[发明专利]一种网页扫描方法、装置和系统

说明书

本发明实施方式公开了一种网页扫描方法，该方法包括：接收目标域名；通过代理服务器访问所述目标域名，在所述目标域名的身份认证过程中接收身份认证信息，并在身份认证通过后记录访问所述目标域名所使用的会话标识；利用该会话标识来供网页扫描器访问所述目标域名并执行网页扫描。相应的，本发明实施方式还公开了一种网页扫描的装置和系统。通过本发明实施方式提供的网页扫描方法、装置和系统，可以解决扫描器集成平台中由采用CAPTCHA等技术的身份认证方式而导致的登录困难问题。

技术领域

本发明涉及计算机网络安全技术领域，特别是涉及一种网页扫描的方法、装置和系统。

背景技术

网页扫描器（Web Scanner）有助于识别网络应用的安全弱点。当前，可以由多个网页扫描器执行网络安全扫描，通过比较和集成这些不同网页扫描工具的扫描结果，可以得到更加准确的扫描结果。因此，通常向企业提供可以集成不同类型网页扫描器产品的集成平台。对于用户而言，集成平台看起来就像是一个单独的扫描器。实际上，集成平台与多个扫描器相交互，驱动它们扫描目标网页，收集和分析结果，并且提供最终报告。

许多网站针对重要页面予以保护以防止未授权访问。对于扫描器而言，能够支持经过鉴权的扫描非常重要。举例来说，如果没有经过鉴权，网页扫描器只能够访问大部分网站的登录页面，而无法登陆网站对全部网页执行安全扫描。支持经过鉴权的扫描的主要困难在于如何登录进入受到图灵测试（CAPTCHA）技术保护的网站以进行扫描。网站可以通过多种方式实施CAPTCHA技术，比如显示失真数字的动态图像、短语发音或由数个文本和数字组成的小提问。比如，在用户访问网站时，向用户呈现动态图像，用户需要正确地输入图像中的数字才可以登录进入网站。

对于传统的单机网页扫描器，可向用户弹出呈现动态图像的窗口提示用户输入正确信息。然而，对于集成有多个网页扫描器的集成平台，这需要用户与每个网页扫描器进行交互，而且通常这种交互过程仅针对该网页扫描器才有效。不仅于此，许多网页扫描器界面甚至还不支持这种弹出窗口并交互的功能。因此，目前在集成有多个网页扫描器的集成平台中尚未很好地解决由采用CAPTCHA等技术的身份认证方式而导致的登录问题。

发明内容

本发明实施方式提出一种网页扫描的方法、装置和系统，以解决扫描器集成平台中由采用CAPTCHA等技术的身份认证方式而导致的登录困难问题。

根据本发明实施方式的网页扫描方法，该方法包括：

接收目标域名；

通过代理服务器访问所述目标域名，在所述目标域名的身份认证过程中接收身份认证信息，并在身份认证通过后记录访问所述目标域名所使用的会话标识；

利用该会话标识来供网页扫描器访问所述目标域名并执行网页扫描。

根据本发明的一个方面，所述利用该会话标识来供网页扫描器访问所述目标域名并执行网页扫描包括：

向所述网页扫描器提供所述代理服务器记录的会话标识，以供所述网页扫描器应用所述会话标识直接访问所述目标域名并执行网页扫描。

根据本发明的另一个方面，所述利用该会话标识来供网页扫描器访问所述目标域名并执行网页扫描包括：

通过所述代理服务器向所述目标域名发送所述网页扫描器的访问请求，以供所述网页扫描器通过所述代理服务器访问所述目标域名并执行网页扫描，其中，所述网页扫描器的访问请求中的会话标识被替换为所述代理服务器记录的会话标识。

根据本发明的一个方面，该方法进一步包括：生成与所述目标域名相对应的扫描任务标识；

记录与所述目标域名相对应的扫描任务标识以及与该扫描任务标识相对应的网页扫描器IP地址列表；