(10)申请公布号 (43)申请公布日 2013.04.24C N  103065095 A (21)申请号 201310032163.3
(22)申请日 2013.01.29
G06F 21/57(2013.01)
(71)申请人四川大学
地址610065 四川省成都市武侯区一环路南
一段24号
(72)发明人方勇  刘亮  黄诚  张钊  何良
何鹏程  季凡
许承文
(54)发明名称
一种基于指纹识别技术的WEB 漏洞扫描方法
和漏洞扫描器
(57)摘要
本发明提供了一种基于指纹识别技术的WEB
漏洞扫描方法和漏洞扫描器,此扫描器没有采用
常见的基于完全爬行的网站安全漏洞扫描方案,
而是采用了基于特征库的安全扫描方案,使其在
漏洞扫描的精确性,探测漏洞后进一步处理上的
灵活性,以及漏洞发现的效率等方面进行了改进,
为系统安全扫描和网络漏洞扫描提供了全新的解
决方案。该扫描器结构包括用户端、浏览器、扫描
主机和WEB 服务器四部分,如摘要附图所示,所述
的扫描主机包括控制模块、扫描参数设置模块、扫
描引擎模块、WEB 指纹库模块和WEB 漏洞库模块。
用户通过所述的控制平台在扫描参数设置模块中
设置扫描参数,扫描引擎根据传入的参数首先进
行指纹识别,最后使用所述漏洞库对网站漏洞进
行测试,并给出测试报告。该扫描器能够准确迅速
地帮助用户对目标网站进行漏洞的测试和分析,
无需安装客户端软件就可以直接在浏览器上进行
相关的操作。
(51)Int.Cl.
权利要求书2页  说明书3页  附图1页
(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书2页  说明书3页  附图1页(10)申请公布号CN 103065095 A
*CN103065095A*
1.一种基于指纹识别技术的WEB漏洞的扫描方法,其特征在于包括以下步骤:
指纹库的收集步骤;
漏洞库的收集步骤;
扫描引擎的建立步骤。
2.根据权利一所述的WEB漏洞的扫描方法,其特征在于形成一个系统的WEB扫描框架,建立一个WEB
扫描器,该扫描器采用指纹识别原理,并利用WEB指纹库进行应用程序的指纹比对,最后使用漏洞库中相应程序的漏洞对目标网站进行扫描,并给出测试报告。
3.根据权利一所述的WEB漏洞的扫描方法,其特征在于建立一个基于WEB特征的指纹数据库,该指纹数据库有以下几个特点:
以插件的形式进行加载,如果发现新的指纹特征可以及时的加入到指纹库中;
特征指纹的覆盖面广:包括有页面中的关键字,特殊文件名,静态文件的hash值,文件的标签树等信息。
4.根据权利三对WEB指纹库的描述,其特征还包括对WEB指纹的识别过程,在指纹识别阶段,用户通过扫描主机上的控制平台来设置扫描参数,通过比对WEB指纹库中指纹特征判断目标服务器所使用的WEB应用程序。
5.根据权利一所述的WEB漏洞的扫描方法,其特征在于建立一个WEB系统的漏洞数据库,该漏洞数据库有以下几个特点:
以插件的形式进行加载,如果发现有新的漏洞可以及时的加入到漏洞库中;
漏洞库采取分类存储的形式,包含了不同类型、不同版本网站建站程序的漏洞信息,漏洞库中的漏洞信息包括WEB程序漏洞和相关插件存在的漏洞,将每种WEB程序及插件的漏洞做成单独的插件,同时针对特定程序的不同漏洞也进行分类;
漏洞库中可利用的漏洞种类繁多:如SQL注入,跨站脚本攻击,远程文件包含,本地文件包含,拒绝服务攻击和敏感信息泄露等。
6.根据权利五对漏洞库的描述,其特征还包括对漏洞的发现过程,在通过指纹库判断出目标网站的建站模版后,在所述分析阶段,利用不同的模板调出不同的漏洞库,并根据该类漏洞对网站及相关服务器进行非破坏性质的模拟入侵者攻击,形成测试报告。
7.根据权利一所述的WEB漏洞的扫描方法,其特征在于建立一个扫描引擎的配置模块,该模块根据指纹库和漏洞库对目标网站进行扫描,扫描引擎模块首先检测目标网站是否存活,若存活则根据指纹库对目标网站进行扫描来进行指纹匹配以获取目标网站的程序类型和版本号,然后根据获取的网站程序和版本号利用漏洞库中的相应漏洞进行扫描探测。
8.根据权利七所述的扫描引擎的配置模块,其特征还包括对扫描引擎进行扫描参数的设置问题;用户通过浏览器对扫描参数进行设置,包括:用户注册、登陆、验证、扫描任务添加与设置、浏览扫描结果等。
9.根据权利二到八所述的WEB漏洞扫描器的扫描信息,其特征还包括采用了一种基于浏览器系统的扫描体系,该体系被称之为B/S架构体系,B/S架构体系与传统web安全扫描产品的C/S架构体系不同,用户无需安装客户端软件就可以直接在浏览器上进行相关的操作。
10.根据权利二到九所述的WEB漏洞扫描器的扫描过程,其特征还包括在扫描完成后
会给出详细的测试报告信息,包括有WEB系统的特征指纹,模板种类,开放端口和应用漏洞等信息,使扫描结果能够清晰直观的展现在用户面前。
一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器
技术领域
[0001] 本发明涉及一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器,属于计算机网络技术。
背景技术
[0002] 随着网络的不断发展,网站的数目逐年快速增加,根据CNNIC报告截止到2012年6月仅中国就有就有250万个网站。与此相对应的是网站安全问题越来越突出,特别是自CSDN等网站大规模密码泄漏事件后,网站安全越来越引起人们的重视。
[0003] 随着网络上大量的美观、实用的开源或付费的各种类型的建站程序模板,网站建设者基于成本和方便性考虑,大都采用现成的建站模板程序搭建,如博客类网站普遍采用WordPress搭建、论坛类网站普遍采用Discuz搭建。网站搭建完成后,网站页面中存在的关键字、LOGO或页面布局等信息成为网站指纹。通过网站的指纹信息与建站程序模板的指纹进行对比分析就可以判断出网站是否采用相应的模板进行搭建。
[0004] 由于网站安全问题越来越严峻,出现了各种各样的网站漏洞扫描系统。现有的网站漏洞扫描器一般包括三部分:爬虫模块、漏洞扫描模块和显示模块。漏洞扫描方法是首先使用爬虫技术获取网站所有的链接,将获取的网站链接过滤、补全后添加到任务队列中,漏洞扫描模块获取任务队列中的链接后根据漏洞扫描规则进行漏洞扫描,然后将漏洞扫描结果显示给用户。
[0005] 上述网站漏洞检测方法,不对目标网站进行指纹识别,不区分网站程序的不同,只是按照策略进行傻瓜式漏洞扫描,对所有网站采用完全相同的漏洞扫描过程,因而不能够根据网站的不同来进行自适应漏洞扫描,这样导致漏洞扫描效率低且精度差。
[0006] 同时,由于不同网站建站系统之间的差异很大,上述漏洞检测方法又无法进行指纹识别,导致现有的网站漏洞扫描系统一般只检测网站存在的一些通用性漏洞如注入漏洞、跨站脚本漏洞等,而忽略了各个网站建站系统模板独有的漏洞,造成漏洞扫描结果不够全面。
[0007] 现有的网站漏洞扫描系统一般都是以单一软件的形式发布,将漏洞库集成在系统中,用户不能够自己自定义添加最新的漏洞信息,只能等漏洞扫描系统进行升级来更新最新的漏洞信息,导致扫描系统的扩展性较差。
[0008] 因此,现有的网站漏洞扫描系统存在很多缺陷,已经不能够完全满足用户的网站漏洞扫描需求。对网站进行漏洞扫描时,如何快速的获取网站指纹信息,并根据网站指纹信息进行自适应漏洞检测是一个迫切需要解决的问题。
发明内容
网站搭建策略与方法
[0009] 本发明的目的在于弥补现有方法的局限性,提供了一种基于WEB指纹识别技术的WEB漏洞扫描方法和漏洞扫描器,采用了一种WEB程序识别的网站安全漏洞扫描方法。本发明没有采用常见的基于完全爬行的网站安全漏洞扫描方案,而是采用了基于特征库的安全
扫描方案,使其在漏洞扫描的精确性,探测漏洞后进一步处理上的灵活性,以及漏洞发现的效率等方面进行了改进,为系统安全扫描和网络漏洞扫描提供了全新的解决方案。
按照本发明提供的技术方案,所述基于WEB指纹识别技术的WEB漏洞扫描器包括依次相连的用户端、WEB浏览器、扫描主机和WEB服务器,所述扫描主机进一步包括控制平台、扫描参数设置模块、扫描
引擎模块、WEB指纹库和漏洞库,用户使用浏览器通过所述控制平台在扫描参数设置模块中设置扫描参数,并利用WEB程序指纹库进行应用程序指纹比对,最后使用漏洞库中相应程序的漏洞对目标网站进行扫描,并给出测试报告。
[0010] 所述基于指纹识别技术的WEB漏洞扫描方法,包括WEB程序指纹识别和漏洞扫描分析两个阶段:在WEB指纹识别阶段,用户端利用WEB浏览器对远程的WEB服务器进行远程控制,通过扫描主机上的控制平台由用户设置扫描参数,通过比对WEB指纹库中指纹特征,判断目标服务器所使用的WEB应用程序;在所述分析阶段,利用对应WEB程序的漏洞对网站及相关服务器进行非破坏性质的模拟入侵者攻击,最后总结编写形成测试报告。
[0011] 上述WEB特征库和WEB漏洞库在漏洞扫描器中均以插件形式进行加载,特征库及漏洞库都是以json格式进行存储。如果发现有新的指纹特征或者是出现了新的漏洞,可以及时的加入到相应的库中。
[0012] 所述WEB指纹库中应用程序的特征包括以下一种或多种。
[0013] a)页面中的关键字,如页面中包含的“Powered By”信息就可以作为WEB程序的指纹信息。
[0014] b)特殊的文件名,程序中一些源代码文件的文件名命名方式也可以作为指纹识别的特征。
[0015] c)静态文件的hash值,程序中的README或者是CHANGELOG文件的散列都可以作为判断是不是这个程序的特征。
[0016] d)文件的标签树特征,HTML文件采用树形结构安排HTML元素,将所有的HTML标签抽取出来就可以将它作为某一个HTML文件的特征。
[0017] 所述利用扫描主机上的漏洞库对网站及相关服务器进行非破坏性质的模拟入侵攻击,最后总结编写成测试报告,利用到的漏洞包含以下一种或多种。
[0018] a)SQL注入攻击。
[0019] b)跨站脚本攻击。
[0020] c)远程文件包含。
[0021] d)本地文件包含。
[0022] e)拒绝服务攻击。
[0023] f)敏感信息泄露。
[0024] 本发明的优点是:1、使用B/S架构,一改传统web安全扫描产品的C/S架构的纯软件版本,用户无需安装客户端软件,就可以直接在浏览器上进行相关的操作。2、使用了基于指纹识别技术的漏洞扫描方法,漏洞发现效率高,漏洞存在的准确度高。3、采用插件式系统设计,可以很方便的进行系统扩展和新漏洞新指纹的添加。
附图说明
[0025] 图1是本发明的漏洞扫描器的结构示意图。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。