WEB漏洞檢測方法、裝置及系統與流程

文檔序號：11156646閱讀：333來源：國知局

本發明涉及網絡通信技術領域，具體涉及一種WEB漏洞檢測方法及裝置。

背景技術：

隨著互聯網的發展，企業的WEB業務在各類業務中所占的比重越來越大。與其他類型的業務不同，WEB業務直接暴露在互聯網中，而且承載著用戶的個人隱私信息(如網易郵箱的郵箱用戶數據、訂票網站的用戶身份證信息、訂票信息等)。因此，一旦企業網站存在漏洞，一些黑客組織就能夠利用這些漏洞進行拖庫，將企業網站對應的數據庫里的用戶信息全部導出，從而給企業和社會帶來巨大的損失。

通常情況下，企業的普通員工并不具備發現漏洞的能力，因此，需要企業另行設立信息安全部門，由該部門執行漏洞檢測工作。然而，發明人在實現本發明的過程中發現，現有技術中的上述方式至少存在如下問題：一方面，另行設立信息安全部門的開銷較大，一般企業難以承受；另一方面，由各個企業自行檢測網站漏洞的方式較為單一，無法更加靈活而全面地檢測漏洞。

技術實現要素：

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的WEB漏洞檢測方法及裝置。

依據本發明的一個方面，提供了一種WEB漏洞檢測方法，包括：獲取并展示與待檢測網站相關的發布信息，其中，所述發布信息中包括與所述待檢測網站相關的待檢測地址；獲取針對所述待檢測網站提交的漏洞描述信息，所述漏洞描述信息是漏洞檢測終端針對所述待檢測網站檢測出的漏洞的描述信息；根據所述漏洞描述信息對所述漏洞進行確認；將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器。

依據本發明的另一個方面，提供了一種WEB漏洞檢測裝置，包括：第一獲取模塊，適于獲取并展示與待檢測網站相關的發布信息，其中，所述發布信息中包括與所述待檢測網站相關的待檢測地址；第二獲取模塊，適于獲取針對所述待檢測網站提交的漏洞描述信息，所述漏洞描述信息是漏洞檢測終端針對所述待檢測網站檢測出的漏洞的描述信息；確認模塊，適于根據所述漏洞描述信息對所述漏洞進行確認；發送模塊，適于將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器。

依據本發明的再一個方面，提供了一種WEB漏洞檢測系統，包括：上述任一所述的漏洞檢測裝置、所述待檢測對象以及所述漏洞檢測終端。

在本發明提供的WEB漏洞檢測方法及裝置中，一方面，能夠獲取并展示與待檢測網站相關的發布信息，從而將待檢測網站的發布信息提供給漏洞檢測終端，以供漏洞檢測終端根據發布信息對待檢測網站進行有針對性地檢測；另一方面，能夠獲取漏洞檢測終端針對待檢測網站提交的漏洞描述信息，并對漏洞描述信息中的漏洞進行確認后將該漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器。由此可見，本發明中的方式不需要企業另行設立信息安全部門，能夠通過展示企業發布信息的方式來獲取漏洞檢測終端的漏洞檢測結果，從而降低了企業檢測漏洞的成本，為企業提供了更加靈活而全面的漏洞檢測方式。

上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，并且為了讓本發明的上述和其它目的、特征和優點能夠更明顯易懂，以下特舉本發明的具體實施方式。

附圖說明

通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的，而并不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1示出了本發明一個實施例提供的WEB漏洞檢測方法的流程圖；

圖2示出了本發明另一個具體實施例提供的WEB漏洞檢測方法的流程圖；

圖3a和圖3b示出了本發明各種級別的漏洞所對應的漏洞定義。

圖4示出了本發明一個實施例提供的一種WEB漏洞檢測裝置的結構示意圖；

圖5示出了本發明另一個具體實施例提供的一種WEB漏洞檢測裝置的結構示意圖；

圖6示出了本發明再一個實施例提供的一種WEB漏洞檢測系統的結構示意圖；

圖7示出了本發明再一個具體實施例提供的一種WEB漏洞檢測系統的結構示意圖。

具體實施方式

下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠將本公開的范圍完整的傳達給本領域的技術人員。

本發明實施例提供了一種WEB漏洞檢測方法及裝置，至少能夠解決現有技術中的WEB漏洞檢測方式無法更加靈活而全面地檢測漏洞的技術問題。

圖1示出了本發明一個實施例提供的WEB漏洞檢測方法的流程圖。如圖1所示，該方法包括以下步驟：

步驟S110：獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址。

通常情況下，待檢測網站為預先注冊的網站，待檢測網站的數量可以為一個或多個。在每個待檢測網站的注冊過程中，獲取與該待檢測網站相關的待檢測地址。其中，對于一個待檢測網站而言，其相關的待檢測地址可以包括以下中的至少一個：網站首頁的地址、網站中包含的鏈接地址、以及網站中包含的一級頁面、二級頁面等各級頁面的地址。

具體實施時，當待檢測網站為多個時，可以根據各種方式確定待檢測網站的展示順序，例如，可以根據注冊時間、待檢測網站的重要程度等因素確定。另外，各個待檢測網站對應的發布信息中可以包含多種內容，例如，除待檢測地址外，還可以包括該待檢測網站的訪問量、用戶數等各種信息，總之，本發明對發布信息的具體內容及展現方式不做限定。

步驟S120：獲取針對待檢測網站提交的漏洞描述信息，該漏洞描述信息是漏洞檢測終端針對上述待檢測網站檢測出的漏洞的描述信息。

其中，漏洞檢測終端能夠根據上一步驟中展示的待檢測網站的發布信息確定與待檢測網站相關的待檢測地址，根據待檢測地址對相應網站的漏洞進行檢測，并在檢測到漏洞時提交相應的漏洞描述信息。具體實施時，可以通過多種方式獲取漏洞檢測終端針對待檢測網站提交的漏洞描述信息，本發明對具體的獲取方式不做限定，例如可以通過電子郵件、站內信、聊天消息等多種方式進行獲取。另外，漏洞描述信息的具體內容也可由本領域技術人員靈活設定。

在實際情況中，漏洞檢測終端的數量也可能為多個，因此，一方面，為了便于確定提交該漏洞描述信息的漏洞檢測終端的終端標識；另一方面，為了便于確定該漏洞描述信息所對應的待檢測網站的網站標識，在具體實施中，可以預先為各個待檢測網站分別設置對應的漏洞提交入口，漏洞檢測終端通過待檢測網站對應的漏洞提交入口提交針對于該待檢測網站的漏洞描述信息，并在提交過程中攜帶漏洞檢測終端的終端標識。由此可見，通過預設的漏洞提交入口能夠快速準確地確定與漏洞描述信息相對應的待檢測網站以及漏洞檢測終端。

步驟S130：根據漏洞描述信息對漏洞進行確認。

具體地，漏洞描述信息中通常包含漏洞類型、漏洞內容等詳細信息。為了防止漏洞檢測終端提交錯誤的漏洞描述信息，在本步驟中，需要對漏洞描述信息中的漏洞進行確認和審核，以確定漏洞描述信息是否正確有效。具體的確認方式可由本領域技術人員靈活選擇，本發明對此不做限定。

步驟S140：將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器。

具體地，可以通過電子郵件、短消息等各種方式發送已確認漏洞的漏洞描述信息，本發明對具體發送方式不做限定。在本實施例中，為了提高發送過程的便捷性，可以預先保存各個待檢測網站相對應的漏洞接收服務器的通信地址，并為各個待檢測網站分別設置與其通信地址相對應的信息發送入口，通過點擊該信息發送入口實現自動發送漏洞描述信息的目的。

由此可見，本發明中的方式不需要企業另行設立信息安全部門，能夠通過展示企業發布信息的方式來獲取漏洞檢測終端的漏洞檢測結果，從而降低了企業檢測漏洞的成本，為企業提供了更加靈活而全面的漏洞檢測方式。

圖2示出了本發明另一個具體實施例提供的WEB漏洞檢測方法的流程圖。該方法的執行主體可以為WEB漏洞檢測平臺。如圖2所示，該方法包括以下步驟：

步驟S210：獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址。

通常情況下，待檢測網站為預先注冊的網站，待檢測網站的數量可以為一個或多個，本實施例中，以待檢測網站的數量為多個為例進行說明。在每個待檢測網站的注冊過程中，獲取與該待檢測網站相關的網站信息，例如待檢測地址、待檢測網站相對應的漏洞接收服務器、待檢測網站的訪問量、以及用戶數等各種信息等。

完成注冊的網站可以通過預設的信息發布入口提交發布信息，相應地，WEB漏洞檢測平臺能夠通過該信息發布入口獲取并展示待檢測網站提交的發布信息。發布信息中至少包括與待檢測網站相關的待檢測地址，以供漏洞檢測終端進行漏洞檢測。其中，對于一個待檢測網站而言，其相關的待檢測地址可以包括以下中的至少一個：網站首頁的地址、網站中包含的鏈接地址、以及網站中包含的一級頁面、二級頁面等各級頁面的地址。在本實施例中，各個待檢測網站提交的發布信息中進一步包括：至少一個漏洞級別以及各個漏洞級別對應的漏洞價值信息；其中，漏洞級別包括以下中的至少一個：高危級別、中危級別以及低危級別。例如，圖3a和圖3b示出了各種級別的漏洞所對應的漏洞定義，并且，在各個待檢測網站提交的發布信息中可以進一步包括各個漏洞級別對應的漏洞價值信息，例如，高危級別的漏洞對于企業的安全運營具有重大意義，而低危級別的漏洞對于企業的安全運營則影響較小，因此，高危級別的漏洞對應的漏洞價值信息最高，而低危級別的漏洞對應的漏洞價值信息最低。用戶可以根據待檢測網站的重要程度、遭受攻擊的概率等多種因素為自身的待檢測網站中各級別的漏洞設置漏洞價值信息。例如，包含用戶信息較多、對安全要求較高的待檢測網站提交的發布信息中所包含的各個漏洞級別對應的漏洞價值信息往往高于包含用戶信息較少、對安全要求較低的待檢測網站提交的發布信息中所包含的各個漏洞級別對應的漏洞價值信息。漏洞價值信息用于展示給漏洞檢測終端，以供漏洞檢測終端根據漏洞價值信息的高低確定檢測順序，例如，對于漏洞檢測終端而言，漏洞價值信息高的待檢測網站的檢測優先級高于漏洞價值信息低的待檢測網站的檢測優先級。具體實施時，可以根據各種方式確定多個待檢測網站及其發布信息的展示順序，例如，可以根據網站注冊時間、信息發布時間、待檢測網站的重要程度、漏洞價值信息高低等多種因素確定。

步驟S220：為待檢測網站設置對應的漏洞提交入口，獲取并展示待檢測網站對應的漏洞提交入口。

其中，步驟S220與步驟S210可合并為一個步驟執行，并且，步驟S220與步驟S210的執行順序還可互換。在本步驟中，為每個待檢測網站分別設置一個對應的漏洞提交入口，并且，在展示待檢測網站的發布信息時，進一步展示該待檢測網站的漏洞提交入口，以供漏洞檢測終端通過該漏洞提交入口提交關于該待檢測網站的漏洞描述信息。具體地，由于漏洞提交入口與待檢測網站為一一對應的關系，因此，通過漏洞提交入口能夠快速準確地確定漏洞檢測終端后續提交的漏洞描述信息所對應的待檢測網站。

步驟S230：通過漏洞提交入口獲取針對待檢測網站提交的漏洞描述信息，該漏洞描述信息是漏洞檢測終端針對上述待檢測網站檢測出的漏洞的描述信息。

其中，漏洞檢測終端能夠根據展示的待檢測網站的發布信息確定與待檢測網站相關的待檢測地址，根據待檢測地址對相應網站的漏洞進行檢測，并在檢測到漏洞時提交相應的漏洞描述信息。具體地，漏洞檢測終端通過待檢測網站對應的漏洞提交入口提交針對于該待檢測網站的漏洞描述信息，并在提交過程中攜帶漏洞檢測終端的終端標識。由此可見，通過預設的漏洞提交入口能夠快速準確地確定與漏洞描述信息相對應的待檢測網站以及漏洞檢測終端。

步驟S240：根據漏洞描述信息對漏洞進行確認。

具體地，漏洞描述信息中通常包含漏洞類型、漏洞級別、以及漏洞內容等詳細信息。為了防止漏洞檢測終端提交的漏洞描述信息出現錯誤，在本步驟中，需要對漏洞描述信息中的漏洞進行確認和審核，以確定漏洞描述信息是否正確有效。具體的確認方式可由本領域技術人員靈活選擇，本發明對此不做限定。

步驟S250：將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器。

具體地，可以預先接收并保存與待檢測網站相對應的漏洞接收服務器的通信地址，相應地，根據漏洞接收服務器的通信地址將漏洞描述信息發送給漏洞接收服務器。例如，可以在各個待檢測網站注冊時或提交發布信息時獲取并保存該待檢測網站的通信地址。其中，通信地址可以包括郵箱地址、聯系人電話等各種方式。

步驟S260：根據待檢測網站確定對其相應的漏洞描述信息進行展示或隱藏。

具體地，可以在待檢測網站的注冊頁面中或發布信息的提交頁面中進一步添加展示選項入口，該展示選項入口能夠接收用戶(即：待檢測網站的管理者)輸入的展示參數，根據該展示參數的具體值確定在WEB漏洞檢測平臺上對該待檢測網站對應的漏洞描述信息進行展示或隱藏。例如，若用戶希望公開本網站的漏洞描述信息，則通過上述的展示選項入口將本網站對應的漏洞描述信息的展現方式設置為“展示”；若用戶不希望公開本網站的漏洞描述信息，則通過上述的展示選項入口將本網站對應的漏洞描述信息的展現方式設置為“隱藏”。另外，除了由用戶確定漏洞描述信息的展示方式之外，本領域技術人員還可以靈活選擇其他各種方式確定漏洞描述信息的展示方式。例如，還可以由WEB漏洞檢測平臺根據待檢測網站的業務類型和/或漏洞描述信息的詳細程度等多種因素確定對相應的漏洞描述信息進行展示或隱藏。

步驟S270：接收漏洞接收服務器根據漏洞級別和/或漏洞價值信息發送的漏洞確認信息，將該漏洞確認信息發送給對應的漏洞檢測終端。

具體地，漏洞接收服務器接收到上述已確認漏洞的漏洞描述信息之后，進一步對漏洞描述信息中描述的漏洞級別和/或漏洞價值信息進行評估，并根據評估結果生成并發送相應的漏洞確認信息，WEB漏洞檢測平臺接收到漏洞接收服務器發送的漏洞確認信息后，將該漏洞確認信息轉發給對應的漏洞檢測終端，即：提交與該漏洞確認信息相對應的漏洞描述信息的漏洞檢測終端。具體實施時，由于WEB漏洞檢測平臺中已注冊的漏洞檢測終端的數量為多個，因此，可以預先接收并保存各個漏洞檢測終端的通信地址，相應地，根據漏洞檢測終端的通信地址將漏洞確認信息發送給漏洞檢測終端。其中，漏洞確認信息中可以包含由漏洞級別和/或漏洞價值信息確定的評分分值，WEB漏洞檢測平臺還可以根據漏洞確認信息中包含的評分分值為相應的漏洞檢測終端進行評分，以便在后續過程中根據評分確認各個漏洞檢測終端的等級。

由此可見，在本發明實施例提供的一種WEB漏洞檢測方法中，首先預先接收并保存與所述待檢測網站相對應的漏洞接收服務器的通信地址，以及，預先接收并保存所述漏洞檢測終端的通信地址；然后獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址，并獲取針對待檢測網站提交的漏洞描述信息，然后進一步根據漏洞描述信息對漏洞進行確認，并將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器，最后根據待檢測網站確定對其相應的漏洞描述信息進行展示或隱藏，并接收漏洞接收服務器根據漏洞級別和/或漏洞價值信息發送的漏洞確認信息，將漏洞確認信息發送給漏洞檢測終端。通過上述的各個步驟即可靈活方便地實現WEB漏洞的檢測過程，在上述過程中，WEB漏洞檢測平臺能夠獲取并展示待檢測網站的相關信息，進而使漏洞檢測終端能夠根據待檢測網站的相關信息完成漏洞檢測；并且，WEB漏洞檢測平臺還可以獲取漏洞檢測終端針對待檢測網站提交的漏洞描述信息，并對漏洞描述信息進行確認后提供給待檢測網站，從而為待檢測網站的漏洞檢測過程提供了便利。

另外，本領域技術人員還可以對上述實施例進行各種改動和變形。例如，可以將上述實施例中的各個步驟拆分成更多的步驟，或合并為更少的步驟，還可以調整各個步驟之間的執行順序，甚至可以刪減部分步驟或新增一些步驟，總之，本發明對具體的實現細節不做限定。

而且，在上述的步驟S210中展示與待檢測網站相關的發布信息時，可以靈活采取下述三種展示方式中的任一方式：

在第一種展示方式中，可以將待檢測網站相關的發布信息以完全公開的方式展示給WEB漏洞檢測平臺上的所有用戶(包括已注冊用戶和未注冊用戶等)，該種方式能夠擴大發布信息的傳播廣度，以使盡可能多的漏洞檢測終端查閱并處理該發布信息。

在第二種展示方式中，可以將待檢測網站相關的發布信息以部分公開的方式展示給WEB漏洞檢測平臺上所有已注冊的漏洞檢測終端(未注冊用戶則無法查看發布信息)，該種方式能夠將發布信息傳播給所有已注冊的漏洞檢測終端，從而兼顧信息傳播的廣度以及信息傳播的私密度。

在第三種展示方式中，可以將待檢測網站相關的發布信息以私密方式推送給篩選出的預設的漏洞檢測終端，該種方式更具針對性，能夠將發布信息推送給經過甄選的漏洞檢測終端，并且能夠保證發布信息的私密性，防止無關人員的查看，從而盡可能避免遭受惡意程序的攻擊。具體實現時，本領域技術人員以及待檢測網站的管理者可以根據實際需求選擇適合的展示方式。例如，在第三種方式中，首先，根據待檢測網站相關的發布信息確定待檢測網站的網站信息，例如，待檢測網站的業務類型、用戶量級、和/或重要程度等，具體地，可以根據待檢測網站的網站信息對待檢測網站進行等級劃分和/或類型劃分。其次，獲取WEB漏洞檢測平臺上所有已注冊的漏洞檢測終端的終端信息，例如，各個漏洞檢測終端已提交的漏洞描述信息的數量、有效性、漏洞描述信息所對應的漏洞類型、業務類型、以及各個漏洞檢測終端已獲得的評分等，具體地，可以根據漏洞檢測終端的終端信息對漏洞檢測終端進行等級劃分和/或類型劃分。最后，將終端等級和/或終端類型與待檢測網站的網站等級和/或網站類型相匹配的漏洞檢測終端篩選為預設的漏洞檢測終端，僅向篩選出的預設的漏洞檢測終端推送該待檢測網站的發布信息，從而既提高了發布信息推送成功的概率，又保障了發布信息的私密性。

同理，在步驟S260中根據待檢測網站確定對其相應的漏洞描述信息進行展示或隱藏時，也可以參照上述處理方式實現。例如，當步驟S210采用第一種方式時，可以將漏洞描述信息以完全公開的方式展示給WEB漏洞檢測平臺上的所有用戶；當步驟S210采用第二種方式時，可以將漏洞描述信息以部分公開的方式展示給WEB漏洞檢測平臺上所有已注冊的漏洞檢測終端；當步驟S210采用第三種方式時，可以將漏洞描述信息以私密方式推送給篩選出的預設的漏洞檢測終端。

圖4示出了本發明一個實施例提供的一種WEB漏洞檢測裝置的結構示意圖。如圖4所示，該裝置包括：第一獲取模塊41、第二獲取模塊42、確認模塊43以及發送模塊44。

第一獲取模塊41適于獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址。

通常情況下，待檢測網站為預先注冊的網站，待檢測網站的數量可以為一個或多個。在每個待檢測網站的注冊過程中，第一獲取模塊41獲取與該待檢測網站相關的待檢測地址。其中，對于一個待檢測網站而言，其相關的待檢測地址可以包括以下中的至少一個：網站首頁的地址、網站中包含的鏈接地址、以及網站中包含的一級頁面、二級頁面等各級頁面的地址。當待檢測網站為多個時，第一獲取模塊41還可以根據各種方式確定待檢測網站的展示順序，例如，可以根據注冊時間、待檢測網站的重要程度等因素確定。另外，各個待檢測網站對應的發布信息中可以包含多種內容，例如，除待檢測地址外，還可以包括該待檢測網站的訪問量、用戶數等各種信息，總之，本發明對發布信息的具體內容及展現方式不做限定。

第二獲取模塊42適于獲取針對待檢測網站提交的漏洞描述信息，漏洞描述信息是漏洞檢測終端針對待檢測網站檢測出的漏洞的描述信息。

其中，漏洞檢測終端能夠根據上一步驟中展示的待檢測網站的發布信息確定與待檢測網站相關的待檢測地址，根據待檢測地址對相應網站的漏洞進行檢測，并在檢測到漏洞時提交相應的漏洞描述信息，第二獲取模塊42獲取上述針對待檢測網站提交的漏洞描述信息。具體實施時，第二獲取模塊42可以通過多種方式獲取漏洞檢測終端針對待檢測網站提交的漏洞描述信息，本發明對具體的獲取方式不做限定，例如可以通過電子郵件、站內信、聊天消息等多種方式進行獲取。另外，漏洞描述信息的具體內容也可由本領域技術人員靈活設定。

確認模塊43適于根據漏洞描述信息對漏洞進行確認。

具體地，漏洞描述信息中通常包含漏洞類型、漏洞內容等詳細信息。為了防止漏洞檢測終端提交錯誤的漏洞描述信息，需要通過確認模塊43對漏洞描述信息中的漏洞進行確認和審核，以確定漏洞描述信息是否正確有效。具體的確認方式可由本領域技術人員靈活選擇，本發明對此不做限定。

發送模塊44適于將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器。

具體地，發送模塊44可以通過電子郵件、短消息等各種方式發送已確認漏洞的漏洞描述信息，本發明對具體發送方式不做限定。在本實施例中，為了提高發送過程的便捷性，可以預先保存各個待檢測網站相對應的漏洞接收服務器的通信地址，并為各個待檢測網站分別設置與其通信地址相對應的信息發送入口，通過點擊該信息發送入口實現自動發送漏洞描述信息的目的。

由此可見，在本發明實施例提供的WEB漏洞檢測裝置中，首先通過第一獲取模塊41獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址；然后通過第二獲取模塊42獲取針對待檢測網站提交的漏洞描述信息，漏洞描述信息是漏洞檢測終端針對待檢測網站檢測出的漏洞的描述信息；并通過確認模塊43根據漏洞描述信息對漏洞進行確認，最后通過發送模塊44將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器。因此本發明中的方式不需要企業另行設立信息安全部門，能夠通過展示企業發布信息的方式來獲取漏洞檢測終端的漏洞檢測結果，從而降低了企業檢測漏洞的成本，為企業提供了更加靈活而全面的漏洞檢測方式。

圖5示出了本發明另一個具體實施例提供的一種WEB漏洞檢測裝置的結構示意圖。該裝置的執行主體可以為WEB漏洞檢測平臺。如圖5所示，該裝置包括：第一獲取模塊51、第二獲取模塊52、確認模塊53、發送模塊54、信息反饋模塊55、預處理模塊56以及信息處理模塊57。

預處理模塊56適于預先接收并保存與所述待檢測網站相對應的漏洞接收服務器的通信地址，以及，預先接收并保存所述漏洞檢測終端的通信地址。

其中，上述漏洞接收服務器的通信地址以及漏洞檢測終端的通信地址可以包括郵箱地址、聯系人電話等。具體地，可以為待檢測網站以及漏洞檢測終端設置一個注冊過程，在該注冊過程中，通過預處理模塊56來實現預先接收并保存與待檢測網站相對應的漏洞接收服務器的通信地址，以及，通過預處理模塊56來實現預先接收并保存漏洞檢測終端的通信地址。

第一獲取模塊51適于獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址。

通常情況下，待檢測網站為預先注冊的網站，待檢測網站的數量可以為一個或多個，本實施例中，以待檢測網站的數量為多個為例進行說明。在每個待檢測網站的注冊過程中，第一獲取模塊51獲取與該待檢測網站相關的網站信息，例如待檢測地址、待檢測網站相對應的漏洞接收服務器、待檢測網站的訪問量、以及用戶數等各種信息等。

第二獲取模塊52適于獲取針對待檢測網站提交的漏洞描述信息，漏洞描述信息是漏洞檢測終端針對待檢測網站檢測出的漏洞的描述信息。

其中，漏洞檢測終端能夠根據展示的待檢測網站的發布信息確定與待檢測網站相關的待檢測地址，根據待檢測地址對相應網站的漏洞進行檢測，并在檢測到漏洞時提交相應的漏洞描述信息，第二獲取模塊52獲取上述針對待檢測網站提交的漏洞描述信息。具體地，漏洞檢測終端通過待檢測網站對應的漏洞提交入口提交針對于該待檢測網站的漏洞描述信息，并在提交過程中攜帶漏洞檢測終端的終端標識。由此可見，通過預設的漏洞提交入口能夠快速準確地確定與漏洞描述信息相對應的待檢測網站以及漏洞檢測終端。

確認模塊53適于根據漏洞描述信息對漏洞進行確認。

具體地，漏洞描述信息中通常包含漏洞類型、漏洞級別、以及漏洞內容等詳細信息。為了防止漏洞檢測終端提交的漏洞描述信息出現錯誤，需要通過確認模塊53對漏洞描述信息中的漏洞進行確認和審核，以確定漏洞描述信息是否正確有效。具體的確認方式可由本領域技術人員靈活選擇，本發明對此不做限定。

發送模塊54適于將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器。

具體地，可以預先接收并保存與待檢測網站相對應的漏洞接收服務器的通信地址，相應地，發送模塊54根據漏洞接收服務器的通信地址將漏洞描述信息發送給漏洞接收服務器。例如，可以在各個待檢測網站注冊時或提交發布信息時獲取并保存該待檢測網站的通信地址。其中，通信地址可以包括郵箱地址、聯系人電話等各種方式。

信息反饋模塊55適于接收所述漏洞接收服務器根據漏洞級別和/或漏洞價值信息發送的漏洞確認信息，將所述漏洞確認信息發送給所述漏洞檢測終端。

具體地，漏洞接收服務器接收到上述已確認漏洞的漏洞描述信息之后，信息反饋模塊55進一步對漏洞描述信息中描述的漏洞級別和/或漏洞價值信息進行評估，并根據評估結果生成并發送相應的漏洞確認信息，WEB漏洞檢測平臺接收到漏洞接收服務器發送的漏洞確認信息后，將該漏洞確認信息轉發給對應的漏洞檢測終端，即：提交與該漏洞確認信息相對應的漏洞描述信息的漏洞檢測終端。具體實施時，由于WEB漏洞檢測平臺中已注冊的漏洞檢測終端的數量為多個，因此，通過預處理模塊56預先接收并保存各個漏洞檢測終端的通信地址，相應地，根據漏洞檢測終端的通信地址將漏洞確認信息發送給漏洞檢測終端。其中，漏洞確認信息中可以包含由漏洞級別和/或漏洞價值信息確定的評分分值，WEB漏洞檢測平臺還可以根據漏洞確認信息中包含的評分分值為相應的漏洞檢測終端進行評分，以便在后續過程中根據評分確認各個漏洞檢測終端的等級。

信息處理模塊57適于根據待檢測網站確定對其相應的漏洞描述信息進行展示或隱藏。

具體地，信息處理模塊57在根據待檢測網站確定對其相應的漏洞描述信息進行展示或隱藏時，可以在待檢測網站的注冊頁面中或發布信息的提交頁面中進一步添加展示選項入口，該展示選項入口能夠接收用戶(即：待檢測網站的管理者)輸入的展示參數，根據該展示參數的具體值確定在WEB漏洞檢測平臺上對該待檢測網站對應的漏洞描述信息進行展示或隱藏。例如，若用戶希望公開本網站的漏洞描述信息，則通過上述的展示選項入口將本網站對應的漏洞描述信息的展現方式設置為“展示”；若用戶不希望公開本網站的漏洞描述信息，則通過上述的展示選項入口將本網站對應的漏洞描述信息的展現方式設置為“隱藏”。另外，除了由用戶確定漏洞描述信息的展示方式之外，本領域技術人員還可以靈活選擇其他各種方式確定漏洞描述信息的展示方式。例如，還可以由WEB漏洞檢測平臺根據待檢測網站的業務類型和/或漏洞描述信息的詳細程度等多種因素確定對相應的漏洞描述信息進行展示或隱藏。

上述各個模塊的具體結構和工作原理可參照方法實施例中相應步驟的描述，此處不再贅述。

由此可見，在本發明實施例提供的一種WEB漏洞檢測裝置中，首先通過預處理模塊56預先接收并保存與所述待檢測網站相對應的漏洞接收服務器的通信地址，以及，通過預處理模塊56預先接收并保存所述漏洞檢測終端的通信地址；然后通過第一獲取模塊51獲取并展示與待檢測網站相關的發布信息，其中，發布信息中包括與待檢測網站相關的待檢測地址，并通過第二獲取模塊52獲取針對待檢測網站提交的漏洞描述信息，然后進一步通過確認模塊53根據漏洞描述信息對漏洞進行確認，并通過發送模塊54將已確認漏洞的漏洞描述信息發送至與待檢測網站相對應的漏洞接收服務器，最后通過信息處理模塊57根據待檢測網站確定對其相應的漏洞描述信息進行展示或隱藏，并通過信息反饋模塊55接收漏洞接收服務器根據漏洞級別和/或漏洞價值信息發送的漏洞確認信息，將漏洞確認信息發送給漏洞檢測終端。因此，通過上述的各個模塊即可靈活方便地實現WEB漏洞的檢測過程，在上述過程中，WEB漏洞檢測平臺能夠獲取并展示待檢測網站的相關信息，進而使漏洞檢測終端能夠根據待檢測網站的相關信息完成漏洞檢測；并且，WEB漏洞檢測平臺還可以獲取漏洞檢測終端針對待檢測網站提交的漏洞描述信息，并對漏洞描述信息進行確認后提供給待檢測網站，從而為待檢測網站的漏洞檢測過程提供了便利。

圖6示出了本發明再一個實施例提供的一種WEB漏洞檢測系統600的結構示意圖。如圖6所示，該WEB漏洞檢測系統包括上述圖6所示的WEB漏洞檢測裝置60、待檢測網站65以及漏洞檢測終端66，其中，WEB漏洞檢測裝置60具體包括：第一獲取模塊61、第二獲取模塊62、確認模塊63以及發送模塊64。待檢測網站65以及漏洞檢測終端66的具體結構和工作原理可參照方法實施例中相應步驟的描述，此處不再贅述。

圖7示出了本發明再一個具體實施例提供的一種WEB漏洞檢測系統700的結構示意圖。如圖7所示，該WEB漏洞檢測系統包括上述圖7所示的WEB漏洞檢測裝置70、待檢測網站78以及漏洞檢測終端79，其中，WEB漏洞檢測裝置70具體包括：第一獲取模塊71、第二獲取模塊72、確認模塊73、發送模塊74、信息反饋模塊75、預處理模塊76以及信息處理模塊77。待檢測網站78以及漏洞檢測終端79的具體結構和工作原理可參照方法實施例中相應步驟的描述，此處不再贅述。

在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基于在此的示教一起使用。根據上面的描述，構造這類系統所要求的結構是顯而易見的。此外，本發明也不針對任何特定編程語言。應當明白，可以利用各種編程語言實現在此描述的本發明的內容，并且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。

在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，并未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。

類似地，應當理解，為了精簡本公開并幫助理解各個發明方面中的一個或多個，在上面對本發明的示例性實施例的描述中，本發明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應將該公開的方法解釋成反映如下意圖：即所要求保護的本發明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說，如下面的權利要求書所反映的那樣，發明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權利要求書由此明確地并入該具體實施方式，其中每個權利要求本身都作為本發明的單獨實施例。

本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領域的技術人員能夠理解，盡管在此的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發明的范圍之內并且形成不同的實施例。例如，在下面的權利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。

本發明的各個部件實施例可以以硬件實現，或者以在一個或者多個處理器上運行的軟件模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數字信號處理器(DSP)來實現根據本發明實施例的裝置中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用于執行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如，計算機程序和計算機程序產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網網站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。

應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中，不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中，這些裝置中的若干個可以是通過同一個硬件項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。

本發明公開了：A1、一種WEB漏洞檢測方法，包括：

獲取并展示與待檢測網站相關的發布信息，其中，所述發布信息中包括與所述待檢測網站相關的待檢測地址；

獲取針對所述待檢測網站提交的漏洞描述信息，所述漏洞描述信息是漏洞檢測終端針對所述待檢測網站檢測出的漏洞的描述信息；

根據所述漏洞描述信息對所述漏洞進行確認；

將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器。

A2、根據A1所述的方法，其中，所述獲取并展示與待檢測網站相關的發布信息的步驟具體包括：為所述待檢測網站設置對應的漏洞提交入口，獲取并展示與待檢測網站相關的發布信息以及所述待檢測網站對應的漏洞提交入口；

則所述獲取針對所述待檢測網站提交的漏洞描述信息的步驟具體包括：通過所述漏洞提交入口獲取漏洞檢測終端針對所述待檢測網站提交的漏洞描述信息。

A3、根據A1或A2所述的方法，其中，所述發布信息中進一步包括：至少一個漏洞級別以及各個漏洞級別對應的漏洞價值信息；

其中，所述漏洞級別包括以下中的至少一個：高危級別、中危級別以及低危級別。

A4、根據A1-A3任一所述的方法，其中，所述將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器的步驟之后，進一步包括步驟：

接收所述漏洞接收服務器根據漏洞級別和/或漏洞價值信息發送的漏洞確認信息，將所述漏洞確認信息發送給所述漏洞檢測終端。

A5、根據A1-A4任一所述的方法，其中，所述方法進一步包括步驟：

預先接收并保存與所述待檢測網站相對應的漏洞接收服務器的通信地址，則所述將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器的步驟具體包括：根據所述漏洞接收服務器的通信地址將所述漏洞描述信息發送給所述漏洞接收服務器；以及，

預先接收并保存所述漏洞檢測終端的通信地址，則將漏洞確認信息發送給所述漏洞檢測終端的步驟具體包括：根據所述漏洞檢測終端的通信地址將所述漏洞確認信息發送給所述漏洞檢測終端。

A6、根據A1-A5任一所述的方法，其中，所述將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器的步驟之后，進一步包括：

根據所述待檢測網站確定對其相應的所述漏洞描述信息進行展示或隱藏。

A7、根據A1-A5任一所述的方法，其中，所述待檢測網站的數量為多個，且所述漏洞檢測終端的數量為多個。

本發明還公開了：B8、一種WEB漏洞檢測裝置，包括：

第一獲取模塊，適于獲取并展示與待檢測網站相關的發布信息，其中，所述發布信息中包括與所述待檢測網站相關的待檢測地址；

第二獲取模塊，適于獲取針對所述待檢測網站提交的漏洞描述信息，所述漏洞描述信息是漏洞檢測終端針對所述待檢測網站檢測出的漏洞的描述信息；

確認模塊，適于根據所述漏洞描述信息對所述漏洞進行確認；

發送模塊，適于將已確認漏洞的所述漏洞描述信息發送至與所述待檢測網站相對應的漏洞接收服務器。

B9、根據B8所述的裝置，其中，所述第一獲取模塊具體用于：為所述待檢測網站設置對應的漏洞提交入口，獲取并展示與待檢測網站相關的發布信息以及所述待檢測網站對應的漏洞提交入口；

則所述第二獲取模塊具體用于：通過所述漏洞提交入口獲取漏洞檢測終端針對所述待檢測網站提交的漏洞描述信息。

B10、根據B8或B9所述的裝置，其中，所述發布信息中進一步包括：至少一個漏洞級別以及各個漏洞級別對應的漏洞價值信息；

其中，所述漏洞級別包括以下中的至少一個：高危級別、中危級別以及低危級別。

B11、根據B8-B10任一所述的裝置，其中，所述裝置進一步包括：

信息反饋模塊，適于接收所述漏洞接收服務器根據漏洞級別和/或漏洞價值信息發送的漏洞確認信息，將所述漏洞確認信息發送給所述漏洞檢測終端。

B12、根據B8-B11任一所述的裝置，其中，所述裝置進一步包括：

預處理模塊，適于預先接收并保存與所述待檢測網站相對應的漏洞接收服務器的通信地址，以及，預先接收并保存所述漏洞檢測終端的通信地址；則所述發送模塊具體用于：根據所述漏洞接收服務器的通信地址將所述漏洞描述信息發送給所述漏洞接收服務器，以及，根據所述漏洞檢測終端的通信地址將所述漏洞確認信息發送給所述漏洞檢測終端。

B13、根據B8-B12任一所述的裝置，其中，所述裝置進一步包括：

信息處理模塊，適于根據所述待檢測網站確定對其相應的所述漏洞描述信息進行展示或隱藏。

B14、根據B8-B12任一所述的裝置，其中，所述待檢測網站的數量為多個，且所述漏洞檢測終端的數量為多個。

本發明還公開了：C15、一種漏洞檢測系統，包括：上述B8-B14任一所述的漏洞檢測裝置、所述待檢測網站以及所述漏洞檢測終端。

完整全部詳細技術資料下載

當前第1頁1 2 3