[发明专利]一种Web站点漏洞扫描方法和装置

说明书

技术领域

本发明涉及安全检测领域，尤其涉及一种Web站点漏洞扫描方法和装置。

背景技术

随着各种各样的Web应用(网上银行、电子商务、个人空间、云存储等)不断进入人们的生活，如果这些Web应用存在不安全隐患，那么个人信息、甚至是Web站点系统都会面临安全风险。据统计，目前75％的网络攻击行为都是通过Web来进行的。

对于通常的Web管理人员来说，基于安全的管理占用大量工作时间，因为对Web应用的安全性进行手工测试和审计是一项复杂且耗时的工作，不仅需要极大的耐心还需要专业的技术经验。自动化的漏洞扫描技术能够大幅简化对于安全隐患的检测工作，有助于Web管理人员将精力转向如何处理安全风险上来。

现有的Web安全自动扫描技术，主要有2大核心模块，分别是URL(Uniform/Universal Resource Locator，统一资源定位符，简称URL)的提取模块和漏洞检测模块。主要流程是对于某一待检测站点，首先通过URL提取模块，获取到整个网站的链接URL，然后使用漏洞检测模块对每一有效URL进行漏洞的检测和确认工作，在漏洞检测和确认中，需要对各种漏洞类型都进行检测；最后所有网站链接和类型都检测和确认完毕，系统会输出一份web安全扫描的检测报告。漏洞的检测和确认是Web扫描技术中最复杂和耗时的部分，而现有技术对网站的每个有效URL不加选择地进行每种漏洞类型遍历的检测，导致扫描效率低下、耗时过长。特别在对大站点(海量数据)扫描的时候问题更加突出。

发明内容

本发明实施例所要解决的技术问题在于，提供一种Web站点漏洞扫描方法和装置。可解决现有技术对网站的每个有效URL不加选择地进行每种漏洞类型遍历的检测，导致扫描效率低下、耗时过长的问题。

为了解决上述技术问题，本发明第一方面提供了一种Web站点漏洞扫描方法，包括：

获取待测网站的测试对象集合中的目标测试对象，所述目标测试对象包括目标URL统一资源定位符和所述目标URL指向的页面；

提取所述目标测试对象中待测漏洞的漏洞特征，并根据所述漏洞特征生成待测漏洞特征向量；

计算预置的待测漏洞标准向量与所述待测漏洞特征向量之间的相似度；

当所述相似度小于预置的阈值时，不对所述目标测试对象进行检测所述待测漏洞的操作。

在第一种可能的实现方式中，所述获取待测网站的测试对象集合中的目标测试对象之前包括：

将所述待测网站域名与预置的经验种子库中的种子拼接生成组合URL集合；

将所述组合URL集合和所述待测网站导航页面中包括的URL加入到种子URL集合中；

将根据所述种子URL集合提取到的所述待测网站每一个URL和对应的页面保存至所述测试对象集合。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，还包括：

将所述测试对象集合中的URL加入到所述预置的经验种子库中。

结合第一方面至第一方面的第二种可能的实现方式中的任一种，在第三种可能的实现方式中，还包括：

根据预置的样本网站采用矢量空间模型VSM方法计算所述待测漏洞标准向量。

结合第一发明的第三种可能的实现方式，在第四种可能的实现方式中，所述根据预置的样本网站采用矢量空间模型VSM计算所述待测漏洞标准向量具体包括：

获取所述样本网站的测试对象集合中的所述待测漏洞的样本特征向量；

确定所述样本特征向量中各个向量的权重；

根据所述权重和所述样本特征向量计算出所述待测漏洞的待测漏洞标准向量。

结合第一方面的第四种可能的实现方式，在第五种可能的实现方式中，所述计算预置的待测漏洞标准向量与所述待测漏洞特征向量之间的相似度包括：

计算所述预置的待测漏洞向量和待测漏洞特征向量的夹角的余弦值作为二者之间的相似度。

本发明第二方面提供了一种Web漏洞扫描装置，包括：

测试对象获取模块，用于获取待测网站的测试对象集合中的目标测试对象，所述目标测试对象包括目标URL和所述目标URL指向的页面；

特征生成模块，用于提取所述目标测试对象中待测漏洞的漏洞特征，并根据所述漏洞特征生成待测漏洞特征向量；

相似度计算模块，用于计算预置的待测漏洞标准向量与所述待测漏洞特征向量之间的相似度；

漏洞检测筛选模块，用于当所述相似度小于预置的阈值时，不对所述目标测试对象进行检测所述待测漏洞的操作。