[发明专利]web漏洞扫描系统

说明书

技术领域

本发明涉及一种web漏洞扫描系统，特别是涉及一种基于流量重放的分 布式web漏洞扫描系统。

背景技术

现有技术中已经有几款非常成熟的web(网页)漏洞扫描产品，例如 AcunetixWebVulnerScanner，IBMWatchFireAppScan，W3AF等，其中 AcunetixWebVulnerScanner和IBMWatchFireAppScan都是非常成熟的商业 扫描软件，W3AF是开源社区非常流行的开源扫描项目，这几款产品很难满 足目前大型web系统的漏洞扫描需求，主要原因在于：

1、这些扫描器都是通过爬虫的方式去获取web系统的url(统一资源定 位符)列表，爬虫方式无法获取到系统中的孤岛页面(此页面在其他的页面 中没有链接)和JavaScript(一种直译式脚本语言)渲染出来的页面。此外， web系统中经常会使用伪静态技术，伪静态技术生成出来的页面虽然在前台 显示地址都各不相同，但实际上后台页面都是一样的，爬虫无法识别伪静态， 导致同一后台页面被重复扫描会大大降低扫描效率；

2、无法获取到用户的cookie(储存在用户本地终端上的数据)，不能有 效地模拟用户的真实请求，无法有效地发现需要身份识别的漏洞；

3、上述几个商业扫描器不支持分布式部署，受服务器性能限制，扫描 大型的web系统效率非常低；

4、不支持自定义的漏洞检测方法，对于新出来的0day漏洞(在系统上 知晓并发布相关补丁前就被掌握或者公开的漏洞)过于依赖软件升级。

发明内容

本发明要解决的技术问题是为了克服现有技术中商业扫描软件难以满 足目前大型web系统的漏洞扫描需求的缺陷，提供一种web漏洞扫描系统。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种web漏洞扫描系统，其特点在于，包括：

流量获取模块，用于通过交换机的流量镜像端口获取用户访问web系统 的流量；

流量存储模块，用于将所述流量存储至第一消息队列；

扫描模块，用于根据扫描规则对流量进行扫描；

漏洞信息存储模块，用于存储所述扫描模块扫描出的漏洞信息。

较佳地，所述web漏洞扫描系统还包括：

去重模块，用于判断所述流量在所述第一消息队列中是否为首次出现， 若是，则将所述流量发送至第二消息队列，若否，则丢弃所述流量；

所述扫描模块用于对所述第二消息队列中的流量进行扫描。

较佳地，所述web漏洞扫描系统还包括：

规则配置模块，用于配置所述扫描规则。

较佳地，所述扫描模块用于开启多线程模式对所述第二消息队列中的流 量进行并行扫描。

较佳地，所述流量获取模块用于根据黑白名单获取所述流量。

本发明的积极进步效果在于：本发明通过交换机旁路的方式获取流量， 解决了传统web漏洞扫描器的爬虫效率低下的问题，并且可以加载有效的用 户cookie，模拟用户的真实请求，同时本发明分布式的扫描机制提高了扫描 系统的弹性，并且本发明将扫描逻辑提升到规则层面，提高了扫描系统的灵 活性。

附图说明

图1为本发明的较佳实施例的web漏洞扫描系统的模块示意图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在 所述的实施例范围之中。

如图1所示，本发明的web漏洞扫描系统包括流量获取模块1、流量存 储模块2、扫描模块3、漏洞信息存储模块4、去重模块5以及规则配置模块 6。

其中，所述流量获取模块1用于通过交换机的流量镜像端口获取用户访 问web系统的流量，从而实现通过交换机旁路的方式获取web系统的url列 表，解决了现有技术的扫描器通过爬虫获取web系统的url列表效率低下的 问题；具体地，在本发明中，所述流量获取模块1可以基于预设的黑白名单 来获取所述流量，利用预设的黑白名单，则可以明确web系统流量的具体范 围，并且用户通过预先配置黑白名单，从而可以实现根据实际情况获取需要 的web系统的流量。