CN109005142B - 网站安全检测方法、装置、系统、计算机设备和存储介质 - Google Patents
网站安全检测方法、装置、系统、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109005142B CN109005142B CN201710419816.1A CN201710419816A CN109005142B CN 109005142 B CN109005142 B CN 109005142B CN 201710419816 A CN201710419816 A CN 201710419816A CN 109005142 B CN109005142 B CN 109005142B
- Authority
- CN
- China
- Prior art keywords
- website
- detected
- server
- security
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明涉及一种网站安全检测方法、装置、系统、计算机设备和存储介质,包括:获取待检测网站对应的网站所有权标识;根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息;当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限;根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站,提高网站的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种网站安全检测方法、装置、系统、计算机设备和存储介质。
背景技术
随着计算机技术的发展,网络应用在人们的日常生活中越来越常见,可通过网络进行社交通信、在线支付购物、学习等,网站是否安全是通过网页进行在线活动的基本保障。
可通过对网页进行扫描检测网站的安全性,传统的第三方安全扫描工具对网站进行安全扫描,只要输入网址就可调用第三方安全扫描工具扫描对应的网站,可随意检测第三方网站安全性,检测出漏洞后存在恶意攻击的隐患。
发明内容
基于此,有必要针对上述技术问题,提供一种网站安全检测方法、装置、系统、计算机设备和存储介质,可对网站安全检测实现可控性,提高网站的安全性。
一种网站安全检测方法,所述方法包括:
获取待检测网站对应的网站所有权标识;
根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息;
当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限;
根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站。
一种网站安全检测系统,其特征在于,所述系统包括:
第一服务器,用于获取待检测网站对应的网站所有权标识,根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限,根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址;
第二服务器,用于根据所述安全扫描任务扫描所述待检测网站。
一种网站安全检测装置,其特征在于,所述装置包括:
验证信息检测模块,用于获取待检测网站对应的网站所有权标识,根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息;
权限授予模块,用于当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限;
网站检测模块,用于根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站。
一种计算机设备,包括存储器和处理器,所述存储器中储存有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行以下步骤:
获取待检测网站对应的网站所有权标识;
根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息;
当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限;
根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机可执行指令,所述计算机可执行指令被处理器执行时,使得所述处理器执行以下步骤:
获取待检测网站对应的网站所有权标识;
根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息;
当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限;
根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站。
上述网站安全检测方法、装置、系统、计算机设备和存储介质,通过获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址,以使第二服务器根据安全扫描任务扫描待检测网站,由于验证信息是从网站文件目录下的网站文件中检测得出,而只有网站所有权人才有权限将验证信息放入网站文件目录下的网站文件中,从网站文件目录下的网站文件中检测到的验证信息与标准验证信息匹配,说明待检测网站的网站所有权人提前申请了网站检测权限,并通过网站所有权人的权限将匹配的验证文件放入了正确的位置,从而授予待检测网站对应的安全检测权限,可以对待检测网站进行安全扫描,进行安全扫描前校验了网站检测权限,通过网站文件目录下的网站文件中携带的验证信息验证了扫描任务的合法性,可对网站安全检测实现可控性,从而提高网站的安全性。
附图说明
图1为一个实施例中网站安全检测方法的应用环境图;
图2为一个实施例中图1中第一服务器的内部结构图;
图3为一个实施例中网站安全检测方法的流程图;
图4为一个实施例中生成网站检测授权请求的流程图;
图5为另一个实施例中网站安全检测方法的流程图;
图6为一个实施例中根据检测策略扫描生成安全报告的流程图;
图7为一个实施例中根据扫描任务扫描网站漏洞的示意图;
图8为一个实施例中网站安全检测系统的结构框图;
图9为一个实施例中网站安全检测方法的时序图。
具体实施方式
图1为一个实施例中网站安全检测方法运行的应用环境图。如图1所示,该应用环境包括第一终端110、第一服务器120、第二服务器130、网站服务器140,第二终端150、资源转移服务器160,其中第一终端110、第一服务器120、第二服务器130、网站服务器140、第二终端150、资源转移服务器160可以通过网络进行通信。其中第一终端110为网站管理终端,用于管理网站,第一服务器120可以包括多个提供不同业务逻辑的安全业务服务器,如包括通知服务器121、平台服务器122、安全检测服务器123、安全管理服务器124,第二服务器130可以包括任务分发服务器131和多个提供不同类型漏洞检测的扫描服务器,如SQL(Structured Query Language,结构化查询语言)注入漏洞扫描服务器132、跨站漏洞扫描服务器133、文档对象模型漏洞扫描服务器134。网站服务器140包括多个提供不同服务的商户服务器,其中服务包括实体商品提供、虚拟商品提供和虚拟服务,如预定服务、下载服务等。第二终端150为服务请求终端,用于向网站服务器140请求服务。资源转移服务器160用于向不同的商户提供资源数值转移服务,如支付服务,其中各个服务器可以是单个服务器或服务器集群,可以是提供云服务器、云数据库、云存储和CDN等基础云计算服务的云服务器。
第一终端110、第二终端150可为智能手机、平板电脑、笔记本电脑、台式计算机等,但并不局限于此。第一终端110可通过网络向第一服务器120发送网站检测授权请求,第一服务器120根据网站检测授权请求授予向对应的网站服务器提供验证文件。第一终端110、第二终端150可为一个或多个.
第二终端150可通过网络向网站服务器140发送服务请求,如资源数值转移请求,网站服务器140通过调用资源数值转移接口将资源数值转移请求发送至资源转移服务器160,资源转移服务器160根据网站服务器140的当前安全状态完成资源转移服务,或网站服务器140根据当前安全状态调用资源数值转移接口。
在一个实施例中,图1中的第一服务器120的内部结构如图2所示,该第一服务器120包括通过系统总线连接的处理器、存储介质、内存和网络接口。其中,该第一服务器120的存储介质存储有操作系统、数据库和一种网站安全检测装置,数据库用于存储数据,该装置用于实现一种适用于第一服务器120的网站安全检测方法。该第一服务器120的处理器用于提供计算和控制能力,支撑整个第一服务器120的运行。该第一服务器120的内存为存储介质中的资网站安全检测装置的运行提供环境。该第一服务器120的网络接口用于与第一终端110,第二服务器130等通过网络连接通信。图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,具体的终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,如图3所示,提供了一种网站安全检测方法,以应用于上述应用环境中的第一服务器来举例说明,包括如下步骤:
步骤S210,获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息。
具体地,待检测网站可以是一个或多个网页,可通过网页URL(Uniform ResoureLocator,统一资源定位器)地址或域名确定待检测网站,如果是通过域名确定待检测网站,则待检测网站可包括此域名下的所有网址。网站所有权标识用于标识网站的归属人,是合法所有网站的权利人,一个待检测网站可以归属于一个或多个不同的权利人,则可以对应一个或多个不同的网站所有权标识。网站所有权标识可以为网站对应的公司名称或商户,如待检测网站为www.sina.com,则对应的网站所有权标识可为“sina”。在一个实施例中,网站为存在资源数值转移页面的网站,如包括支付页面的网站,网站所有权标识可为商户标识。商户标识用于唯一确定一个商户,一个待检测网站可以归属于一个或多个不同的商户,则可以对应一个或多个不同的商户标识,商户标识可以为资源转移服务器统一为商户分配的标识,也可为商户资源转移账号等。
在一个实施例中,获取待检测网站对应的网站所有权标识的步骤之前,还包括:资源转移服务器接收终端通过商户统一接入平台页面提交的资源转移工具授权使用请求,或商户网站服务器接收终端通过商户网站页面提交的资源转移工具授权使用请求,商户网站服务器向资源转移服务器发送资源转移工具授权使用请求,资源转移服务器根据资源转移工具授权使用请求分配唯一商户标识,用于唯一标识一个商户,将所述商户标识作为商户网站的网站所有权标识。资源转移工具为向用户提供资源数值转移的工具,如微信支付工具等。
网站文件是用于支撑网站运行的文件,存放在网站服务器的网站空间,不同的存放位置形成网站文件目录,只有网站所有权人才有权限修改网站文件目录下的网站文件,如增加文件、修改文件内容、删除文件等。网站文件目录包括根目录和子目录。网站的根目录就是网站空间存放网站文件的最上一级目录。验证信息是用于验证待检测网站是否存在安全检测权限的信息,验证信息与网站所有权标识对应,不同的网站所有权标识对应的网站具有不同的验证信息。验证信息可以是包括网站所有权标识的字符串。
进一步的,验证信息需要根据预设规则预先存入网站文件目录下的网站文件中,只有网站所有权人才存在此操作权限。验证信息可以以独立文件的形式保存在验证文件中,也可以以嵌入的形式写入网站文件目录下原本存在的网站文件中。根据当前网站所有权标识对应的预设规则在待检测网站对应的网站文件中检测验证信息,如先检测验证文件,直接从验证文件获取验证信息,或根据预设规则获取网站文件目录下原本存在的目标网站文件,识别并获取目标网站文件的预设位置,从预设位置读取验证信息。
在一个实施例中,验证文件的文件名为随机文件名,获取与网站所有权标识匹配的标准文件名,从预设网站文件目录下获取与所述标准文件名的文件名称相同的验证文件,从验证文件中获取验证信息。
步骤S220,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限。
具体地,标准验证信息是安全业务服务器在接收网站检测授权请求后生成并保存的验证信息,获取与网站所有权标识对应的标准验证信息,如果从网站文件目录下的网站文件中检测到的验证信息与标准验证信息相同,则说明待检测网站的网站所有权人提前申请了网站检测权限,并通过网站所有权人的权限将匹配的验证文件放入了正确的位置,从而授予待检测网站对应的安全检测权限,可以对待检测网站进行安全扫描。
步骤S230,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址,以使第二服务器根据安全扫描任务扫描待检测网站。
具体地,只有授予了安全检测权限,安全业务服务器才能向第二服务器发送安全扫描任务,如果检测到的验证信息与网站所有权标识对应的标准验证信息不匹配或检测不到验证信息,则不具有安全检测权限,不能向第二服务器发送安全扫描任。第二服务器用于对Web漏洞进行扫描,可包括多个不同种类的Web漏洞扫描规则。可形成一套全自动化的Web漏洞扫描系统,可集成60余类Web漏洞扫描规则,有效拦截通过Web入口被入侵和窃取数据的安全风险。第二服务器根据安全扫描任务中的待检测网站对应的网址获取待扫描文件,并对待扫描文件进行扫描得到扫描结果并形成安全报告,不同种类的Web漏洞扫描规则可对应不同的扫描服务器,从而对于不同种类的Web漏洞可并行扫描,分工协作。可将安全报告发送至安全扫描任务对应的目标网站服务器,从而目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
在一个实施例中,为了保证扫描任务的安全,当扫描任务结束时,发送验证信息撤回指令,以使网站服务器将验证信息从网站文件目录下的网站文件撤销,在下一次需要安全扫描时,由网站权利所有人通过指令再将验证信息存入网站文件目录下的网站文件中,则两次扫描之间,由于网站文件目录下的网站文件中不存在验证信息,不能向扫描服务器发送扫描任务,可进一步提高网站安全扫描的可控制性,保证网站的安全性。在一个实施例中,验证信息可设置有效时间范围,进一步提高安全性。
本实施例中,通过获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址,以使第二服务器根据安全扫描任务扫描待检测网站,由于验证信息是从网站文件目录下的网站文件中检测得出,而只有网站所有权人才有权限将验证信息放入网站文件目录下的网站文件中,从网站文件目录下的网站文件中检测到的验证信息与标准验证信息匹配,说明待检测网站的网站所有权人提前申请了网站检测权限,并通过网站所有权人的权限将匹配的验证文件放入了正确的位置,从而授予待检测网站对应的安全检测权限,可以对待检测网站进行安全扫描,进行安全扫描前校验了网站检测权限,通过网站文件目录下的网站文件中携带的验证信息验证了扫描任务的合法性,可对网站安全检测实现可控性,从而提高网站的安全性。
在一个实施例中,步骤S210之前,还包括:
步骤S310,获取网站的业务交互信息,根据业务交互信息识别存在安全隐患的目标待检测网站。
具体地,网站的业务交互信息可以是网站与安全业务服务器之间的交互信息,也可以是网站在处理业务过程中与其它服务器之间的交互信息,如网站与资源转移服务器之间的交互信息。可通过资源转移服务器将业务交互信息反馈给安全业务服务器。
其中,业务交互信息是指业务流程过程中产生的信息,业务流程包括登录、浏览、点击、资源数值转移,如支付等。可根据业务交互信息发送的频率、信息数据包的大小、和检测信息内容识别存在安全隐患的目标待检测网站,如第一网站与资源转移服务器交互次数在短时间内超过预设次数,则第一网站存在安全隐患。
步骤S320,向目标待检测网站对应的目标网站服务器发送安全检测提醒通知,以使目标网站服务器根据安全检测提醒通知生成对应的网站检测授权请求。
具体地,安全检测提醒通知用于提醒目标待检测网站对网站进行全面安全扫描,可通过站内信的方式发送至目标待检测网站对应的目标网站服务器。网站检测授权请求用于向安全业务服务器请求安全检测的权限,从而获取验证文件。
本实施例中,通过正常业务交互信息检测识别存在安全隐患的目标待检测网站,并发送提醒通知,可及时提醒存在安全隐患的目标待检测网站的管理员,通过业务安全服务器统一对各个网站的安全进行监视,无需各个网站独立开发安全检测项目,减少了各个商户网站维护的成本。
在一个实施例中,如图5所示,步骤S210之前,还包括:
步骤S330,接收网站检测授权请求,网站检测授权请求包括网站所有权标识和待检测网站信息。
具体地,目标网站服务器接收到安全检测提醒通知后,可将安全检测提醒通知发送至管理终端,可通过网站页面提交网站所有权标识和待检测网站信息,生成网站检测授权请求,由网站服务器发送至安全业务服务器。
在一个实施例中,网站所有权标识为商户标识,接收通过商户标识和密码登录进入的统一商户平台页面提交的网站检测授权请求。
具体地,管理终端通过登录的商户统一接入平台页面提交网站所有权标识和待检测网站信息生成网站检测授权请求,将网站检测授权请求发送至安全业务服务器。可以理解的是,需要通过用户名和密码登录商户统一接入平台才能进入商户统一接入平台页面提交信息,从而生成网站检测授权请求,通过登录密码进一步提高了网站检测授权请求的有效性,实现网站检测授权的可控性。
步骤S340,根据网站所有权标识生成对应的验证文件,验证文件包括网站所有权标识。
具体地,不同的网站所有权标识生成对应不同的验证文件,从而保证各个网站验证文件的唯一性,防址盗取验证文件后用于多个不同的网站,增加了网站的安全性。在一个实施例中,验证信息包括网站所有权标识和随机码,通过随机码提高了验证信息的安全性,难于被黑客识别和破解。
步骤S350,将验证文件发送至网站所有权标识对应的网站服务器,以使网站服务器将验证文件存放在与待检测网站信息匹配的网站文件目录下的对应位置。
具体地,可预先约定各个网站与验证文件的存放位置的规则,建立网站所有权标识与存放位置的匹配关系,匹配关系可以保存在安全业务服务器和网站服务器。如可以是直接存放验证文件在一个目录下,存放目录也可自定义,如根目录或根目录下的子目录。还可以将验证文件中的验证信息嵌入目标原始网站文件中,如嵌入某个网页文件中。不同网站具有不同的放置规则,进一步减少了验证文件盗取的概率,提高了验证文件的安全性。网站服务器存放了匹配关系,从而可根据匹配关系获取目标存放位置。
或步骤S360,以使网站服务器将验证文件对应的验证信息嵌入与待检测网站信息匹配的目标原始网站文件的对应位置。
具体地,对于嵌入式规则,可提取验证文件中的验证信息,并将验证信息根据预设规则写入目标原始网站文件的目标位置。通过嵌入式规则保存验证信息,由于原始网站文件有多个,路径和嵌入位置都可自定义,且验证文件不是一个单独的文件,进一步提高了验证文件的安全性。
在一个实施例中,如图6所示,方法还包括:
步骤S410,获取预存的检测策略,根据检测策略触发具有安全检测权限的目标网站的检测请求,根据检测请求向第二服务器发送安全扫描任务。
具体地,检测策略包括检测请求触发的条件,如规定周期性触发、或在检测到网站服务器与资源转移服务器存在资源数值转移请求时触发,具体的触发条件可根据需要自定义。触发条件达到时,只向具有安全检测权限的目标网站发送检测请求,可以在第一次检测到网站具有安全检测权限时,将网站对应的权限状态修改并保存,以在下一次直接快速获取具有安全检测权限的目标网站。也可定期检测网站是否具有安全检测权限,更新网站对应的权限状态。也可在每次发送检测请求时实时检测网站是否具有安全检测权限,保证安全检测权限的有效性。
其中,第二服务器提供不同类型漏洞检测,不同类型漏洞检测算法可以模块的形式分布在一个服务器上或多个服务器上,可为多个服务器组成的扫描系统。在一个实施例中,扫描模块包括爬虫扫描模块、SQL注入漏洞扫描模块、跨站漏洞扫描模块,文档对象模型漏洞扫描模块中的至少一种。在一个实施例中,第二服务器包括任务分发服务器和多个提供不同类型漏洞检测的扫描服务器,如图7所示,其中任务分发服务器中存在任务分配池,任务分配池可为队列的形式,将通过任务控制台先后接收的任务依次插入任务分配池,并根据通过任务调度算法从任务分配池中依次获取需要执行的任务并分发至多个提供不同类型漏洞检测的扫描服务器。
步骤S420,接收第二服务器根据安全扫描任务扫描待检测网站后返回的当前安全报告。
具体地,第二服务器通过各个不同类型的漏洞检测算法对待检测网站进行全面扫描,并根据扫描结果生成当前安全报告,当前安全报告描述待检测网站存在的漏洞个数和存在的具体的漏洞名称,以及引起漏洞的原因和解决建议,对待检测网站的安全情况进行全面的报告。
步骤S430,将当前安全报告发送至目标网站对应的目标网站服务器,以使目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
具体地,目标网站服务器接收到当前安全报告,可更新当前网站的安全状态,以保障网站提供的服务在安全状态下运行,如果当前安全报告显示当前网站存在漏洞,则可根据漏洞级别停止相应的服务,以保证网站服务的安全性。
在一个实施例中,如图8所示,提供了一种网站安全检测系统,包括:
第一服务器510,用于获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址。
第二服务器520,用于根据安全扫描任务扫描待检测网站。
本实施例中,通过第一服务器与第二服务器配合,第一服务器获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址,第二服务器根据安全扫描任务扫描待检测网站,由于验证信息是从网站文件目录下的网站文件中检测得出,而只有网站所有权人才有权限将验证信息放入网站文件目录下的网站文件中,从网站文件目录下的网站文件中检测到的验证信息与标准验证信息匹配,说明待检测网站的网站所有权人提前申请了网站检测权限,并通过网站所有权人的权限将匹配的验证文件放入了正确的位置,从而授予待检测网站对应的安全检测权限,可以对待检测网站进行安全扫描,进行安全扫描前校验了网站检测权限,通过网站文件目录下的网站文件中携带的验证信息验证了扫描任务的合法性,可对网站安全检测实现可控性,从而提高网站的安全性。
在一个实施例中,第一服务器510还用于接收网站检测授权请求,网站检测授权请求包括网站所有权标识和待检测网站信息,根据网站所有权标识生成对应的验证文件,验证文件包括网站所有权标识,将验证文件发送至网站所有权标识对应的网站服务器,以使网站服务器将验证文件存放在与待检测网站信息匹配的网站文件目录下的对应位置,或以使网站服务器将验证文件对应的验证信息嵌入与待检测网站信息匹配的目标原始网站文件的对应位置。
在一个实施例中,网站所有权标识为商户标识,第一服务器510还用于接收通过商户标识和密码登录进入的统一商户平台页面提交的网站检测授权请求。
在一个实施例中,第一服务器510还用于获取预存的检测策略,根据检测策略触发具有安全检测权限的目标网站的检测请求,根据检测请求向第二服务器520发送安全扫描任务。
第二服务器520还用于根据安全扫描任务扫描待检测网站生成当前安全报告,将当前安全报告发送至第一服务器510。
第一服务器510还用于将当前安全报告发送至目标网站对应的目标网站服务器,以使目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
在一个实施例中,网站对应的网站服务器还用于获取当前安全状态,根据当前安全状态响应资源转移请求。
具体的,在网站需要进行资源数值转移时,如支付时,需要获取当前安全状态,只有当前安全状态符合对应的安全级别和条件,才能对资源转移请求进行响应,提高了资源数值转移的安全性。
在一个实施例中,第二服务器还用于将安全扫描任务根据网站漏洞的类型分发至对应的扫描模块,扫描模块包括爬虫扫描模块、SQL注入漏洞扫描模块、跨站漏洞扫描模块,文档对象模型漏洞扫描模块中的至少一种。
具体的,扫描模块可以分布在一个服务器上或多个不同的服务器上,扫描模块用于对不同类型的漏洞进行扫描得到检测结果。其中爬虫扫描模块基于Webkit,对任务调度模块提交的URL进行爬扫,返回爬到的URL列表。SQL注入漏洞扫描模块、跨站漏洞扫描模块属于常规扫描模块,常规扫描模块基于nginx+lua,接收任务调度模块发送的任务,做相应的漏洞扫描,比如XSS(Cross Site Scripting,跨站脚本攻击)跨站、SQL注入等。文档对象模型漏洞扫描模块即DOMXSS扫描模块,基于Webkit,对任务调度模块发送的任务做动态解析,判断是否存在domxss漏洞。
在一个具体的实施例中,结合图9所示,网站安全检测系统包括终端、安全业务系统和扫描服务器、第一网站服务器,其中安全业务系统包括通知服务器、平台服务器、安全检测服务器、安全管理服务器。
1、安全管理服务器获取网站间的业务交互信息,根据业务交互信息识别存在安全隐患的第一待检测网站,向通知服务器发送通知下发指令。
2、通知服务器向第一待检测网站对应的第一网站服务器发送安全检测提醒通知。
3、第一网站服务器将安全检测提醒通知发送至网站管理终端,网站管理终端通过商户标识和密码登录进入统一商户平台页面,网站管理终端通过统一商户平台页面提交商户标识、待检测网站地址、通知邮箱生成对应的网站检测授权请求,其中通知邮箱可用于接收安全报告。在提交信息前,可显示安全检测服务描述,用于介绍安全检测服务的具体内容和接收协议签署指令。
4、安全检测服务器接收网站检测授权请求,根据商户标识生成携带商户标识和随机码的验证文件,将验证文件保存为商户标识对应的标准验证文件。
5、安全检测服务器将验证文件发送至第一网站服务器,第一网站服务器将验证文件存放在网站文件目录的根目录下。
6、当检测周期到达时,安全检测服务器获取第一网站对应的商户标识,根据商户标识在所述第一网站对应的网站文件目录下的根目录下中查找验证文件,获取验证文件中的验证信息。当检测到的验证信息与商户标识对应的标准验证信息匹配时,授予第一网站对应的安全检测权限。
7、向扫描服务器发送安全扫描任务,安全扫描任务携带第一网站对应的网址。
8、扫描服务器根据将安全扫描任务根据网站漏洞的类型分发至对应的扫描模块,所述扫描模块包括爬虫扫描模块、SQL注入漏洞扫描模块、跨站漏洞扫描模块,文档对象模型漏洞扫描模块。
9、扫描服务器生成安全报告,将安全报告发送至安全检测服务器,安全检测服务器将安全报告发送至网站管理终端。
10、安全检测服务器将安全报告上传至安全管理服务器,安全管理服务器可整合分析不同的安全报告,存储各种漏洞病例和对应的修复方法。
11、扫描服务器定期收到扫描任务,定期根据扫描任务进行安全检测。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中储存有计算机可读指令,计算机可读指令被处理器执行时,使得处理器执行以下步骤:获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址,以使第二服务器根据安全扫描任务扫描待检测网站。
在一个实施例中,计算机可读指令使得处理器执行接收网站检测授权请求之前,还执行以下步骤:获取网站间的业务交互信息,根据业务交互信息识别存在安全隐患的目标待检测网站,向目标待检测网站对应的目标网站服务器发送安全检测提醒通知,以使目标网站服务器根据安全检测提醒通知生成对应的网站检测授权请求。
在一个实施例中,计算机可读指令使得处理器执行接收网站检测授权请求之前,还执行以下步骤:接收网站检测授权请求,网站检测授权请求包括网站所有权标识和待检测网站信息,根据网站所有权标识生成对应的验证文件,验证文件包括网站所有权标识,将验证文件发送至网站所有权标识对应的网站服务器,以使网站服务器将验证文件存放在与待检测网站信息匹配的网站文件目录下的对应位置,或以使网站服务器将所述验证文件对应的验证信息嵌入与待检测网站信息匹配的目标原始网站文件的对应位置。
在一个实施例中,网站所有权标识为商户标识,所述接收网站检测授权请求,包括:接收通过商户标识和密码登录进入的统一商户平台页面提交的网站检测授权请求。
在一个实施例中,计算机可读指令使得处理器还执行以下步骤:获取预存的检测策略,根据检测策略触发具有安全检测权限的目标网站的检测请求,根据检测请求向第二服务器发送安全扫描任务,接收第二服务器根据安全扫描任务扫描待检测网站后返回的当前安全报告,将当前安全报告发送至目标网站对应的目标网站服务器,以使目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
在一个实施例中,提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机可执行指令,计算机可执行指令被处理器执行时,使得处理器执行以下步骤:获取待检测网站对应的网站所有权标识,根据网站所有权标识在待检测网站对应的网站文件目录下的网站文件中检测验证信息,当检测到的验证信息与网站所有权标识对应的标准验证信息匹配时,授予待检测网站对应的安全检测权限,根据待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,安全扫描任务携带待检测网站对应的网址,以使第二服务器根据安全扫描任务扫描待检测网站。
在一个实施例中,计算机可读指令使得处理器执行接收网站检测授权请求之前,还执行以下步骤:获取网站间的业务交互信息,根据业务交互信息识别存在安全隐患的目标待检测网站,向目标待检测网站对应的目标网站服务器发送安全检测提醒通知,以使目标网站服务器根据安全检测提醒通知生成对应的网站检测授权请求。
在一个实施例中,计算机可读指令使得处理器执行接收网站检测授权请求之前,还执行以下步骤:接收网站检测授权请求,网站检测授权请求包括网站所有权标识和待检测网站信息,根据网站所有权标识生成对应的验证文件,验证文件包括网站所有权标识,将验证文件发送至网站所有权标识对应的网站服务器,以使网站服务器将验证文件存放在与待检测网站信息匹配的网站文件目录下的对应位置,或以使网站服务器将所述验证文件对应的验证信息嵌入与待检测网站信息匹配的目标原始网站文件的对应位置。
在一个实施例中,网站所有权标识为商户标识,所述接收网站检测授权请求,包括:接收通过商户标识和密码登录进入的统一商户平台页面提交的网站检测授权请求。
在一个实施例中,计算机可读指令使得处理器还执行以下步骤:获取预存的检测策略,根据检测策略触发具有安全检测权限的目标网站的检测请求,根据检测请求向第二服务器发送安全扫描任务,接收第二服务器根据安全扫描任务扫描待检测网站后返回的当前安全报告,将当前安全报告发送至目标网站对应的目标网站服务器,以使目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述程序可存储于一计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (15)
1.一种网站安全检测方法,应用于第一服务器,所述方法包括:
获取待检测网站对应的网站所有权标识,所述网站所有权标识用于标识网站的归属人;
根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息,所述验证信息与网站所有权标识对应;
当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限,所述标准验证信息是在接收网站检测授权请求后生成并保存的验证信息;
根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站。
2.根据权利要求1所述的方法,其特征在于,所述接收网站检测授权请求的步骤之前,还包括:
获取网站的业务交互信息,根据所述业务交互信息识别存在安全隐患的目标待检测网站;
向所述目标待检测网站对应的目标网站服务器发送安全检测提醒通知,以使所述目标网站服务器根据安全检测提醒通知生成对应的网站检测授权请求。
3.根据权利要求1所述的方法,其特征在于,所述获取待检测网站对应的网站所有权标识的步骤之前,还包括:
接收网站检测授权请求,所述网站检测授权请求包括网站所有权标识和待检测网站信息;
根据所述网站所有权标识生成对应的验证文件,所述验证文件包括网站所有权标识;
将所述验证文件发送至所述网站所有权标识对应的网站服务器,以使所述网站服务器将所述验证文件存放在与所述待检测网站信息匹配的网站文件目录下的对应位置,或;
以使所述网站服务器将所述验证文件对应的验证信息嵌入与所述待检测网站信息匹配的目标原始网站文件的对应位置。
4.根据权利要求3所述的方法,其特征在于,所述网站所有权标识为商户标识,所述接收网站检测授权请求的步骤包括:
接收通过商户标识和密码登录进入的统一商户平台页面提交的网站检测授权请求。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取预存的检测策略,根据检测策略触发具有安全检测权限的目标网站的检测请求;
根据所述检测请求向第二服务器发送安全扫描任务;
接收第二服务器根据所述安全扫描任务扫描所述待检测网站后返回的当前安全报告;
将所述当前安全报告发送至所述目标网站对应的目标网站服务器,以使所述目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
6.一种网站安全检测系统,应用于第一服务器,其特征在于,所述系统包括:
第一服务器,用于获取待检测网站对应的网站所有权标识,所述网站所有权标识用于标识网站的归属人,根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息,所述验证信息与网站所有权标识对应,当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限,所述标准验证信息是在接收网站检测授权请求后生成并保存的验证信息,根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址;
第二服务器,用于根据所述安全扫描任务扫描所述待检测网站。
7.根据权利要求6所述的系统,其特征在于,所述第一服务器还用于接收网站检测授权请求,所述网站检测授权请求包括网站所有权标识和待检测网站信息,根据所述网站所有权标识生成对应的验证文件,所述验证文件包括网站所有权标识,将所述验证文件发送至所述网站所有权标识对应的网站服务器,以使所述网站服务器将所述验证文件存放在与所述待检测网站信息匹配的网站文件目录下的对应位置,或以使所述网站服务器将所述验证文件对应的验证信息嵌入与所述待检测网站信息匹配的目标原始网站文件的对应位置。
8.根据权利要求7所述的系统,其特征在于,所述网站所有权标识为商户标识,所述第一服务器还用于接收通过商户标识和密码登录进入的统一商户平台页面提交的网站检测授权请求。
9.根据权利要求6所述的系统,其特征在于,所述第一服务器还用于获取预存的检测策略,根据检测策略触发具有安全检测权限的目标网站的检测请求,根据所述检测请求向第二服务器发送安全扫描任务;
所述第二服务器还用于根据所述安全扫描任务扫描所述待检测网站生成当前安全报告,将所述当前安全报告发送至第一服务器;
第一服务器还用于将所述当前安全报告发送至所述目标网站对应的目标网站服务器,以使所述目标网站服务器根据对应的当前安全报告更新当前网站的安全状态。
10.根据权利要求9所述的系统,其特征在于,所述网站对应的网站服务器还用于获取当前安全状态,根据当前安全状态响应资源转移请求。
11.根据权利要求6所述的系统,其特征在于,所述第二服务器还用于将所述安全扫描任务根据网站漏洞的类型分发至对应的扫描模块,所述扫描模块包括爬虫扫描模块、SQL注入漏洞扫描模块、跨站漏洞扫描模块,文档对象模型漏洞扫描模块中的至少一种。
12.一种网站安全检测装置,其特征在于,所述装置包括:
验证信息检测模块,用于获取待检测网站对应的网站所有权标识,所述网站所有权标识用于标识网站的归属人,根据所述网站所有权标识在所述待检测网站对应的网站文件目录下的网站文件中检测验证信息,所述验证信息与网站所有权标识对应;
权限授予模块,用于当检测到的验证信息与所述网站所有权标识对应的标准验证信息匹配时,授予所述待检测网站对应的安全检测权限,所述标准验证信息是在接收网站检测授权请求后生成并保存的验证信息;
网站检测模块,用于根据所述待检测网站对应的安全检测权限向第二服务器发送安全扫描任务,所述安全扫描任务携带所述待检测网站对应的网址,以使所述第二服务器根据所述安全扫描任务扫描所述待检测网站。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
检测授权模块,用于接收网站检测授权请求,所述网站检测授权请求包括网站所有权标识和待检测网站信息,根据所述网站所有权标识生成对应的验证文件,所述验证文件包括网站所有权标识,将所述验证文件发送至所述网站所有权标识对应的网站服务器,以使所述网站服务器将所述验证文件存放在与所述待检测网站信息匹配的网站文件目录下的对应位置,或以使所述网站服务器将所述验证文件对应的验证信息嵌入与所述待检测网站信息匹配的目标原始网站文件的对应位置。
14.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中储存有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行权利要求1至5中任一项所述的方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可执行指令,所述计算机可执行指令被处理器执行时,使得所述处理器执行权利要求1至5中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710419816.1A CN109005142B (zh) | 2017-06-06 | 2017-06-06 | 网站安全检测方法、装置、系统、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710419816.1A CN109005142B (zh) | 2017-06-06 | 2017-06-06 | 网站安全检测方法、装置、系统、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109005142A CN109005142A (zh) | 2018-12-14 |
CN109005142B true CN109005142B (zh) | 2020-11-03 |
Family
ID=64573520
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710419816.1A Active CN109005142B (zh) | 2017-06-06 | 2017-06-06 | 网站安全检测方法、装置、系统、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109005142B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109783715A (zh) * | 2019-01-08 | 2019-05-21 | 鑫涌算力信息科技(上海)有限公司 | 网络爬虫系统及方法 |
CN110138719B (zh) * | 2019-03-05 | 2022-05-27 | 北京车和家信息技术有限公司 | 一种网络安全的检测方法、装置及电子设备 |
CN109933990B (zh) * | 2019-03-12 | 2020-12-29 | 国网新疆电力有限公司电力科学研究院 | 基于多模式匹配的安全漏洞发现方法、装置及电子设备 |
CN110795674B (zh) * | 2019-10-30 | 2022-08-09 | 恩亿科(北京)数据科技有限公司 | 一种配置更新方法及装置 |
CN111191221B (zh) * | 2019-12-30 | 2023-05-12 | 腾讯科技(深圳)有限公司 | 权限资源的配置方法、装置和计算机可读存储介质 |
CN111597522A (zh) * | 2020-05-21 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 一种网站归属人认证的方法、系统、设备及可读存储介质 |
CN112751851B (zh) * | 2020-12-29 | 2023-05-23 | 科来网络技术股份有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN115426202B (zh) * | 2022-11-03 | 2023-01-24 | 北京源堡科技有限公司 | 扫描任务下发方法、装置、计算机设备及可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102255894A (zh) * | 2011-06-28 | 2011-11-23 | 北龙中网(北京)科技有限责任公司 | 网站信息验证方法、系统及解析服务器 |
CN102629923A (zh) * | 2012-03-23 | 2012-08-08 | 北龙中网(北京)科技有限责任公司 | 基于域名系统技术的网站可信标识安装及识别方法 |
CN102821137A (zh) * | 2012-07-06 | 2012-12-12 | 北京奇虎科技有限公司 | 一种网站安全检测方法及系统 |
CN103618742A (zh) * | 2013-12-09 | 2014-03-05 | 北京奇虎科技有限公司 | 获取子域名的方法和系统以及网站管理员权限验证方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8756118B1 (en) * | 2010-10-06 | 2014-06-17 | Coupa Incorporated | Shopping at e-commerce sites within a business procurement application |
-
2017
- 2017-06-06 CN CN201710419816.1A patent/CN109005142B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102255894A (zh) * | 2011-06-28 | 2011-11-23 | 北龙中网(北京)科技有限责任公司 | 网站信息验证方法、系统及解析服务器 |
CN102629923A (zh) * | 2012-03-23 | 2012-08-08 | 北龙中网(北京)科技有限责任公司 | 基于域名系统技术的网站可信标识安装及识别方法 |
CN102821137A (zh) * | 2012-07-06 | 2012-12-12 | 北京奇虎科技有限公司 | 一种网站安全检测方法及系统 |
CN103618742A (zh) * | 2013-12-09 | 2014-03-05 | 北京奇虎科技有限公司 | 获取子域名的方法和系统以及网站管理员权限验证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109005142A (zh) | 2018-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109005142B (zh) | 网站安全检测方法、装置、系统、计算机设备和存储介质 | |
CN108200050B (zh) | 单点登录服务器、方法及计算机可读存储介质 | |
CN110602052B (zh) | 微服务处理方法及服务器 | |
CN107135073B (zh) | 接口调用方法和装置 | |
US20200186514A1 (en) | User login credential warning system | |
US10356125B2 (en) | Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks | |
CN109067813B (zh) | 网络漏洞检测方法、装置、存储介质和计算机设备 | |
CN101997685B (zh) | 单点登录方法、单点登录系统以及相关设备 | |
CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
CN111355726B (zh) | 一种身份授权登录方法、装置及电子设备和存储介质 | |
US9934310B2 (en) | Determining repeat website users via browser uniqueness tracking | |
US20180218121A1 (en) | System and Method for Online Identity Management | |
CN109257321B (zh) | 安全登录方法和装置 | |
JP2016521932A (ja) | 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置 | |
CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
CN106452774B (zh) | 基于单点登录协议进行访问权限控制的方法和装置 | |
CN109417471A (zh) | 密码生成设备和密码验证设备 | |
US20180218133A1 (en) | Electronic document access validation | |
CN115695012A (zh) | 一种登录请求的处理方法、装置、电子设备及存储介质 | |
CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
CN107038540B (zh) | 基于智能条形码的物流派件方法及装置 | |
US20180039771A1 (en) | Method of and server for authorizing execution of an application on an electronic device | |
CN111294337A (zh) | 一种基于令牌的鉴权方法及装置 | |
CN112260983B (zh) | 一种身份验证方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |