[发明专利]一种网页漏洞扫描方法及系统

说明书

本发明公开了一种网页漏洞扫描方法及系统，通过对用户所提供的预置网页信息进行爬行扫描，并且扫描获得预置网页中所包含的有可能存在漏洞的其他的所有网页信息，最后通过预设的各种漏洞测试方法对预置网页信息和扫描获得的所有网页信息进行漏洞测试，从而判断预置网页信息中是否存在危险漏洞或包含有存在危险漏洞的其他网页，实现了网页的自行检测，有利于用户提前发现网页可能存在的漏洞，从而尽早采取防御措施，防止遭到不法分子的攻击。

技术领域

本发明涉及计算机技术领域，尤其涉及一种网页漏洞扫描方法及系统。

背景技术

近年来，随着信息科技的进步和互联网的发展，对公众开放的最多的互联网服务的表现形式就是由网页形成的网页系统。网页系统由于具有信息发布、业务流转等功能，已成为了目前人们日常生活中不可或缺的部分。

目前针对网页的攻击是最容易且普遍的，黑客和不法分子的持续活跃，使得网页本身的安全性面临着极大的威胁。而只有网页本身做到无漏洞，才能够防止不法分子的恶意攻击。

现有技术中缺乏对网页进行自行检测的方法，使得网页存在漏洞时，网页的持有者难以有效发现网页的漏洞，从而令不法分子有了可乘之机。

发明内容

本发明提供了一种网页漏洞扫描方法及系统，解决了现有技术中缺乏对网页进行自行检测的方法，使得网页存在漏洞时，网页的持有者难以有效发现网页的漏洞的技术问题。

本发明提供的一种网页漏洞扫描方法，包括：

对预置网页信息进行爬行扫描，获得所述预置网页信息内所包含的所有网页信息；

采用预设的漏洞测试方法对所述预置网页信息和所述所有网页信息进行漏洞测试，并获得漏洞测试结果。

优选地，所述对预置网页信息进行爬行扫描，获得所述预置网页信息内所包含的所有网页信息具体包括：

对预置的统一资源定位符进行访问和爬行分析，获得所述预置的统一资源定位符的访问结果中包含的其他的统一资源定位符。

优选地，所述获得所述预置的统一资源定位符的访问结果中包含的其他的统一资源定位符之后还包括：

对所述其他的统一资源定位符进行访问和爬行分析，获得所述其他的统一资源定位符的访问结果中包含的新的统一资源定位符，并根据所述新的统一资源定位符循环进行统一资源定位符的爬行查找，直至无新的统一资源定位符出现。

本发明提供的网页漏洞扫描方法，还包括：

在获得统一资源定位符时，对获得的统一资源定位符按照正则表达式进行解析，并将解析得到的解析值加入待测试列表中；

在获得新的统一资源定位符时，对新的统一资源定位符按照正则表达式进行解析，并将解析得到的新的解析值与待测试列表中的解析值进行比对，若比对得所述新的解析值与所述待测试列表中的解析值一致时，丢弃所述新的统一资源定位符。

优选地，在对统一资源定位符进行访问且获得的访问结果为需要登录信息进行登录时，采用cookie输入的方式获得有效的用户登录信息，并根据所述用户登录信息获得登录后的访问界面。

优选地，所述预设的漏洞测试方法包括：

端口扫描、溢出测试、结构化查询语言SQL注入攻击、跨站攻击和Cookie注入。

本发明提供的网页漏洞扫描方法，还包括：

对所述预置网页信息和所述所有网页信息进行安全性检查；

所述安全性检查包括检查应用系统架构、检查身份认证模块、检查数据库接口模块和检查文件接口模块。

本发明提供的一种网页漏洞扫描系统，包括：