[发明专利]WEB应用评估方法

权利要求书

1.一种WEB应用评估方法，其特征在于，包括以下步骤：

扫描WEB应用系统，以获取所述WEB应用系统的弱点；

通过所述弱点对所述WEB应用系统的后台数据库进行 安全基线审计；

综合所述扫描和所述审计的结果来对所述WEB应用系 统进行渗透式测试，以评估WEB应用系统的安全现状，其中， 扫描WEB应用系统具体包括：

对所述WEB应用的网页进行语法分析；

根据所述语法分析，爬行到所述网页里面的当前域名 下的链接；

对所述链接的网页检测安全弱点，

其中，检测安全弱点具体包括：

从策略库中提取策略；

根据提取的策略进行安全弱点的检测。

2.根据权利要求1所述的WEB应用评估方法，其特征在于，扫 描WEB应用系统还包括：

将所述网页基于SSL传输的内容转换为明文；

对所述明文检测安全弱点。

3.根据权利要求1所述的WEB应用评估方法，其特征在于，扫 描WEB应用系统还包括以下至少之一：

作为HTTP代理服务器，在提供所述WEB应用的网页的 同时，检测所述网页的安全弱点；

在C/S结构的HTTP或者HTTPS协议的应用系统中启动 监听功能，针对监听到的所有HTTP或者HTTPS请求，检测 安全弱点。

4.根据权利要求1所述的WEB应用评估方法，其特征在于，还 包括以下至少之一：

提供用户编辑接口，通过所述用户编辑接口接收用户的 操作，以对所述策略库增加、删除、编辑策略、或者修改报告 模板；

提供被动模式接口，以接收用户的点击，以此激活对所 点击链接的页面进行弱点检测；

提供升级接口，以接收服务器的升级包，并使用所述升 级包对所述策略库增加、删除、或者编辑策略。

5.根据权利要求1所述的WEB应用评估方法，其特征在于，还 包括：

根据数字或者字符的走向趋势通过采样或者回溯算法， 以对图形验证码进行识别。

6.根据权利要求1所述的WEB应用评估方法，其特征在于，通 过所述弱点对所述WEB应用系统的后台数据库进行安全基线 审计具体包括：

当发现了存在所述弱点的代码之后，根据不同数据库的 特点尝试通过所述弱点对所述后台数据库进行数据获取，以用 事实证明漏洞的存在。

7.根据权利要求6所述的WEB应用评估方法，其特征在于，所 述后台数据库包括以下至少之一：

oracle、DB2、Sybase、INFORMIX、MicrosoftSQLServer、 Access、MySQL、PostgreSQL、Firebird、Ingress和InterDB。

8.根据权利要求6所述的WEB应用评估方法，其特征在于，所 述数据获取包括以下至少之一：

获取数据库用户帐号；

获取数据库用户密码；

获取数据库权限结构；

获取数据版本详细信息；

获取数据库存储过程；

获取数据库安全相关的配置选项；

获取数据库用户密码HASH，并尝试是否使用弱口令或 者默认密码。