[发明专利]一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器

权利要求书

1.一种基于指纹识别技术的WEB漏洞的扫描方法，其特征在于包括以下步骤:

      指纹库的收集步骤；

      漏洞库的收集步骤； 

      扫描引擎的建立步骤。

2.根据权利一所述的WEB漏洞的扫描方法，其特征在于形成一个系统的WEB扫描框架，建立一个WEB扫描器，该扫描器采用指纹识别原理，并利用WEB指纹库进行应用程序的指纹比对，最后使用漏洞库中相应程序的漏洞对目标网站进行扫描，并给出测试报告。

3.根据权利一所述的WEB漏洞的扫描方法，其特征在于建立一个基于WEB特征的指纹数据库，该指纹数据库有以下几个特点：

      以插件的形式进行加载，如果发现新的指纹特征可以及时的加入到指纹库中；

      特征指纹的覆盖面广：包括有页面中的关键字，特殊文件名，静态文件的hash值，文件的标签树等信息。

4.根据权利三对WEB指纹库的描述，其特征还包括对WEB指纹的识别过程，在指纹识别阶段，用户通过扫描主机上的控制平台来设置扫描参数，通过比对WEB指纹库中指纹特征判断目标服务器所使用的WEB应用程序。

5.根据权利一所述的WEB漏洞的扫描方法，其特征在于建立一个WEB系统的漏洞数据库，该漏洞数据库有以下几个特点：

    以插件的形式进行加载，如果发现有新的漏洞可以及时的加入到漏洞库中；

    漏洞库采取分类存储的形式，包含了不同类型、不同版本网站建站程序的漏洞信息，漏洞库中的漏洞信息包括WEB程序漏洞和相关插件存在的漏洞，将每种WEB程序及插件的漏洞做成单独的插件，同时针对特定程序的不同漏洞也进行分类；

    漏洞库中可利用的漏洞种类繁多：如SQL注入，跨站脚本攻击，远程文件包含，本地文件包含，拒绝服务攻击和敏感信息泄露等。

6.根据权利五对漏洞库的描述，其特征还包括对漏洞的发现过程，在通过指纹库判断出目标网站的建站模版后，在所述分析阶段，利用不同的模板调出不同的漏洞库，并根据该类漏洞对网站及相关服务器进行非破坏性质的模拟入侵者攻击，形成测试报告。

7.根据权利一所述的WEB漏洞的扫描方法，其特征在于建立一个扫描引擎的配置模块，该模块根据指纹库和漏洞库对目标网站进行扫描，扫描引擎模块首先检测目标网站是否存活，若存活则根据指纹库对目标网站进行扫描来进行指纹匹配以获取目标网站的程序类型和版本号，然后根据获取的网站程序和版本号利用漏洞库中的相应漏洞进行扫描探测。

8.根据权利七所述的扫描引擎的配置模块，其特征还包括对扫描引擎进行扫描参数的设置问题；用户通过浏览器对扫描参数进行设置，包括：用户注册、登陆、验证、扫描任务添加与设置、浏览扫描结果等。

9.根据权利二到八所述的WEB漏洞扫描器的扫描信息，其特征还包括采用了一种基于浏览器系统的扫描体系，该体系被称之为B/S架构体系，B/S架构体系与传统web安全扫描产品的C/S架构体系不同，用户无需安装客户端软件就可以直接在浏览器上进行相关的操作。

10.根据权利二到九所述的WEB漏洞扫描器的扫描过程，其特征还包括在扫描完成后会给出详细的测试报告信息，包括有WEB系统的特征指纹，模板种类，开放端口和应用漏洞等信息，使扫描结果能够清晰直观的展现在用户面前。