再经过人员发起任务，减少人员配置环境过程中操作不规范导致扫描任务无法执行的事件发生，提高了漏洞检测的效率。
136.应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
137.其中上述模块/单元中的“第一”和“第二”的意义仅在于将不同的模块/单元加以区分，并不用于限定哪个模块/单元的优先级更高或者其它的限定意义。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块，本技术中所出现的模块的划分，仅仅是一种逻辑上的划分，实际应用中实现时可以有另外的划分方式。
138.关于自动漏洞检测的装置的具体限定可以参见上文中对于自动漏洞检测的方法的限定，在此不再赘述。上述自动漏洞检测的装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
139.图4为本技术一实施例中计算机设备的内部结构框图。如图4所示，该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中，该计算机设备的处理器用于提供计算和控制能力。存储器包括存储介质和内存储器。存储介质可以是非易失性存储介质，也可以是易失性存储介质。存储介质存储有操作系统，还可存储有计算
机可读指令，该计算机可读指令被处理器执行时，可使得处理器实现自动漏洞检测的方法。该内存储器为存储介质中的操作系统和计算机可读指令的运行提供环境。该内存储器中也可储存有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行自动漏洞检测的方法。该计算机设备的网络接口用于与外部服务器通过网络连接通信。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
140.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令(例如计算机程序)，处理器执行计算机可读指令时实现上述实施例中自动漏洞检测的方法的步骤，例如图1所示的步骤s100至步骤s500及该方法的其它扩展和相关步骤的延伸。或者，处理器执行计算机可读指令时实现上述实施例中自动漏洞检测的装置的各模块/单元的功能，例如图3所示模块100至模块500的功能。为避免重复，这里不再赘述。
141.处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field-programmable gatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，处理器是计算机装置的控制中心，利用各种接口和线路连接整个计算机装置的各个部分。
142.存储器可用于存储计算机可读指令和/或模块，处理器通过运行或执行存储在存储器内的计算机可读指令和/或模块，以及调用存储在存储器内的数据，实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、视频数据等)等。
143.存储器可以集成在处理器中，也可以与处理器分开设置。
144.本领域技术人员可以理解，图4中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
145.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机可读指令，计算机可读指令被处理器执行时实现上述实施例中自动漏洞检测的方法的步骤，例如图1所示的步骤s100至步骤s500及该方法的其它扩展和相关步骤的延伸。或者，计算机可读指令被处理器执行时实现上述实施例中自动漏洞检测的装置的各模块/单元的功能，例如图3所示模块100至模块500的功能。为避免重复，这里不再赘述。
146.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机可读指令来指示相关的硬件来完成，所述的计算机可读指令可存储于一计算机可读取存储介质中，该计算机可读指令在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程
rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双倍速率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
147.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
148.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本技术各个实施例所述的方法。
149.以上仅为本技术的优选实施例，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利保护范围内。