The present invention relates to the technical field of network information security, especially a dynamic extended WEB vulnerability scanning method, which comprises the following steps: step S101, vulnerability scanning initialization; step S102: vulnerability scanning task response; step S103: vulnerability information loading; step S104: vulnerability information connection; step S105: vulnerability scanning result. Using the above method and the structure of the invention, each scan only for a certain vulnerability, increase the accuracy of scanning, reducing invalid scanning times; in addition, the invention also uses multi thread technology, can simultaneously scan on multiple targets many loopholes, improve the scanning efficiency.
【技术实现步骤摘要】
本专利技术涉及网络信息安全
,特别是一种支持动态扩充的WEB漏洞扫描方法和扫描器。
技术介绍
WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。随着网络的不断发展,早在2014年,全球的网站个数就已经有超过了10亿,而截至2015年12月,仅中国网站总数就已经达到了423万个。与此相对应的是网站安全问题日益严重,像全球性Openssl心脏滴血漏洞,国内多个网站用户数据泄漏等等事件都使得网站安全问题越来越受到人们的重视。一般的WEB漏洞扫描器,可能存在这样的问题:一次只能对一个目标进行漏洞检测,扫描效率低;同时对一个目标进行所有的漏洞检测,扫描速度慢,无效扫描多;漏洞库被集成在扫描器中,一旦要增加漏洞库信息,扫描器需要重启、更新甚至重新安装才能实现,系统可扩展性差。因此,对网站进行漏洞扫描时,如何更快的完成漏洞扫描,更有效的增加漏洞库的可扩展性是一个需要迫切解决的问题。专利技术专利申请CN 104320400A公开了一种web漏洞扫描方法及装置,所述漏洞扫描方法,包括:按照接收时间序列,将连续的K个相应聚类为一组;获取每组的K个响应的实际平均响应时间和预测平均响应时间;根据连续N组中每组的实际平均响应时间和预测平均响应时间,确定是否调整扫描并发数。此专利技术虽然最大化地利用带宽等资源,同时又不对被扫描站点负荷造成过大影响;但是此专利技术没有针对动态扩充。
技术实现思路
本专利技术需要解决的技术问题是提供一种支持动态扩充的WEB漏洞扫描方法和WEB漏洞扫描 ...
【技术保护点】
一种支持动态扩充的WEB漏洞扫描方法,其特征在于,包括以下步骤,步骤S101:漏洞扫描初始化,扫描引擎的软件管理模块进行漏洞扫描初始化;步骤S102:漏洞扫描任务响应,通过漏洞扫描模块的任务响应模块响应扫描任务,解析扫描任务,获取扫描目标地址和漏洞对应的插件名称;步骤S103:漏洞信息加载,通过漏洞扫描模块的漏洞检测模块加载漏洞检测插件,获得漏洞信息,检测方法和修复建议;步骤S104:漏洞信息连接,通过漏洞扫描模块的网络通信模块,对扫描目标按照漏洞插件提供的检测方法建立HTTP连接,并对返回数据进行漏洞存在特征匹配分析;步骤S105:漏洞扫描结果返回。
【技术特征摘要】
1.一种支持动态扩充的WEB漏洞扫描方法,其特征在于,包括以下步骤,步骤S101:漏洞扫描初始化,扫描引擎的软件管理模块进行漏洞扫描初始化;步骤S102:漏洞扫描任务响应,通过漏洞扫描模块的任务响应模块响应扫描任务,解析扫描任务,获取扫描目标地址和漏洞对应的插件名称;步骤S103:漏洞信息加载,通过漏洞扫描模块的漏洞检测模块加载漏洞检测插件,获得漏洞信息,检测方法和修复建议;步骤S104:漏洞信息连接,通过漏洞扫描模块的网络通信模块,对扫描目标按照漏洞插件提供的检测方法建立HTTP连接,并对返回数据进行漏洞存在特征匹配分析;步骤S105:漏洞扫描结果返回。2.按照权利要求1所述的一种支持动态扩充的WEB漏洞扫描方法,其特征在于:所述步骤S101中漏洞扫描初始化包括通过扫描引擎的软件管理模块启动扫描器、加载软件配置、启动扫描子线程并开始监管扫描器状态。3.按照权利要求2所述的一种支持动态扩充的WEB漏洞扫描方法,其特征在于:所述启动扫描子线程采用多线程并发。4.按照权利要求1所述的一种支持动态扩充的WEB漏洞扫描方法,其特征在于:所...
【专利技术属性】
技术研发人员:贺思炜,刘耀,
申请(专利权)人:湖南傻蛋科技有限公司,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。