[发明专利]一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器

说明书

技术领域

本发明涉及一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器，属于计算机网络技术。

背景技术

随着网络的不断发展，网站的数目逐年快速增加，根据CNNIC报告截止到2012年6月仅中国就有就有250万个网站。与此相对应的是网站安全问题越来越突出，特别是自CSDN等网站大规模密码泄漏事件后，网站安全越来越引起人们的重视。

随着网络上大量的美观、实用的开源或付费的各种类型的建站程序模板，网站建设者基于成本和方便性考虑，大都采用现成的建站模板程序搭建，如博客类网站普遍采用WordPress搭建、论坛类网站普遍采用Discuz搭建。网站搭建完成后，网站页面中存在的关键字、LOGO或页面布局等信息成为网站指纹。通过网站的指纹信息与建站程序模板的指纹进行对比分析就可以判断出网站是否采用相应的模板进行搭建。

由于网站安全问题越来越严峻，出现了各种各样的网站漏洞扫描系统。现有的网站漏洞扫描器一般包括三部分：爬虫模块、漏洞扫描模块和显示模块。漏洞扫描方法是首先使用爬虫技术获取网站所有的链接，将获取的网站链接过滤、补全后添加到任务队列中，漏洞扫描模块获取任务队列中的链接后根据漏洞扫描规则进行漏洞扫描，然后将漏洞扫描结果显示给用户。

上述网站漏洞检测方法，不对目标网站进行指纹识别，不区分网站程序的不同，只是按照策略进行傻瓜式漏洞扫描，对所有网站采用完全相同的漏洞扫描过程，因而不能够根据网站的不同来进行自适应漏洞扫描，这样导致漏洞扫描效率低且精度差。

同时，由于不同网站建站系统之间的差异很大，上述漏洞检测方法又无法进行指纹识别，导致现有的网站漏洞扫描系统一般只检测网站存在的一些通用性漏洞如注入漏洞、跨站脚本漏洞等，而忽略了各个网站建站系统模板独有的漏洞，造成漏洞扫描结果不够全面。

现有的网站漏洞扫描系统一般都是以单一软件的形式发布，将漏洞库集成在系统中，用户不能够自己自定义添加最新的漏洞信息，只能等漏洞扫描系统进行升级来更新最新的漏洞信息，导致扫描系统的扩展性较差。

因此，现有的网站漏洞扫描系统存在很多缺陷，已经不能够完全满足用户的网站漏洞扫描需求。对网站进行漏洞扫描时，如何快速的获取网站指纹信息，并根据网站指纹信息进行自适应漏洞检测是一个迫切需要解决的问题。

发明内容

本发明的目的在于弥补现有方法的局限性，提供了一种基于WEB指纹识别技术的WEB漏洞扫描方法和漏洞扫描器，采用了一种WEB程序识别的网站安全漏洞扫描方法。本发明没有采用常见的基于完全爬行的网站安全漏洞扫描方案，而是采用了基于特征库的安全扫描方案，使其在漏洞扫描的精确性，探测漏洞后进一步处理上的灵活性，以及漏洞发现的效率等方面进行了改进，为系统安全扫描和网络漏洞扫描提供了全新的解决方案。    

按照本发明提供的技术方案，所述基于WEB指纹识别技术的WEB漏洞扫描器包括依次相连的用户端、WEB浏览器、扫描主机和WEB服务器，所述扫描主机进一步包括控制平台、扫描参数设置模块、扫描引擎模块、WEB指纹库和漏洞库，用户使用浏览器通过所述控制平台在扫描参数设置模块中设置扫描参数，并利用WEB程序指纹库进行应用程序指纹比对，最后使用漏洞库中相应程序的漏洞对目标网站进行扫描，并给出测试报告。

所述基于指纹识别技术的WEB漏洞扫描方法，包括WEB程序指纹识别和漏洞扫描分析两个阶段：在WEB指纹识别阶段，用户端利用WEB浏览器对远程的WEB服务器进行远程控制，通过扫描主机上的控制平台由用户设置扫描参数，通过比对WEB指纹库中指纹特征，判断目标服务器所使用的WEB应用程序；在所述分析阶段，利用对应WEB程序的漏洞对网站及相关服务器进行非破坏性质的模拟入侵者攻击，最后总结编写形成测试报告。

上述WEB特征库和WEB漏洞库在漏洞扫描器中均以插件形式进行加载，特征库及漏洞库都是以json格式进行存储。如果发现有新的指纹特征或者是出现了新的漏洞，可以及时的加入到相应的库中。

所述WEB指纹库中应用程序的特征包括以下一种或多种。

a)页面中的关键字，如页面中包含的“Powered By”信息就可以作为WEB程序的指纹信息。

b)特殊的文件名，程序中一些源代码文件的文件名命名方式也可以作为指纹识别的特征。

c)静态文件的hash值，程序中的README或者是CHANGELOG文件的散列都可以作为判断是不是这个程序的特征。