[发明专利]用于服务器安全验证的方法和系统

说明书

技术领域

本公开涉及网络(Web)安全认证，更具体地，涉及服务器端应用的认证。

背景技术

Web应用(Web applications)，尤其是商业应用，是安全攻击的目标。如果Web应用程序是脆弱的，那么，根据漏洞的本质，攻击者能够，例如注入滥用Web应用的其他用户和/或窃取他们的数据(例如，使用跨站点脚本或跨应用请求伪造有效载荷)或开发Web应用程序的服务器端(例如，使用伪造日志或执行命令的有效载荷)的脚本。Web应用程序的消费者或Web服务有时能够手动或使用自动扫描工具检查它的客户端应用，但消费者通常不会访问Web应用程序的服务器端。

这使得Web应用或服务的用户没有任何方法来保护自己远离服务器端漏洞。即使用户在客户端使用的扫描工具没有找到漏洞，服务器端还可以以一种不安全的方式处理输入数据，例如，在某些或所有情况下没有正确应用适当的扫描/验证。尤其是当服务器端在执行其安全措施方面基本正确的情况下，尽管如此，仍有一些微妙的或很难找到漏洞。

已开发的解决方案提高了网站中用户的信心。第三方扫描器在网站的客户端嵌入“信任标记”，指出服务器应用已经被扫描并被发现是安全的。固有的问题仍然存在，但是，外部扫描器暴露服务器端的漏洞的能力是有限的。这种漏洞的一个典型的例子是持久的跨站点脚本，其中有效载荷没有被立即反映但潜藏在后台数据库，以便未来的用户请求检索它。

发明内容

示出了一种服务器安全验证的方法，包括：对一个或者多个漏洞的每一个，获取与接收的包括关于漏洞存在指示的报告相关联的公钥，所述报告在服务器中产生；使用所述公钥解密接收的所述报告；使用处理器基于所述解密的报告确定服务器端安全的级别；以及响应于服务器端安全的级别的确定，在客户机重配浏览器。

进一步示出了一种服务器安全验证的方法，包括对一个或者多个漏洞的每一个，在客户机获取与接收的包括关于漏洞存在指示的报告相关联的公钥，所述报告在服务器中产生；使用所述公钥解密接收的所述报告；使用处理器基于解密的所述报告确定服务器端安全的级别；使用位于所述客户机的扫描模块扫描服务器寻找漏洞，所述扫描模块被配置为为基于所述确定的服务器端安全性的级别，增强或者减弱对特定漏洞的扫描，以及响应于服务器端安全性的级别的确定，在客户机重配浏览器。

进一步示出了一种服务器安全验证的方法，包括：使用位于所述服务器的扫描模块扫描服务器，寻找一个或者多个漏洞；基于所述扫描结果产生加密的服务器端安全性的报告，该报告中包含关于所述一个或者多个漏洞的每一个漏洞存在的指示，所述加密是使用私钥执行的；在请求的客户机使用公钥解密所述加密报告的副本；使用处理器基于所述解密的报告确定服务器端安全的级别；以及使用位于所述客户机的扫描模块扫描服务器寻找漏洞。

进一步示出了一种服务器安全验证的方法，包括：使用位于服务器的扫描模块扫描服务器，寻找一个或者多个漏洞；基于所述扫描结果产生服务器端安全性的加密的报告，该报告中包含关于所述一个或者多个漏洞的每一个漏洞存在的指示，所述加密是使用私钥执行的；将所述加密的报告传输给请求客户机；在请求的客户机使用公钥解密该加密的报告；使用处理器基于所述解密的报告确定服务器端安全的级别；基于所述确定的服务器端安全的级别配置位于客户机的扫描模块，增强或者减弱对特定漏洞的扫描，以及使用位于客户机的扫描模块扫描服务器寻找漏洞。

示出了一种客户机安全模块，包括：报告验证模块，被配置为获取与接收到的报告相关联的公钥，所述接收到的报告在服务器端产生，使用该公钥解密所述接收到的报告，基于所述解密的报告确定服务器端安全的级别；以及处理器，被配置为响应于所述确定服务器端安全的级别，重新配置浏览器。

进一步示出了一种客户机安全模块，包括：报告验证模块，被配置为获取与接收到的报告相关联的公钥，所述接收到的报告在服务器中产生，并指出在服务器存在一个或者多个漏洞，使用公钥解密接收到的报告，基于所述解密的报告确定服务器端安全的级别；扫描模块，被配置为基于所述接收到的报告扫描服务器来寻找漏洞，其中所述扫描模块基于所述确定的服务器端安全的级别，增强或者减弱对特定漏洞的扫描，以及处理器被配置为响应于所述确定的服务器端安全性的级别以及所述扫描模块的输出，重新配置浏览器。