[发明专利]漏洞扫描方法、电子装置和存储介质有效
申请号: | 202110647963.0 | 申请日: | 2021-06-10 |
公开(公告)号: | CN113422759B | 公开(公告)日: | 2023-04-18 |
发明(设计)人: | 王亚国;范渊;杨勃 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40 |
代理公司: | 杭州华进联浙知识产权代理有限公司 33250 | 代理人: | 金无量 |
地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 漏洞 扫描 方法 电子 装置 存储 介质 | ||
1.一种漏洞扫描方法,其特征在于,包括:
获取待扫描的资产信息,其中,所述资产信息包括携带目标漏洞的访问目标的地址信息;
获取漏洞扫描配置文件,其中,所述漏洞扫描配置文件包括至少一项用于检测所述目标漏洞的扫描策略信息;
在预设扫描引擎中,基于所述漏洞扫描配置文件对所述待扫描的资产信息进行扫描,得到第一扫描结果,其中,所述第一扫描结果包括所述目标漏洞的漏洞信息;
在所述第一扫描结果中检测所述漏洞信息,并根据所述漏洞信息判断所述目标漏洞是否存在,确定漏洞扫描结果;
其中,所述扫描策略信息包括:所述预设扫描引擎在扫描漏洞过程中将HTTP请求报文发送给所述访问目标的逻辑,从所述访问目标接收响应于所述HTTP请求报文的HTTP响应报文的逻辑;
其中,在获取所述漏洞扫描配置文件之后,所述方法还包括:添加所述漏洞扫描配置文件和所述待扫描的资产信息添加到所述预设扫描引擎中;
从所述访问目标接收响应于所述HTTP请求报文的HTTP响应报文的逻辑包括:根据所述扫描策略信息从所述HTTP响应报文中检测是否存在目标漏洞;解析所述HTTP响应报文,得到HTTP响应内容;从所述HTTP响应内容中提取目标脚本,并在执行所述目标脚本后得到页面,其中,所述页面包括所述目标漏洞触发时对应的页面弹窗;在所述页面中截取所述页面弹窗,得到页面截图;根据所述页面截图确定所述目标漏洞对应的位置信息,并将所述页面截图和所述位置信息作为所述目标漏洞对应的所述漏洞信息。
2.根据权利要求1所述的漏洞扫描方法,其特征在于,在获取漏洞扫描配置文件之前,所述方法还包括:
获取对应于所述目标漏洞的扫描策略信息,以至少一项所述扫描策略信息为单位配置得到所述漏洞扫描配置文件。
3.根据权利要求1所述的漏洞扫描方法,其特征在于,所述漏洞扫描配置文件还携带有资产类型信息;在预设扫描引擎中,基于所述漏洞扫描配置文件对所述待扫描的资产信息进行扫描,得到第一扫描结果包括:
获取所述资产类型信息,并在所述待扫描的资产信息中检测与所述资产类型信息对应的第一资产信息,其中,所述资产类型信息包括以下其中一种:WEB资产类型信息、主机资产类型信息;
根据所述第一资产信息和所述扫描策略信息生成所述HTTP请求报文;
将所述HTTP请求报文发送至所述地址信息对应的所述访问目标,根据获取的响应于所述HTTP请求报文的所述HTTP响应报文,确定所述第一扫描结果。
4.根据权利要求3所述的漏洞扫描方法,其特征在于,根据获取的响应于所述HTTP请求报文的HTTP响应报文确定所述第一扫描结果包括:
根据所述扫描策略信息从所述HTTP响应报文中检测是否存在目标漏洞;
在检测到所述目标漏洞的情况下,获取所述目标漏洞对应的漏洞信息,并根据所述漏洞信息和所述资产信息生成所述第一扫描结果,其中,所述资产信息至少包括所述地址信息;
在检测不到所述目标漏洞的情况下,确定所述第一扫描结果包括所述待扫描的资产信息无漏洞。
5.根据权利要求1所述的漏洞扫描方法,其特征在于,在所述第一扫描结果中检测所述漏洞信息,并根据所述漏洞信息判断所述目标漏洞是否存在,确定漏洞扫描结果包括:
获取所述漏洞信息,并在所述漏洞信息中检测所述页面截图;
在检测到所述页面截图的情况下,确定所述漏洞扫描结果包括所述待扫描资产信息存在漏洞;
在未检测到所述页面截图的情况下,确实所述漏洞扫描结果包括漏洞误检。
6.根据权利要求5所述的漏洞扫描方法,其特征在于,在确定所述漏洞扫描结果包括所述待扫描资产信息存在漏洞之后,所述方法还包括:
获取对应于所述目标漏洞的预设知识库,发送所述预设知识库至所述资产信息所对应的所述访问目标,其中,所述预设知识库携带有所述目标漏洞的漏洞信息、所述目标漏洞将造成的影响、所述目标漏洞的第一次检出时间。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110647963.0/1.html,转载请声明来源钻瓜专利网。