[发明专利]非授权数据库漏洞扫描方法、系统、存储介质及设备

说明书

本发明提供一种非授权数据库漏洞扫描方法、系统、存储介质及设备，所述方法包括：扫描获取一数据库对外开放的开放端口号；以开放端口号扫描预设的端口与类型映射表，以从端口与类型映射表中获取数据库的数据库类型；根据开放端口号和数据库类型向数据库建立通信连接，并从数据库基于通信连接返回的信息中提取数据库的版本号；以版本号扫描预设的漏洞信息库，以从漏洞信息库中获取数据库的漏洞信息。本发明实现自动提取数据库的信息，可以不需要人工参与就能自动完成漏洞扫描，大大提升效率和体感，并且通过获取版本号后，把版本号和数据库策略支持的版本号做对比，如果策略不支持该版本，不需要继续运行策略，避免引起系统异常。

技术领域

本发明涉及数据库漏洞扫描技术领域，特别涉及一种非授权数据库漏洞扫描方法、系统、存储介质及设备。

背景技术

信息安全问题受到越来越多的重视。随着黑客攻击技术的发展，信息系统的网络安全问题不断出现，攻击者的手段也日益先进，信息安全防御技术也需要不断更新。常见的黑客攻击有通过扫描服务器数据库的各种漏洞，利用漏洞攻破服务器入侵系统，进行非权限操作和访问，进而控制和操作系统，极易造成巨大损失。

为此，如何自动扫描出数据库的各种漏洞，以及时让用户及时修补，成为了防止黑客通过漏洞攻击的关键所在。常见的非授权数据库漏洞扫描方法有用户授权扫描方式和非授权扫描方式。用户授权扫描是指用户登录数据库后进行数据库系统漏洞扫描。对比常见的授权扫描，非授权扫描是在用户未登录数据库时使用的非授权数据库漏洞扫描技术。由于授权扫描需要用户输入账号和密码，存在泄露风险，因此非授权扫描方式更为常见。

现有技术当中，目前非授权数据库漏洞扫描过程，需要人为输入数据库的信息(如类型、版本号等)，效率低且体验感差，并且当策略库不支持当前数据库的版本时还会继续运行扫描，引起系统异常。

发明内容

基于此，本发明的目的是提供一种非授权数据库漏洞扫描方法、系统、存储介质及设备，旨在解决现有非授权数据库漏洞扫描方式需要人为输入数据库信息的技术问题。

根据本发明实施例的一种非授权数据库漏洞扫描方法，所述方法包括：

扫描获取一数据库对外开放的开放端口号；

以所述开放端口号扫描预设的端口与类型映射表，以从所述端口与类型映射表中获取所述数据库的数据库类型；

根据所述开放端口号和所述数据库类型向所述数据库建立通信连接，并从所述数据库基于所述通信连接返回的信息中提取所述数据库的版本号；

以所述版本号扫描预设的漏洞信息库，以从所述漏洞信息库中获取所述数据库的漏洞信息。

另外，根据本发明上述实施例的一种非授权数据库漏洞扫描方法，还可以具有如下附加的技术特征：

优选地，根据所述开放端口号和所述数据库类型向所述数据库建立通信连接，并从所述数据库基于所述通信连接返回的信息中提取所述数据库的版本号的步骤包括：

根据所述开放端口号和所述数据库类型向所述数据库建立SOCKET连接；

接收所述数据库基于所述SOCKET连接返回的连接返回信息；

解析所述连接返回信息，以从所述连接返回信息中提取出所述数据库的版本号。

优选地，所述漏洞信息库包含多个预设的版本与漏洞映射表，以所述版本号扫描预设的漏洞信息库，以从所述漏洞信息库中获取所述数据库的漏洞信息的步骤包括：

根据所述版本号扫描所述漏洞信息库，以确定所述版本号对应的所述版本与漏洞映射表；

从确定的所述版本与漏洞映射表当中获取所述版本号对应的漏洞信息，以得到所述数据库的漏洞信息。