【技术实现步骤摘要】
本申请涉及网络安全,特别是涉及一种web漏洞扫描方法、装置、系统及存储介质。
技术介绍
1、随着互联网的快速发展,网站和网络应用的安全问题日益受到重视。针对这些应用的漏洞扫描技术是当前网络安全领域的重要研究方向之一。现有的漏洞扫描技术主要包括静态代码分析、动态黑盒扫描和基于模糊测试的扫描等。
2、静态代码分析主要通过检查源代码来找出可能的安全缺陷,但是不能很好地处理动态生成的代码和数据,对于复杂的嵌套数据结构参数的处理也有一定的困难。动态黑盒扫描则主要通过模拟攻击者的行为来检测应用的漏洞,但是往往需要大量的时间和计算资源,并且可能会遗漏一些不容易被触发的漏洞。
3、此外,现有的漏洞扫描工具大多数是闭源的,不支持用户自定义插件,这限制了这些工具的灵活性和适应性。对于一些特定的应用或特定的漏洞,用户往往需要自己编写专门的扫描工具,这大大增加了用户的工作负担。
4、因此,需要一种新的漏洞扫描技术,能够克服上述现有技术的不足,提供更高效、更灵活的漏洞扫描解决方案。
技术实现思路
1、有鉴于此,本申请实施例为解决
技术介绍
中存在的至少一个问题而提供一种web漏洞扫描方法、装置、系统及存储介质。
2、第一方面,本申请实施例提供一种web漏洞扫描方法,所述web漏洞扫描方法包括:
3、对目标应用的http协议参数集合中的各参数进行防重复地漏洞扫描;
4、在扫描过程中,对参数反射点进行检查。
5、结合第一方面,在一可
6、检查待扫描参数是否在已扫描参数列表中;所述待扫描参数为目标应用的http协议参数集合中的参数;
7、若所述待扫描参数在已扫描参数列表中,跳过对所述待扫描参数的漏洞扫描;
8、若所述待扫描参数不在已扫描参数列表中,对所述待扫描参数进行漏洞扫描,并将所述待扫描参数记录至所述已扫描参数列表中。
9、结合第一方面,在一可选实施方式中,所述在扫描过程中,对参数反射点进行检查,包括:
10、在扫描过程中记录在服务器响应中被反射的参数,并将所述被反射的参数标记为反射点;
11、对所述反射点进行检查。
12、结合第一方面,在一可选实施方式中,所述web漏洞扫描方法还包括:
13、若所述目标应用的http协议参数集合中存在嵌套数据结构参数,对所述嵌套数据结构参数进行深度解析后再进行防重复地漏洞扫描。
14、结合第一方面,在一可选实施方式中,所述对所述嵌套数据结构参数进行深度解析后再进行防重复地漏洞扫描,包括:
15、对所述嵌套数据结构参数进行深度解析,获得若干个子参数;
16、对每个所述子参数进行防重复地漏洞扫描。
17、结合第一方面,在一可选实施方式中,所述web漏洞扫描方法还包括:
18、增设插件扩展接口,以扩展扫描插件。
19、结合第一方面,在一可选实施方式中,所述插件扩展接口支持包括ruby、java、json和python语言中的至少一种语言的扫描插件。
20、第二方面,本申请实施例提供一种web漏洞扫描装置,包括:
21、第一漏洞扫描模块,用于对目标应用的http协议参数集合中的各参数进行防重复地漏洞扫描;
22、第一检查模块,用于在扫描过程中,对参数反射点进行检查。
23、第三方面,本申请实施例提供一种web漏洞扫描系统,包括:
24、存储器,其存储有指令;以及
25、处理器,其被配置为执行所述指令,以实现上述的web漏洞扫描方法。
26、第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被执行时能够实现上述的web漏洞扫描方法。
27、本申请实施例提供的技术方案带来的有益效果包括:通过防重复扫描优化和参数反射点检查,可以避免无效和重复的扫描,大大提高了漏洞扫描的效率,能够实现针对http协议参数的高效漏洞扫描技术。本申请实施例还能够处理复杂的嵌套数据结构参数,对嵌套参数进行深度解析并进行漏洞扫描,提升了扫描的深度,使得更多潜在的安全风险能够被检测出来;还提供插件扩展接口,支持以ruby、java、json、python等语言编写的插件,用户可以根据自己的需求定制扫描插件,提高了扫描工具的灵活性和适应性;由于本申请实施例能够自动进行深度的漏洞扫描,可以减少人工参与的程度,从而降低人力成本。
28、本申请实施例附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请实施例的实践了解到。
本文档来自技高网...【技术保护点】
1.一种Web漏洞扫描方法,其特征在于,所述Web漏洞扫描方法包括:
2.根据权利要求1所述的Web漏洞扫描方法,其特征在于,所述对目标应用的HTTP协议参数集合中的各参数进行防重复地漏洞扫描,包括:
3.根据权利要求1所述的Web漏洞扫描方法,其特征在于,所述在扫描过程中,对参数反射点进行检查,包括:
4.根据权利要求1所述的Web漏洞扫描方法,其特征在于,所述Web漏洞扫描方法还包括:
5.根据权利要求4所述的Web漏洞扫描方法,其特征在于,所述对所述嵌套数据结构参数进行深度解析后再进行防重复地漏洞扫描,包括:
6.根据权利要求1-5任一项所述的Web漏洞扫描方法,其特征在于,所述Web漏洞扫描方法还包括:
7.根据权利要求6所述的Web漏洞扫描方法,其特征在于,所述插件扩展接口支持包括Ruby、Java、JSON和Python语言中的至少一种语言的扫描插件。
8.一种Web漏洞扫描装置,其特征在于,包括:
9.一种Web漏洞扫描系统,其特征在于,包括:
10.一种计算
...【技术特征摘要】
1.一种web漏洞扫描方法,其特征在于,所述web漏洞扫描方法包括:
2.根据权利要求1所述的web漏洞扫描方法,其特征在于,所述对目标应用的http协议参数集合中的各参数进行防重复地漏洞扫描,包括:
3.根据权利要求1所述的web漏洞扫描方法,其特征在于,所述在扫描过程中,对参数反射点进行检查,包括:
4.根据权利要求1所述的web漏洞扫描方法,其特征在于,所述web漏洞扫描方法还包括:
5.根据权利要求4所述的web漏洞扫描方法,其特征在于,所述对所述嵌套数据结构参数进行深度解析后再进行防重复地漏洞扫描,...
【专利技术属性】
技术研发人员:王智玮,李向阳,李德庆,曾健,
申请(专利权)人:深圳市能信安科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。