一种适用于多环境下的Web应用漏洞扫描方法、系统及介质与流程

一种适用于多环境下的web应用漏洞扫描方法、系统及介质
技术领域
1.本发明涉及信息安全领域，具体为一种适用于多环境下的web应用漏洞扫描方法、系统及介质。


背景技术：

2.internet发展到今天，基于web和数据库架构的应用系统已经成为主流，广泛应用于企业内部和外部的业务系统中。再高速公路不断扩展，电子政务、电子商务和各种基于web应用的业务模式不断成熟的今天，由网络钓鱼、sql注入、网页木马和跨站脚本等攻击事件带来的严重后果，将影响人们对web应用的信息。
3.近几年来，web技术和安全产品已经有了长足的进步，部分技术与产品已日趋成熟。但是单个安全技术或者安全产品的功能和性能都有局限性，只能满足系统与网络特定的安全需求。因为如何有效利用现有的安全技术和安全产品来保障web应用系统的安全已成为当前信息安全领域的研究热点之一。
4.首先web应用程序产生种种缺陷的原因是多方面的，比如：
5.1.开发人员设计应用程式时安全意识不高或者编码疏忽。开发人员主要保证的时软件功能的实现，而忽略安全问题及源代码的质量问题。
6.2.软件测试人员缺乏应用安全测试的经验和技巧。软件测试永绿不足以覆盖某些特别情况，导致应用程序上线时被黑客们利用并攻破。
7.3.软件开发周期紧张进而施加项目开发进度压力。虽然web应用开发相对简单，但有些企业缺乏对系统安全把关的重视，导致缩短安全检测进度。
8.正是由于种种原因，web应用漏洞的存在不可避免。如果一些较为验证的程序漏洞被恶意的攻击者发现，就由可能被其利用，在未得到授权的情况下访问或破坏计算机系统，造成不容忽视的损失。


技术实现要素：

9.(一)解决的技术问题
10.针对现有技术的不足，本发明提供了一种适用于多环境下的web应用漏洞扫描方法、系统及介质，解决了上述背景技术中提出的能够主动地发现网络得风险隐患，并及时采取修补措施，降低风险、减少损失的问题。
11.(二)技术方案
12.为实现以上目的，本发明通过以下技术方案予以实现：一种适用于多环境下的web应用漏洞扫描系统，包括：
13.系统管理层，完成系统配置及用户管理；
14.rl获取层，通过网络爬虫或代理扫描的方式获取需要检测的所有url；
15.检测层，用于进行webservice检测、web2.0检测、木马溯源及弱点检测；
16.取证与深度评估层，针对检测出问题地部分，深入地进行弱点取证和数据库风险
分析；
17.风险管理层，用于对用户风险和趋势进行管理。
18.优选地，网络爬虫对使用人员设定的目标网站进行爬取，并对网页中的超链接进行分析和递归爬取，并将所有的url数据提供给检测层进行检测。
19.优选地，代理扫描模式：是需要用户连接到系统的代理模块并发送请求，系统收到请求后获取页面返回给用户，记录相应的请求数据，并将这些数据提交给检测层。
20.优选地，检测层包括，
21.webservice检测：通过特殊数据注入webservice,根据被检测系统返回的数据来判断是否存在webservice注入漏洞。
22.web2.0检测：通过异步调用和javascript分解实现对最新web2.0 ajax程序检测，确认是否存在ajax注入。
23.弱点检测：尽可能完成地模拟黑客使用地漏洞发现技术和攻击手段。对目标地安全性进行深入地探测分析，可以检测sql注入、跨站脚本等。
24.优选地，弱点取证：通过自动获取后端数据进行取证，在确认存在漏洞地迁都下，通过注入专门的sql语句和脚本获取各种后台数据，对发现的漏洞具有不可抵赖性。
25.优选地，数据库风险扫描：对于web应用弱点，通过web程序间接向后台数据库发送不通数据库包请求来获取后台数据的类型及达到审计后台数据库的目的。
26.优选地，风险管理层还包括通过报表、图表的方式展现其统计数据.
27.本发明另一目的在于，提供一种适用于多环境下的web应用漏洞扫描方法，包括按如前所述的一种适用于多环境下的web应用漏洞扫描系统实现web应用漏洞扫描过程。
28.本发明的另一目的在于提供一种存储介质，所述存储介质上存储有适用于多环境下的web应用漏洞扫描的程序，所述适用于多环境下的web应用漏洞扫描的程序被处理器执行时实现如前所述的一种适用于多环境下的web应用漏洞扫描的系统步骤。
29.有益效果
30.本发明提供了一种适用于多环境下的web应用漏洞扫描方法、系统及介质。具备以下有益效果：
31.本系统采用网络爬虫、攻击技术和自动化渗透性测试的方法，对web应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的web应用服务。
32.本发明在web开发、测试、维护、运营的整个生命周期中，帮助企业高效地发现问题，最大限度的保证应用安全。
具体实施方式
33.下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述。
34.本发明实施例提供一种适用于多环境下的web应用漏洞扫描系统，系统构架共分为系统管理层、url获取层、检测层、取证与深度评估层、风险管理层等五个层次。
35.具体的，系统管理层：本系统第一层为系统管理层，主要完成系统配置及用户管理。系统配置时指管理员对软件运行参数通过图形界面进行配置的模块。
36.url获取层：本系统第二层为url获取层，主要通过网络爬虫或代理扫描的方式获
取需要检测的所有url。
37.其中，网络爬虫对使用人员设定的目标网站进行爬取，并对网页中的超链接进行分析和递归爬取(有一定的局限范围内)，并将所有的url数据提供给检测层进行检测。
38.代理扫描模式：是需要用户连接到系统的代理模块并发送请求，系统收到请求后获取页面返回给用户，记录相应的请求数据，并将这些数据提交给检测层。
39.检测层：本系统第三次为检测层，可以进行webservice检测、web2.0检测、木马溯源及弱点检测。
40.webservice检测：通过特殊数据注入webservice,根据被检测系统返回的数据来判断是否存在webservice注入漏洞。
41.web2.0检测：通过异步调用和javascript分解实现对最新web2.0 ajax程序检测，确认是否存在ajax注入。
42.弱点检测：尽可能完成地模拟黑客使用地漏洞发现技术和攻击手段。对目标地安全性进行深入地探测分析，可以检测sql注入、跨站脚本等。
43.取证与深度评估层：本系统地第四次为取证与深度评估层，针对检测出问题地部分，可以深入地进行弱点取证和数据库风险分析。
44.弱点取证：通过自动获取后端数据进行取证，在确认存在漏洞地迁都下，通过注入专门的sql语句和脚本获取各种后台数据，对发现的漏洞具有不可抵赖性。
45.数据库风险扫描：对于web应用弱点，通过web程序间接向后台数据库发送不通数据库包请求来获取后台数据的类型及达到审计后台数据库的目的。自动判断数据库类型，能够判断oracle、db2、sybase、es、mongodb、mysql等主流数据库并针对不通数据库实施不通的扫描策略。
46.风险管理层:本系统的第五次为风险管理层，对用户风险和趋势进行管理，并可以通过报表、图表的方式展现其统计数据。
47.本发明实施例还提供一种适用于多环境下的web应用漏洞扫描方法，包括按如上述实施例中的一种适用于多环境下的web应用漏洞扫描系统实现web应用漏洞扫描过程。
48.本发明实施例还提供一种存储介质，一种存储介质，所述存储介质上存储有适用于多环境下的web应用漏洞扫描的程序，所述适用于多环境下的web应用漏洞扫描的程序被处理器执行时实现如上述实施例中一种适用于多环境下的web应用漏洞扫描的系统步骤。
49.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

技术特征：
1.一种适用于多环境下的web应用漏洞扫描系统，其特征在于，包括：系统管理层，完成系统配置及用户管理；rl获取层，通过网络爬虫或代理扫描的方式获取需要检测的所有url；检测层，用于进行webservice检测、web2.0检测、木马溯源及弱点检测；取证与深度评估层，针对检测出问题地部分，深入地进行弱点取证和数据库风险分析；风险管理层，用于对用户风险和趋势进行管理。2.根据权利要求1所述的一种适用于多环境下的web应用漏洞扫描系统，其特征在于：网络爬虫对使用人员设定的目标网站进行爬取，并对网页中的超链接进行分析和递归爬取，并将所有的url数据提供给检测层进行检测。3.根据权利要求1所述的一种适用于多环境下的web应用漏洞扫描系统，其特征在于，代理扫描模式：是需要用户连接到系统的代理模块并发送请求，系统收到请求后获取页面返回给用户，记录相应的请求数据，并将这些数据提交给检测层。4.根据权利要求1所述的一种适用于多环境下的web应用漏洞扫描系统，其特征在于，检测层包括，webservice检测：通过特殊数据注入webservice,根据被检测系统返回的数据来判断是否存在webservice注入漏洞；web2.0检测：通过异步调用和javascript分解实现对最新web2.0 ajax程序检测，确认是否存在ajax注入；弱点检测：模拟黑客使用地漏洞发现技术和攻击手段，对目标地安全性进行深入地探测分析，检测sql注入、跨站脚本。5.根据权利要求1所述的一种适用于多环境下的web应用漏洞扫描系统，其特征在于，所述弱点取证：通过自动获取后端数据进行取证，在确认存在漏洞地迁都下，通过注入专门的sql语句和脚本获取各种后台数据，对发现的漏洞具有不可抵赖性。6.根据权利要求1所述的一种适用于多环境下的web应用漏洞扫描系统，其特征在于，数据库风险扫描：对于web应用弱点，通过web程序间接向后台数据库发送不通数据库包请求来获取后台数据的类型及达到审计后台数据库的目的。7.根据权利要求1所述的一种适用于多环境下的web应用漏洞扫描系统，其特征在于：所述风险管理层还包括通过报表、图表的方式展现其统计数据。8.一种适用于多环境下的web应用漏洞扫描方法，其特征在于，包括按如权利要求1-7任一项所述的一种适用于多环境下的web应用漏洞扫描系统实现web应用漏洞扫描过程。9.一种存储介质，其特征在于，所述存储介质上存储有适用于多环境下的web应用漏洞扫描的程序，所述适用于多环境下的web应用漏洞扫描的程序被处理器执行时实现如权利要求1-7任一所述的一种适用于多环境下的web应用漏洞扫描的系统步骤。

技术总结
本发明提供一种适用于多环境下的Web应用漏洞扫描系统，涉及信息安全领域，包括系统管理层、URL获取层、检测层、取证与深度评估层、风险管理层等五个层次。本发明采用网络爬虫、攻击技术和自动化渗透性测试的方法，对web应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的Web应用服务。Web应用服务。


技术研发人员：王小东 杨小帅 李佳鑫
受保护的技术使用者：北京天地和兴科技有限公司
技术研发日：2023.01.10
技术公布日：2023/9/11