一种网站安全扫描方法及装置制造方法
【专利摘要】本发明提供了一种网站安全扫描方法,包括:API服务器向用户发布网站安全扫描服务接口;收到用户调用网站安全扫描服务接口的请求时,所述API服务器根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务;本发明还提供一种网站安全扫描装置。根据本发明提供的技术方案,能够提高网站安全扫描的效率,节约本地的设备资源。
【专利说明】一种网站安全扫描方法及装置
【【技术领域】】
[0001]本发明涉及互联网领域的安全测试技术,尤其涉及一种网站安全扫描方法及装置。
【【背景技术】】
[0002]目前,对网站进行安全扫描主要包括以下两种方法:第一种方法是通过专门的安全测试人员,对网站进行安全扫描实现的。安全扫描过程中,安全测试人员需要利用抓包工具通过手工点击录制的方式得到网站的链接列表,然后针对链接列表中的每个链接构造扫描事件,最终实现网站的安全扫描;第二种方法是安全测试人员利用一些安全扫描工具对网站进行安全扫描。
[0003]对于第一种方法,由于对网站进行安全扫描依赖于安全测试人员的手工操作,需要等待安全测试人员排期进行扫描,且需要进行大量的手工操作,因此网站安全扫描效率很低。对于第二种方法,由于安全测试人员利用安全扫描工具对网站进行安全扫描时,需要在本地安装安全扫描所需要的所有程序,因此将占用较多的设备资源。
【
【发明内容】
】
[0004]本发明提供了一种网站安全扫描方法及装置,能够提高网站安全扫描的效率,节约本地的设备资源。
[0005]本发明的具体技术方案如下:
[0006]本发明提供一种网站安全扫描方法,应用程序编程接口 API服务器向用户发布网站安全扫描服务接口 ;还包括:`
[0007]收到用户调用网站安全扫描服务接口的请求时,所述API服务器根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务。
[0008]上述方法中,该方法还包括:收到用户的令牌请求时,API服务器向用户提供令牌,并将令牌存储在所述后台资源的后台数据库中;
[0009]所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌;
[0010]在所述API服务器根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务之前还包括:所述后台数据库查询所述用户的令牌是否有效,如果是,继续执行所述根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务的步骤。
[0011]上述方法中,所述API服务器向用户发布网站安全扫描服务接口为:
[0012]设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规贝U,所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系;API服务器将所述网页地址组成的URL集合提供给用户。
[0013]上述方法中,所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接□。[0014]上述方法中,当API服务器收到用户调用申请令牌接口的请求时,调用后台资源中的后台数据库并判断所述用户是否已经申请令牌,并在所述用户还没有申请令牌时,向所述用户邮箱发送令牌激活邮件;
[0015]API服务器收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时,激活令牌并将激活的令牌发送给所述用户。
[0016]上述方法中,当所述API服务器收到用户调用启动扫描接口的请求时,如果正在运行的扫描任务中没有所述被测系统的扫描任务时,触发后台资源中的后台服务器启动对被测系统进行的扫描任务。
[0017]上述方法中,当所述API服务器收到用户调用获取扫描进度信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息,并将所述进度信息返回给用户。
[0018]上述方法中,当所述API服务器收到用户调用获取实时信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息,并将所述漏洞信息返回给用户。
[0019]上述方法中,当所述API服务器收到用户调用停止扫描接口的请求时,调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。
[0020]上述方法中,当所述API服务器收到用户调用获取扫描结果接口的请求时,调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果,将所述扫描结果返回给用户。
[0021]本发明还提供一种网站安全扫描装置,位于API服务器中,包括:接口发布单元、请求处理单元;其中,
[0022]接口发布单元,用于向用户发布网站安全扫描服务接口 ;
[0023]请求处理单元,用于收到用户调用网站安全扫描服务接口的请求时,根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务。
[0024]上述装置中,所述请求处理单元,还用于收到用户的令牌请求时,向用户提供令牌,并将令牌存储在所述后台资源的后台数据库中;
[0025]所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌;
[0026]所述后台数据库查询所述用户的令牌是否有效,如果是,请求处理单元还用于继续执行所述根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务的步骤。
[0027]上述装置中,所述接口发布单元具体用于,设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则,所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系;API服务器将所述网页地址组成的URL集合提供给用户。
[0028]上述装置中,所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接□。
[0029]上述装置中,所述请求处理单元具体用于,当收到用户调用申请令牌接口的请求时,调用后台资源中的后台数据库并判断所述用户是否已经申请令牌,并在所述用户还没有申请令牌时,向所述用户邮箱发送令牌激活邮件;收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时,激活令牌并将激活的令牌发送给所述用户。
[0030]上述装置中,所述请求处理单元具体用于,当收到用户调用启动扫描接口的请求时,如果正在运行的扫描任务中没有所述被测系统的扫描任务时,触发后台资源中的后台服务器启动对被测系统进行的扫描任务。
[0031]上述装置中,所述请求处理单元具体用于,当收到用户调用获取扫描进度信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息,并将所述进度信息返回给用户。
[0032]上述装置中,所述请求处理单元具体用于,当收到用户调用获取实时信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息,并将所述漏洞信息返回给用户。
[0033]上述装置中,所述请求处理单元具体用于,当收到用户调用停止扫描接口的请求时,调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。
[0034]上述装置中,所述请求处理单元具体用于,当收到用户调用获取扫描结果接口的请求时,调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果,将所述扫描结果返回给用户。
[0035]由以上技术方案可以看出,本发明根据用户的请求实现对网站安全的自动扫描,因而不再需要专门的安全测试人员排期对网站进行安全扫描,能够提高网站安全扫描效率;而且,本发明通过用户请求API服务器的方式,在网络侧统一实现被测网站的安全扫描,用户不需要在本地设备中安装任何安全扫描工具,就可以实现网站安全扫描,因此能够节约本地的设备资源。
【【专利附图】
【附图说明】】`
[0036]图1是本发明实现网站安全扫描方法的优选实施例的流程示意图;
[0037]图2是本发明步骤103的具体实现方法的优选实施例的流程示意图;
[0038]图3是本发明实现网站安全扫描系统的优选实施例的结构示意图;
[0039]图4是本发明实现网站安全扫描装置的优选实施例的结构示意图。
【【具体实施方式】】
[0040]本发明的基本思想是:API服务器向用户发布网站安全扫描服务接口 ;收到用户调用网站安全扫描服务接口的请求时,所述API服务器根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务。
[0041]为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
[0042]本发明提供一种网站安全扫描方法,图1是本发明实现网站安全扫描方法的优选实施例的流程示意图,如图1所示,该优选实施例包括以下步骤:
[0043]步骤101,API服务器向用户发布网站安全扫描服务接口。
[0044]具体的,为了能够向用户提供网站安全扫描服务,需要在应用程序编程接口(API,Application Programming Interface)服务器中设置API服务器与后台资源之间的网站安全扫描服务接口,通过该网站安全扫描服务接口,API服务器可以调用后台资源进行被测系统的安全扫描;该网站安全扫描服务接口包括:申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口和获取扫描结果接口。
[0045]先在API服务器的接口处理文件中写入接口处理函数以及接口名称,通过定义的接口处理函数实现在API服务器中设置网站安全扫描服务接口,所述网站安全扫描服务接口如表1所示,一个以上的网站安全扫描服务接口构成接口集合;然后,在API服务器的urls.py文件中,根据所述接口名称及预设的映射规则,生成统一资源定位符(URL,Uniform/Universal Resource Locator)集合,所述预设的映射规则是URL集合中的网页地址与后台资源的网络安全扫描服务器接口之间的映射关系,如表1所示,WWW.XXX.com为后台资源,token、activate等为接口名称,如此,接口集合中的网站安全扫描服务接口就与URL集合中的网页地址存在一一对应关系,将URL集合通过API文件提供给用户,用户调用URL集合中的网页地址后,API服务器根据预设的映射规则,调用对应的网站安全扫描服务接口,触发后台资源对被测系统进行安全扫描;本实施例中,所述后台资源包括后台数据库和后台服务器。
[0046]表1
[0047]
【权利要求】
1.一种网站安全扫描方法,其特征在于,应用程序编程接口 API服务器向用户发布网站安全扫描服务接口 ;该方法还包括: 收到用户调用网站安全扫描服务接口的请求时,所述API服务器根据预设的映射规贝U,调用后台资源对被测系统进行对应的安全扫描服务。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:收到用户的令牌请求时,API服务器向用户提供令牌,并将令牌存储在所述后台资源的后台数据库中; 所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌; 在所述API服务器根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务之前还包括:所述后台数据库查询所述用户的令牌是否有效,如果是,继续执行所述根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务的步骤。
3.根据权利要求1所述的方法,其特征在于,所述API服务器向用户发布网站安全扫描服务接口为: 设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则,所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系;API服务器将所述网页地址组成的URL集合提供给用户。
4.根据权利要求1所述的方法,其特征在于,所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结 果接口。
5.根据权利要求4所述的方法,其特征在于,当API服务器收到用户调用申请令牌接口的请求时,调用后台资源中的后台数据库并判断所述用户是否已经申请令牌,并在所述用户还没有申请令牌时,向所述用户邮箱发送令牌激活邮件; API服务器收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时,激活令牌并将激活的令牌发送给所述用户。
6.根据权利要求4所述的方法,其特征在于,当所述API服务器收到用户调用启动扫描接口的请求时,如果正在运行的扫描任务中没有所述被测系统的扫描任务时,触发后台资源中的后台服务器启动对被测系统进行的扫描任务。
7.根据权利要求4所述的方法,其特征在于,当所述API服务器收到用户调用获取扫描进度信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息,并将所述进度信息返回给用户。
8.根据权利要求4所述的方法,其特征在于,当所述API服务器收到用户调用获取实时信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息,并将所述漏洞信息返回给用户。
9.根据权利要求4所述的方法,其特征在于,当所述API服务器收到用户调用停止扫描接口的请求时,调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。
10.根据权利要求4所述的系统,其特征在于,当所述API服务器收到用户调用获取扫描结果接口的请求时,调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果,将所述扫描结果返回给用户。
11.一种网站安全扫描装置,其特征在于,位于API服务器中,该装置包括:接口发布单元、请求处理单元;其中,接口发布单元,用于向用户发布网站安全扫描服务接口 ; 请求处理单元,用于收到用户调用网站安全扫描服务接口的请求时,根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务。
12.根据权利要求11所述的装置,其特征在于,所述请求处理单元,还用于收到用户的令牌请求时,向用户提供令牌,并将令牌存储在所述后台资源的后台数据库中; 所述用户调用网站安全扫描服务接口的请求中包含所述用户的令牌; 所述后台数据库查询所述用户的令牌是否有效,如果是,请求处理单元还用于继续执行所述根据预设的映射规则,调用后台资源对被测系统进行对应的安全扫描服务的步骤。
13.根据权利要求11所述的装置,其特征在于,所述接口发布单元具体用于,设置API服务器与后台资源之间的网站安全扫描服务接口、网页地址和映射规则,所述映射规则为所述网页地址与后台资源的网络安全扫描服务器接口之间的映射关系;API服务器将所述网页地址组成的URL集合提供给用户。
14.根据权利要求11所述的方法,其特征在于,所述网站安全扫描服务接口包括申请令牌接口、激活令牌接口、启动扫描接口、获取扫描进度信息接口、获取实时信息接口、停止扫描接口或获取扫描结果接口。
15.根据权利要求14所述的装置,其特征在于,所述请求处理单元具体用于,当收到用户调用申请令牌接口的请求时,调用后台资源中的后台数据库并判断所述用户是否已经申请令牌,并在所述用户还没有申请令牌时,向所述用户邮箱发送令牌激活邮件;收到用户通过点击令牌激活邮件所发送的调用激活令牌接口的请求时,激活令牌并将激活的令牌发送给所述用户。
16.根据权利要求14所述的装置,其特征在于,所述请求处理单元具体用于,当收到用户调用启动扫描接口的 请求时,如果正在运行的扫描任务中没有所述被测系统的扫描任务时,触发后台资源中的后台服务器启动对被测系统进行的扫描任务。
17.根据权利要求14所述的装置,其特征在于,所述请求处理单元具体用于,当收到用户调用获取扫描进度信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务的进度信息,并将所述进度信息返回给用户。
18.根据权利要求14所述的装置,其特征在于,所述请求处理单元具体用于,当收到用户调用获取实时信息接口的请求时,调用后台资源中的后台数据库查询用户输入的所述被测系统的扫描任务对应的漏洞信息,并将所述漏洞信息返回给用户。
19.根据权利要求14所述的装置,其特征在于,所述请求处理单元具体用于,当收到用户调用停止扫描接口的请求时,调用后台资源中的后台服务器停止对所述被测系统进行的扫描任务。
20.根据权利要求14所述的装置,其特征在于,所述请求处理单元具体用于,当收到用户调用获取扫描结果接口的请求时,调用后台资源中的后台数据库查询与用户输入的所述被测系统的扫描任务的扫描结果,将所述扫描结果返回给用户。
【文档编号】H04L29/06GK103634280SQ201210303263
【公开日】2014年3月12日 申请日期:2012年8月23日 优先权日:2012年8月23日
【发明者】练坤梅, 王丹 申请人:百度在线网络技术(北京)有限公司