[发明专利]一种网站安全扫描方法及装置

权利要求书

1.一种网站安全扫描方法，其特征在于，应用程序编程接口API服务器向用户发布网站安全扫描服务接口；该方法还包括：

收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务；

所述API服务器向用户发布网站安全扫描服务接口为：

设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则，所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系；API服务器将所述网页地址组成的URL集合提供给用户。

2.根据权利要求1所述的方法，其特征在于，该方法还包括：收到用户的令牌请求时，API服务器向用户提供令牌，并将令牌存储在所述后台资源的后台数据库中；

所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌；

在所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务之前还包括：所述后台数据库查询所述用户的令牌是否有效，如果是，继续执行所述根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务的步骤。

3.根据权利要求1所述的方法，其特征在于，所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接口。

4.根据权利要求3所述的方法，其特征在于，当API服务器收到用户调用申请令牌接口的请求时，调用后台资源中的后台数据库并判断所述用户是否已经申请令牌，并在所述用户还没有申请令牌时，向所述用户邮箱发送令牌激活邮件；

API服务器收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时，激活令牌并将激活的令牌发送给所述用户。

5.根据权利要求3所述的方法，其特征在于，当所述API服务器收到用户调用启动扫描接口的请求时，如果正在运行的扫描任务中没有所述被测系统的扫描任务时，触发后台资源中的后台服务器启动对被测系统进行的扫描任务。

6.根据权利要求3所述的方法，其特征在于，当所述API服务器收到用户调用获取扫描进度信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息，并将所述进度信息返回给用户。

7.根据权利要求3所述的方法，其特征在于，当所述API服务器收到用户调用获取实时信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息，并将所述漏洞信息返回给用户。

8.根据权利要求3所述的方法，其特征在于，当所述API服务器收到用户调用停止扫描接口的请求时，调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。

9.根据权利要求3所述的方法，其特征在于，当所述API服务器收到用户调用获取扫描结果接口的请求时，调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果，将所述扫描结果返回给用户。

10.一种网站安全扫描装置，其特征在于，位于API服务器中，该装置包括：接口发布单元、请求处理单元；其中，

接口发布单元，用于向用户发布网站安全扫描服务接口；

请求处理单元，用于收到用户调用网站安全扫描服务接口的请求时，根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务；

所述接口发布单元具体用于，设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则，所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系；API服务器将所述网页地址组成的URL集合提供给用户。