CN117251856A - 一种基于web网站的漏洞处理方法、装置及设备 - Google Patents

一种基于web网站的漏洞处理方法、装置及设备 Download PDF

Info

Publication number
CN117251856A
CN117251856A CN202311230313.1A CN202311230313A CN117251856A CN 117251856 A CN117251856 A CN 117251856A CN 202311230313 A CN202311230313 A CN 202311230313A CN 117251856 A CN117251856 A CN 117251856A
Authority
CN
China
Prior art keywords
vulnerability
web site
scanning
report
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311230313.1A
Other languages
English (en)
Inventor
肖坚炜
肖建林
杨磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Anluo Technology Co ltd
Original Assignee
Shenzhen Anluo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Anluo Technology Co ltd filed Critical Shenzhen Anluo Technology Co ltd
Priority to CN202311230313.1A priority Critical patent/CN117251856A/zh
Publication of CN117251856A publication Critical patent/CN117251856A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于web网站的漏洞处理方法、装置及设备,该方法包括:获取待扫描的目标web网站列表进行漏洞扫描;根据目标web网站列表的不同站点分别生成对应的漏洞扫描结果;根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;基于漏洞处理建议与漏洞扫描结果生成待审批的漏洞报告;基于AI技术对待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;获取待人工核验的漏洞报告的人工核验结果,根据人工核验结果生成目标漏洞检测报告。本发明实施例可实现对web站点进行批量扫描分析,根据扫描结果提供修复漏洞的建议解决方案;生成详细的漏洞报告为用户修复web漏洞提供了方便。

Description

一种基于web网站的漏洞处理方法、装置及设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于web网站的漏洞处理方法、装置及设备。
背景技术
web漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在web漏洞并被黑客攻击者利用,攻击者可以轻易控制整个网站,并可进一步提权获取网站服务器权限,控制整个服务器,为用户信息安全带来威胁。
现有技术对web网站的漏洞进行扫描时,无法及时对漏洞的详细数据进行分析,从而无法生成漏洞修复建议,为用户修复漏洞带来不便。
因此,现有技术还有待于改进和发展。
发明内容
鉴于上述现有技术的不足,本发明的目的在于提供一种基于web网站的漏洞处理方法、装置及设备,旨在解决现有技术对web网站的漏洞进行扫描时,无法及时对漏洞的详细数据进行分析,从而无法生成漏洞修复建议,为用户修复漏洞带来不便的技术问题。
本发明的技术方案如下:
一种基于web网站的漏洞处理方法,所述方法包括:
获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描;
根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果;
根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;
基于所述漏洞处理建议与所述漏洞扫描结果生成待审批的漏洞报告;
基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;
获取所述待人工核验的漏洞报告的人工核验结果,根据所述人工核验结果生成目标漏洞检测报告。
进一步地,所述获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描前,包括:
预先根据漏洞扫描需求选择对应的漏洞扫描工具。
进一步优选地,所述获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描,包括:
获取待扫描目标的web网站列表或是指定的web地址范围,根据扫描目标的web网站列表或是指定的web地址范围得到目标web网站列表;
根据所述漏洞扫描工具对所述目标web网站列表进行漏洞扫描。
进一步优选地,所述根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议,包括:
获取漏洞扫描结果中的web漏洞的漏洞类型及对应的安全风险;
根据所述web漏洞的漏洞类型及对应的安全风险与预设的漏洞策略库的漏洞处理策略进行匹配;
若匹配到对应的漏洞处理策略,则根据所述这漏洞处理策略生成漏洞处理建议。
优选地,所述基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告,包括:
基于AI技术模拟沙箱服务,所述沙箱用于部署web服务及带漏洞的组件;基于所述漏洞处理建议对沙箱中的web服务进行修复;
对修复后的web服务进行漏洞扫描;
根据漏洞扫描结果,形成待人工核验的漏洞报告。
进一步地,所述根据扫描结果,形成待人工核验的漏洞报告,包括:
获取漏洞扫描结果;
若漏洞扫描结果为未扫描出对应的漏洞,则验证所述漏洞处理建议为有效修复方案,根据验证结果形成待人工核验的漏洞报告;
若漏洞扫描结果为扫描出对应的漏洞,则验证所述漏洞处理建议为无效修复方案,根据验证结果形成待人工核验的漏洞报告。
进一步地,所述根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果,包括:
根据所述目标web网站列表的不同站点分别生成一一对应的漏洞扫描结果,所述漏洞扫描结果包括漏洞扫描概要信息、漏洞列表、漏洞详情数据、漏洞扫描数据、漏洞风险分析信息、漏洞修复建议。
本发明的另一实施例提供了一种基于web网站的漏洞处理装置,装置包括:
漏洞扫描模块,用于获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描;
漏洞扫描结果生成模块,用于根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果;
漏洞匹配模块,用于根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;
漏洞报告生成模块,用于基于所述漏洞处理建议与所述漏洞扫描结果生成待审批的漏洞报告;
AI处理模块,用于基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;
漏洞检测报告合成模块,用于获取所述待人工核验的漏洞报告的人工核验结果,根据所述人工核验结果生成目标漏洞检测报告。
本发明的另一实施例提供了一种基于web网站的漏洞处理设备,所述设备包括至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的基于web网站的漏洞处理方法。
本发明的另一实施例还提供了一种非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行上述的基于web网站的漏洞处理方法。
有益效果:本发明实施例可实现对web站点进行批量扫描分析,根据扫描结果提供修复漏洞的建议解决方案;生成详细的漏洞报告为用户修复web漏洞提供了方便。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本发明一种基于web网站的漏洞处理方法较佳实施例的流程图;
图2为本发明一种基于web网站的漏洞处理装置的较佳实施例的功能模块示意图;
图3为本发明一种基于web网站的漏洞处理设备的较佳实施例的硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合附图对本发明实施例进行介绍。
本发明实施例提供了一种基于web网站的漏洞处理方法,请参阅图1,图1为本发明一种基于web网站的漏洞处理方法较佳实施例的流程图。如图1所示,其包括步骤:
步骤S100、获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描;
步骤S200、根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果;
步骤S300、根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;
步骤S400、基于所述漏洞处理建议与所述漏洞扫描结果生成待审批的漏洞报告;
步骤S500、基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;
步骤S600、获取所述待人工核验的漏洞报告的人工核验结果,根据所述人工核验结果生成目标漏洞检测报告。
具体实施时,本发明实施例根据需求和偏好选择适合的漏洞扫描工具;获取待扫描的web网站对应的目标web网站列表,根据漏洞扫描工具对标web网站列表的漏洞进行扫描,根据扫描的漏洞结果生成报告,报告列出发现的漏洞和安全风险;
根据发现的漏洞和安全风险,自动与预设漏洞策略库进行匹配,形成针对不同漏洞和安全风险的建议解决方案;匹配解决方案后自动更新检测报告,生成待审批的漏洞报告;
通过AI技术对漏洞及漏洞的修复方案进行分析和验证,形成待人工核验的报告;人工依据AI核验的结果对报告进行核查并分析,生成人工核验结果,根据人工核验结果生成最终的目标漏洞检测报告。
在人工核查步骤中,技术人员根据AI核验的结果对报告进一步进行核查,首先检查报告的摘要信息,如漏洞数量、严重性级别和建议的修复方案;验证漏洞的存在,技术人员通过尝试在受影响的***上模拟攻击,验证报告中列出的漏洞是否可以成功利用;技术人员进行较低风险的漏洞进行进一步分析,分析潜在的联合利用风险,最后形成最终的检测报告。
进一步地,获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描前,包括:
预先根据漏洞扫描需求选择对应的漏洞扫描工具。
具体实施时,根据需求和偏好选择适合漏洞扫描工具,漏洞扫描工具包括但不限于Nessus、OpenVAS、Nikto等。其中,
Nessus是一款商业化的漏洞扫描工具,提供全面的漏洞识别和评估功能。它具有强大的漏洞库,并支持多种操作***和应用程序的扫描。Nessus提供用户友好的界面和报告生成功能,并且可以进行高级配置和定制;
OpenVAS是一款免费且开源的漏洞扫描框架,是Nessus的一个分支项目(基于Nessus 2.x版本),因此两者在功能上有相似之处。OpenVAS提供了扫描目标主机的能力,并且也有一个漏洞库来检测各种安全漏洞;
Nikto是一款专注于Web应用程序的漏洞扫描工具。它主要用于发现和评估Web服务器上的常见漏洞,如配置错误、敏感文件暴露、备份文件等。Nikto支持多种Web服务器和Web应用程序技术,并提供详细的报告。
进一步地,获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描,包括:
获取待扫描目标的web网站列表或是指定的web地址范围,根据扫描目标的web网站列表或是指定的web地址范围得到目标web网站列表;
根据所述漏洞扫描工具对所述目标web网站列表进行漏洞扫描。
具体实施时,通过提供扫描目标的列表或指定一个地址范围,生成目标web网站列表,将目标web网站列表中的多个目标站点批量提交至扫描工具;
开启扫描工具进行漏洞扫描,工具将自动发送请求并分析网站的漏洞。
进一步地,根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议,包括:
获取漏洞扫描结果中的web漏洞的漏洞类型及对应的安全风险;
根据所述web漏洞的漏洞类型及对应的安全风险与预设的漏洞策略库的漏洞处理策略进行匹配;
若匹配到对应的漏洞处理策略,则根据所述这漏洞处理策略生成漏洞处理建议。
具体实施时,完成扫描后,工具将根据不同站点分别生成报告,列出发现的漏洞和安全风险;根据发现的漏洞和安全风险,***将自动与漏洞策略库进行匹配,形成针对不同漏洞和安全风险的建议解决方案,用户可根据报告中的建议,修复或缓解发现的漏洞。
策略库举例:
1、操作***漏洞:检测操作***补丁的缺失、已知的操作***漏洞,例如心脏出血漏洞(Heartbleed)或永恒之蓝(EternalBlue)漏洞;
2、Web应用程序漏洞:检测常见的Web应用程序漏洞,例如跨站脚本攻击(XSS)、SQL注入、命令注入等;
3、未经授权访问:检测未经授权访问敏感目录、文件或功能的情况,例如默认凭据、弱密码或未配置访问控制的问题;
4、网络服务漏洞:检测网络服务(如FTP、SMTP、DNS等)存在的安全漏洞和配置错误,例如开放的匿名访问、弱加密算法使用等;
5、数据泄露:检测敏感数据在***或网络中的泄露情况,例如未加密存储、未加密传输或访问控制不当;
6、恶意软件:检测恶意软件、病毒、木马等恶意代码的存在,并确定其对***的潜在风险。
漏洞和安全风险对应策略举例如下:
1、SQL注入漏洞策略:
输入验证和过滤:确保用户输入的数据经过正确的验证和过滤,防止恶意SQL代码的注入。
使用预编译语句:使用预编译语句绑定参数,而不是直接拼接SQL查询语句,以避免注入攻击。
2、跨站脚本攻击(XSS)漏洞策略:
输入验证和过滤:确保用户输入的数据经过正确的验证和过滤,防止恶意脚本的注入。
输出编码:在将用户数据输出到网页时,进行适当的编码,避免执行恶意脚本。
3、文件上传漏洞策略:
文件类型验证:限制上传文件的类型,只接受合法的文件类型,并且对文件进行严格的验证和检查。
文件处理权限:确保上传的文件存储在安全的目录中,并设置适当的文件权限,防止恶意文件的执行。
4、XML外部实体(XXE)漏洞策略:
禁用实体解析:禁用解析外部实体,或者限制只解析可信任的实体。
输入验证:对于接收XML数据的应用程序,对输入进行严格的验证和过滤,防止恶意实体的注入。
5、跨站请求伪造(CSRF)攻击策略:
随机令牌:为每个用户请求生成一个唯一的令牌,并在表单中包含该令牌,验证提交的表单是否合法。
Referer检查:检查请求的Referer头部,确保请求来源于合法的网站。
进一步地,基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告,包括:
基于AI技术模拟沙箱服务,所述沙箱用于部署web服务及带漏洞的组件;基于所述漏洞处理建议对沙箱中的web服务进行修复;
对修复后的web服务进行漏洞扫描;
根据漏洞扫描结果,形成待人工核验的漏洞报告。
具体实施时,AI主要处理一些常见的服务或组件的漏洞分析和验证,具体实现方式如下:
AI模拟一个沙箱服务,通过在沙箱中部署相关服务及带漏洞的组件;根据漏洞修复方案对沙箱中的服务或组件进行升级或修复;升级或修复完成后再对沙箱中的模拟服务或组件进行漏洞扫描;根据扫描结果得到待人工核验的漏洞报告。
通过使用AI技术对漏洞及漏洞的修复方案进行分析和验证,形成待人工核验的报告,从而减少人工核验的工作量。
进一步地,根据扫描结果,形成待人工核验的漏洞报告,包括:
获取漏洞扫描结果;
若漏洞扫描结果为未扫描出对应的漏洞,则验证所述漏洞处理建议为有效修复方案,根据验证结果形成待人工核验的漏洞报告;
若漏洞扫描结果为扫描出对应的漏洞,则验证所述漏洞处理建议为无效修复方案,根据验证结果形成待人工核验的漏洞报告。
具体实施时,若漏洞扫描结果为扫描完成未扫描出对应漏洞,表明为有效修复方案;验证完成后生成已验证方案和待人工验证方案清单;
若漏洞扫描结果为扫描完成扫描出对应漏洞,表明为无效修复方案,验证完成后生成已验证方案和待人工验证方案清单。
进一步地,根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果,包括:
根据所述目标web网站列表的不同站点分别生成一一对应的漏洞扫描结果,所述漏洞扫描结果包括漏洞扫描概要信息、漏洞列表、漏洞详情数据、漏洞扫描数据、漏洞风险分析信息、漏洞修复建议。
具体实施时,根据所述目标web网站列表的不同站点分别生成一一对应的漏洞扫描结果,漏洞扫描结果包括理不限于漏洞扫描概要信息、漏洞列表、漏洞详情数据、漏洞扫描数据、漏洞风险分析信息、漏洞修复建议。
漏洞扫描概要信息:提供扫描的总体概括,包括扫描目标、扫描时间和扫描器版本等信息;
漏洞列表:列出所有在扫描期间发现的漏洞和安全问题。每个漏洞通常包括漏洞名称、严重程度、CVE编号(如果适用)、详细描述以及推荐的修复措施;
漏洞详情数据:对每个漏洞提供更详细的信息,包括影响范围、攻击向量、验证方法和可利用性说明等;
漏洞扫描数据:提供关于扫描过程和结果的技术数据,如IP地址、端口状态、协议信息、服务版本等;
漏洞风险分析信息:根据扫描结果和漏洞严重性进行整体分析,指出最高风险的漏洞和建议优先解决的问题;
漏洞修复建议:针对每个漏洞提供具体的修复建议,包括补丁程序、配置修改、安全设置以及加固措施等。
由以上方法实施例可知,本发明实施例能够呈现各单位、企业漏洞分布情况和漏洞统计数据,让用户快速了解各维度漏洞情况;通过批量扫描站点,实现自动获得漏洞扫描报告;安全专家在线快速核验,保障用户接收报告的准确性。
需要说明的是,上述各步骤之间并不必然存在一定的先后顺序,本领域普通技术人员,根据本发明实施例的描述可以理解,不同实施例中,上述各步骤可以有不同的执行顺序,亦即,可以并行执行,亦可以交换执行等等。
本发明另一实施例提供一种基于web网站的漏洞处理装置,如图2所示,装置1包括:
漏洞扫描模块11,用于获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描;
漏洞扫描结果生成模块12,用于根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果;
漏洞匹配模块13,用于根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;
漏洞报告生成模块14,用于基于所述漏洞处理建议与所述漏洞扫描结果生成待审批的漏洞报告;
AI处理模块15,用于基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;
漏洞检测报告合成模块16,用于获取所述待人工核验的漏洞报告的人工核验结果,根据所述人工核验结果生成目标漏洞检测报告。
具体实施方式见方法实施例,此处不再赘述。
进一步地,装置还包括扫描工具选择模块,扫描工具选择模块用于:
预先根据漏洞扫描需求选择对应的漏洞扫描工具。
具体实施方式见方法实施例,此处不再赘述。
进一步地,漏洞扫描模块11具体用于:
获取待扫描目标的web网站列表或是指定的web地址范围,根据扫描目标的web网站列表或是指定的web地址范围得到目标web网站列表;
根据所述漏洞扫描工具对所述目标web网站列表进行漏洞扫描。
具体实施方式见方法实施例,此处不再赘述。
进一步地,漏洞匹配模块13具体用于:
获取漏洞扫描结果中的web漏洞的漏洞类型及对应的安全风险;
根据所述web漏洞的漏洞类型及对应的安全风险与预设的漏洞策略库的漏洞处理策略进行匹配;
若匹配到对应的漏洞处理策略,则根据所述这漏洞处理策略生成漏洞处理建议。
具体实施方式见方法实施例,此处不再赘述。
进一步地,AI处理模块15具体用于:
基于AI技术模拟沙箱服务,所述沙箱用于部署web服务及带漏洞的组件;基于所述漏洞处理建议对沙箱中的web服务进行修复;
对修复后的web服务进行漏洞扫描;
根据漏洞扫描结果,形成待人工核验的漏洞报告。
具体实施方式见方法实施例,此处不再赘述。
进一步地,AI处理模块15还用于:
获取漏洞扫描结果;
若漏洞扫描结果为未扫描出对应的漏洞,则验证所述漏洞处理建议为有效修复方案,根据验证结果形成待人工核验的漏洞报告;
若漏洞扫描结果为扫描出对应的漏洞,则验证所述漏洞处理建议为无效修复方案,根据验证结果形成待人工核验的漏洞报告。
具体实施方式见方法实施例,此处不再赘述。
进一步地,漏洞扫描结果生成模块12具体用于:
根据所述目标web网站列表的不同站点分别生成一一对应的漏洞扫描结果,所述漏洞扫描结果包括漏洞扫描概要信息、漏洞列表、漏洞详情数据、漏洞扫描数据、漏洞风险分析信息、漏洞修复建议。
具体实施方式见方法实施例,此处不再赘述。
本发明另一实施例提供一种基于web网站的漏洞处理设备,如图3所示,设备10包括:
一个或多个处理器110以及存储器120,图3中以一个处理器110为例进行介绍,处理器110和存储器120可以通过总线或者其他方式连接,图3中以通过总线连接为例。
处理器110用于完成,设备10的各种控制逻辑,其可以为通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、单片机、ARM(Acorn RISCMachine)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。还有,处理器110还可以是任何传统处理器、微处理器或状态机。处理器110也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP核、或任何其它这种配置。
存储器120作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本发明实施例中的基于web网站的漏洞处理方法对应的程序指令。处理器110通过运行存储在存储器120中的非易失性软件程序、指令以及单元,从而执行设备10的各种功能应用以及数据处理,即实现上述方法实施例中的基于web网站的漏洞处理方法。
存储器120可以包括存储程序区和存储数据区,其中,存储程序区可存储操作装置、至少一个功能所需要的应用程序;存储数据区可存储根据设备10使用所创建的数据等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器120可选包括相对于处理器110远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个单元存储在存储器120中,当被一个或者多个处理器110执行时,执行上述任意方法实施例中的基于web网站的漏洞处理方法,例如,执行以上描述的图1中的方法步骤S100至步骤S600。
本发明实施例提供了一种非易失性计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如,执行以上描述的图1中的方法步骤S100至步骤S600。
作为示例,非易失性存储介质能够包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦ROM(EEPROM)或闪速存储器。易失性存储器能够包括作为外部高速缓存存储器的随机存取存储器(RAM)。通过说明并非限制,RAM可以以诸如同步RAM(SRAM)、动态RAM、(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、Synchl ink DRAM(SLDRAM)以及直接Rambus(兰巴斯)RAM(DRRAM)之类的许多形式得到。本文中所描述的操作环境的所公开的存储器组件或存储器旨在包括这些和/或任何其他适合类型的存储器中的一个或多个。
本发明的另一种实施例提供了一种计算机程序产品,计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被处理器执行时,使处理器执行上述方法实施例的基于web网站的漏洞处理方法。例如,执行以上描述的图1中的方法步骤S100至步骤S600。
以上所描述的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施例的描述,本领域的技术人员可以清楚地了解到各实施例可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件实现。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存在于计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)执行各个实施例或者实施例的某些部分的方法。
除了其他之外,诸如"能够'、"能"、"可能"或"可以"之类的条件语言除非另外具体地陈述或者在如所使用的上下文内以其他方式理解,否则一般地旨在传达特定实施方式能包括(然而其他实施方式不包括)特定特征、元件和/或操作。因此,这样的条件语言一般地还旨在暗示特征、元件和/或操作对于一个或多个实施方式无论如何都是需要的或者一个或多个实施方式必须包括用于在有或没有输入或提示的情况下判定这些特征、元件和/或操作是否被包括或者将在任何特定实施方式中被执行的逻辑。
已经在本文中在本说明书和附图中描述的内容包括能够提供基于web网站的漏洞处理方法及装置的示例。当然,不能够出于描述本公开的各种特征的目的来描述元件和/或方法的每个可以想象的组合,但是可以认识到,所公开的特征的许多另外的组合和置换是可能的。因此,显而易见的是,在不脱离本公开的范围或精神的情况下能够对本公开做出各种修改。此外,或在替代方案中,本公开的其他实施例从对本说明书和附图的考虑以及如本文中所呈现的本公开的实践中可能是显而易见的。意图是,本说明书和附图中所提出的示例在所有方面被认为是说明性的而非限制性的。尽管在本文中采用了特定术语,但是它们在通用和描述性意义上被使用并且不用于限制的目的。

Claims (10)

1.一种基于web网站的漏洞处理方法,其特征在于,所述方法包括:
获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描;
根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果;
根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;
基于所述漏洞处理建议与所述漏洞扫描结果生成待审批的漏洞报告;
基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;
获取所述待人工核验的漏洞报告的人工核验结果,根据所述人工核验结果生成目标漏洞检测报告。
2.根据权利要求1所述的基于web网站的漏洞处理方法,其特征在于,所述获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描前,包括:
预先根据漏洞扫描需求选择对应的漏洞扫描工具。
3.根据权利要求2所述的基于web网站的漏洞处理方法,其特征在于,所述获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描,包括:
获取待扫描目标的web网站列表或是指定的web地址范围,根据扫描目标的web网站列表或是指定的web地址范围得到目标web网站列表;
根据所述漏洞扫描工具对所述目标web网站列表进行漏洞扫描。
4.根据权利要求3所述的基于web网站的漏洞处理方法,其特征在于,所述根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议,包括:
获取漏洞扫描结果中的web漏洞的漏洞类型及对应的安全风险;
根据所述web漏洞的漏洞类型及对应的安全风险与预设的漏洞策略库的漏洞处理策略进行匹配;
若匹配到对应的漏洞处理策略,则根据所述这漏洞处理策略生成漏洞处理建议。
5.根据权利要求4所述的基于web网站的漏洞处理方法,其特征在于,所述基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告,包括:
基于AI技术模拟沙箱服务,所述沙箱用于部署web服务及带漏洞的组件;基于所述漏洞处理建议对沙箱中的web服务进行修复;
对修复后的web服务进行漏洞扫描;
根据漏洞扫描结果,形成待人工核验的漏洞报告。
6.根据权利要求5所述的基于web网站的漏洞处理方法,其特征在于,所述根据扫描结果,形成待人工核验的漏洞报告,包括:
获取漏洞扫描结果;
若漏洞扫描结果为未扫描出对应的漏洞,则验证所述漏洞处理建议为有效修复方案,根据验证结果形成待人工核验的漏洞报告;
若漏洞扫描结果为扫描出对应的漏洞,则验证所述漏洞处理建议为无效修复方案,根据验证结果形成待人工核验的漏洞报告。
7.根据权利要求6所述的基于web网站的漏洞处理方法,其特征在于,所述根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果,包括:
根据所述目标web网站列表的不同站点分别生成一一对应的漏洞扫描结果,所述漏洞扫描结果包括漏洞扫描概要信息、漏洞列表、漏洞详情数据、漏洞扫描数据、漏洞风险分析信息、漏洞修复建议。
8.一种基于web网站的漏洞处理装置,其特征在于,所述装置包括:
漏洞扫描模块,用于获取待扫描的目标web网站列表,对所述目标web网站列表进行漏洞扫描;
漏洞扫描结果生成模块,用于根据所述目标web网站列表的不同站点分别生成对应的漏洞扫描结果;
漏洞匹配模块,用于根据漏洞扫描结果与预设的漏洞策略库的漏洞处理策略进行匹配,生成漏洞处理建议;
漏洞报告生成模块,用于基于所述漏洞处理建议与所述漏洞扫描结果生成待审批的漏洞报告;
AI处理模块,用于基于AI技术对所述待审批的漏洞报告进行分析和验证,形成待人工核验的漏洞报告;
漏洞检测报告合成模块,用于获取所述待人工核验的漏洞报告的人工核验结果,根据所述人工核验结果生成目标漏洞检测报告。
9.一种基于web网站的漏洞处理设备,其特征在于,所述设备包括至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7任一项所述的基于web网站的漏洞处理方法。
10.一种非易失性计算机可读存储介质,其特征在于,所述非易失性计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行权利要求1-7任一项所述的基于web网站的漏洞处理方法。
CN202311230313.1A 2023-09-21 2023-09-21 一种基于web网站的漏洞处理方法、装置及设备 Pending CN117251856A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311230313.1A CN117251856A (zh) 2023-09-21 2023-09-21 一种基于web网站的漏洞处理方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311230313.1A CN117251856A (zh) 2023-09-21 2023-09-21 一种基于web网站的漏洞处理方法、装置及设备

Publications (1)

Publication Number Publication Date
CN117251856A true CN117251856A (zh) 2023-12-19

Family

ID=89130898

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311230313.1A Pending CN117251856A (zh) 2023-09-21 2023-09-21 一种基于web网站的漏洞处理方法、装置及设备

Country Status (1)

Country Link
CN (1) CN117251856A (zh)

Similar Documents

Publication Publication Date Title
US11170097B1 (en) Secure authentication server for smart contract
Ma et al. Cdrep: Automatic repair of cryptographic misuses in android applications
de Carnavalet et al. Killed by proxy: Analyzing client-end TLS interception software
Khera et al. Analysis and impact of vulnerability assessment and penetration testing
US10523701B2 (en) Automated configuration of application firewalls
Shah et al. An overview of vulnerability assessment and penetration testing techniques
US8800042B2 (en) Secure web application development and execution environment
Yang et al. Model-based security testing: An empirical study on oauth 2.0 implementations
US8850211B2 (en) Method and apparatus for improving code and data signing
US20150121532A1 (en) Systems and methods for defending against cyber attacks at the software level
CN113646761A (zh) 向应用提供应用安全、验证和特征分析
CN107004092B (zh) 针对网络和脆弱性扫描仪的控制设备和方法
Zhang et al. Automatic detection of Java cryptographic API misuses: Are we there yet?
CN114065176A (zh) 安全运算装置、安全运算方法、验证器及装置验证方法
Mahmood et al. Systematic threat assessment and security testing of automotive over-the-air (OTA) updates
KR101436404B1 (ko) 사용자 인증 장치 및 방법
CN117251856A (zh) 一种基于web网站的漏洞处理方法、装置及设备
KR102143511B1 (ko) 스마트 거래의 보안 안정성 관리 서버
CN114978544A (zh) 一种访问认证方法、装置、***、电子设备及介质
Bautista et al. Guide of principles and good practices for software security testing in web applications for a private sector company
Yoshida et al. Understanding the origins of weak cryptographic algorithms used for signing android apps
CN117951036B (zh) 用户识别卡安全检测方法、设备及计算机可读存储介质
de Carné de Carnavalet Last-Mile TLS Interception: Analysis and Observation of the Non-Public HTTPS Ecosystem
CN117648100B (zh) 应用部署方法、装置、设备和存储介质
Green An Evaluation of Two Host-Based Vulnerability Scanning Tools

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination