[发明专利]一种网站安全扫描方法及装置

说明书

本发明提供了一种网站安全扫描方法，包括：API服务器向用户发布网站安全扫描服务接口；收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务；本发明还提供一种网站安全扫描装置。根据本发明提供的技术方案，能够提高网站安全扫描的效率，节约本地的设备资源。

【技术领域】

本发明涉及互联网领域的安全测试技术，尤其涉及一种网站安全扫描方法及装置。

【背景技术】

目前，对网站进行安全扫描主要包括以下两种方法：第一种方法是通过专门的安全测试人员，对网站进行安全扫描实现的。安全扫描过程中，安全测试人员需要利用抓包工具通过手工点击录制的方式得到网站的链接列表，然后针对链接列表中的每个链接构造扫描事件，最终实现网站的安全扫描；第二种方法是安全测试人员利用一些安全扫描工具对网站进行安全扫描。

对于第一种方法，由于对网站进行安全扫描依赖于安全测试人员的手工操作，需要等待安全测试人员排期进行扫描，且需要进行大量的手工操作，因此网站安全扫描效率很低。对于第二种方法，由于安全测试人员利用安全扫描工具对网站进行安全扫描时，需要在本地安装安全扫描所需要的所有程序，因此将占用较多的设备资源。

【发明内容】

本发明提供了一种网站安全扫描方法及装置，能够提高网站安全扫描的效率，节约本地的设备资源。

本发明的具体技术方案如下：

本发明提供一种网站安全扫描方法，应用程序编程接口API服务器向用户发布网站安全扫描服务接口；还包括：

收到用户调用网站安全扫描服务接口的请求时，所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务。

上述方法中，该方法还包括：收到用户的令牌请求时，API服务器向用户提供令牌，并将令牌存储在所述后台资源的后台数据库中；

所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌；

在所述API服务器根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务之前还包括：所述后台数据库查询所述用户的令牌是否有效，如果是，继续执行所述根据预设的映射规则，调用后台资源对被测系统进行对应的安全扫描服务的步骤。

上述方法中，所述API服务器向用户发布网站安全扫描服务接口为：

设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则，所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系；API服务器将所述网页地址组成的URL集合提供给用户。

上述方法中，所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接口。

上述方法中，当API服务器收到用户调用申请令牌接口的请求时，调用后台资源中的后台数据库并判断所述用户是否已经申请令牌，并在所述用户还没有申请令牌时，向所述用户邮箱发送令牌激活邮件；

API服务器收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时，激活令牌并将激活的令牌发送给所述用户。

上述方法中，当所述API服务器收到用户调用启动扫描接口的请求时，如果正在运行的扫描任务中没有所述被测系统的扫描任务时，触发后台资源中的后台服务器启动对被测系统进行的扫描任务。

上述方法中，当所述API服务器收到用户调用获取扫描进度信息接口的请求时，调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息，并将所述进度信息返回给用户。