CN111695121A - 一种网站漏洞在线评估方法及装置 - Google Patents
一种网站漏洞在线评估方法及装置 Download PDFInfo
- Publication number
- CN111695121A CN111695121A CN202010547937.6A CN202010547937A CN111695121A CN 111695121 A CN111695121 A CN 111695121A CN 202010547937 A CN202010547937 A CN 202010547937A CN 111695121 A CN111695121 A CN 111695121A
- Authority
- CN
- China
- Prior art keywords
- website
- information
- vulnerability
- trojan
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 55
- 230000009545 invasion Effects 0.000 claims abstract description 42
- 238000001514 detection method Methods 0.000 claims abstract description 33
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 31
- 238000000034 method Methods 0.000 claims description 27
- 238000004140 cleaning Methods 0.000 claims description 12
- 230000007547 defect Effects 0.000 claims description 12
- 238000002513 implantation Methods 0.000 claims description 11
- 238000012038 vulnerability analysis Methods 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 claims description 3
- 230000035515 penetration Effects 0.000 claims description 3
- 238000002347 injection Methods 0.000 claims description 2
- 239000007924 injection Substances 0.000 claims description 2
- 238000012360 testing method Methods 0.000 abstract description 2
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000007619 statistical method Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- YHVACWACSOJLSJ-UHFFFAOYSA-N n-methyl-n-(1-oxo-1-phenylpropan-2-yl)nitrous amide Chemical compound O=NN(C)C(C)C(=O)C1=CC=CC=C1 YHVACWACSOJLSJ-UHFFFAOYSA-N 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
本发明涉及互联网安全技术领域,尤其为一种网站漏洞在线评估方法及装置,包括自身检测模块和仿木马入侵模块,用于通过自身的检测方式对网站漏洞信息进行检测,同时通过仿木马入侵的方式对网站进行入侵,获取漏洞信息模块,用于接收网站本体系自身检测的漏洞信息以及仿木马入侵的漏洞信息,参数对比模块,用于将接收到的网站体系自身检测漏洞信息和仿木马入侵的漏洞信息进行对比,在线评估模块,用于将所接收到的全部漏洞信息进行等级评估,整体采用集成化的思想理念,更全面化的将基本信息扫描、操作系统扫描、开放服务端扫描、OS漏洞扫描、数据库扫描和端口扫描集成在自身检测的模块中,能够对目标网站提供更为全面的深入测试。
Description
技术领域
本发明涉及互联网安全技术领域,具体为一种网站漏洞在线评估方法及装置。
背景技术
随着现代互联网技术发展的快速发展,如今现代的远程办公以及居家办公的方式成为热潮,同时为多数工作者提供一定的方便,网络在快速发展的同时其安全性问题成为大多数工作者所担心的问题,因此黑客的攻击成为了大多数企业网络安全专家操心的问题。对于网站的安全问题更所谓是各色各异,其中主要源于网站的漏洞,入侵者可以对相关的漏洞对网站内部的信息作出攻击,此外网站本身的安全问题同样重要,为了能够减少网站内部的漏洞因此需要对网站的安全性问题作出评估,并且根据其漏洞风险的等级对该网站定制对应的修复方案,常用的评估方式是通过对网站自己的漏洞数据库内部的漏洞参数等级进行评定,此种评估的方式较为局限,不能对网站本身中未知漏洞进行评估,不能够起到更为准确以及安全的等级评估。
为此,提出一种网站漏洞在线评估方法及装置来解决现有技术中所存在的问题。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种网站漏洞在线评估方法及装置。
为了解决上述技术问题,本发明提供了如下的技术方案:
本发明提供了一种网站漏洞在线评估方法及装置,包括:
自身检测模块和仿木马入侵模块,用于通过自身的检测方式对网站漏洞信息进行检测,同时通过仿木马入侵的方式对网站进行入侵;
获取漏洞信息模块,用于接收网站本体系自身检测的漏洞信息以及仿木马入侵的漏洞信息;
参数对比模块,用于将接收到的网站体系自身检测漏洞信息和仿木马入侵的漏洞信息进行对比;
在线评估模块,用于将所接收到的全部漏洞信息进行等级评估。
优选的,所述网站漏洞信息包括:1.网站自身技术上的安全漏洞信息;2.网站相关防护设备漏洞信息;3.网站体系架构缺陷信息。
优选的,所述自身的检测方式包括:1.基本信息扫描;2.操作系统扫描;3.开放服务端扫描;4.OS漏洞扫描;5.数据库扫描;6.端口扫描。所述仿木马入侵具体为通过采用无害木马对网站的各个端口点进行入侵,对网站防火墙进行入侵。
优选的,所述网站体系架构缺陷信息包括:1.操作系统;2.数据库、服务程序等;3.关键数据备份和系统维护措施。
优选的,所述获取漏洞信息模块具体包括;
1:失效身份认证。
2:隐私账户信息认证。
3:安全配置错误信息。
4:漏洞脚本信息。
5:已知漏洞组件信息。
6:不安全反序列化漏洞。
7:被攻击端口信息。
8:SQL注入攻击漏洞。
9:防护设备/措施缺陷信息。
10:Web服务程序、数据库服务信息
优选的,所述仿木马入侵的具体步骤为:
步骤一:对情报收集并进行分析;
步骤二:开始对网站服务器各端口以及防火墙等进行入侵攻击;
步骤三:提升权限;
步骤四:清理入侵痕迹。
优选的,所述步骤一的具体方式为:用扫面器或者人工的对服务器的状态进行探知,获得服务器类型、服务器版本、服务器的网络布局、服务器上开启的端口号、服务器上运行的服务及其版本、网站的网页脚本类型、脚本版本等信息。最后根据以上信息判断该服务器可能存在的漏洞。
优选的,所述步骤二的具体方式为:根据步骤一收集到的漏洞信息开始对网站服务器发动攻击。具体步骤为:1.登陆服务器上开启的服务并猜测该服务的密码;2.根据服务获得相应的服务器操作权限以及根据所存在的溢出漏洞进行溢出攻击或者跟据网页脚本上的漏洞进行网页渗透。
优选的,所述步骤三的具体方式为:利用步骤二获得的权限获得跟服务器使用权限的操纵。其实方法根据不同的入侵路径其中包括:1.通过windows服务器获得服务器系统盘的读写权、;2.获得system权限并建立自己的隐藏管理员用户;3.留下后门或木马;4.获得root权限。
具体步骤为:
步骤一:首先通过自身检测模块对网站自身的参数进行检测,并生产漏洞参数信息,同时通过仿木马入侵模块对网站进行攻击,并及时收集相关的植入点信息。
步骤二:通过仿木马入侵后并且根据是否获得其网站的权限进行整理并其相关权限的重要性为后续评估风险等级做出一定的风险判断,然后根据仿木马是否在网站的相关重要位置植入相关木马做出一定的程度的风险判断。木马入侵后进行清理其入侵路径信息,通过对入侵路径清理的程度为再为后续评估提供判断信息。
步骤三:接收来自自身检测中网站基本信息的扫描、操作系统信息的扫描、以及网站中开放服务端的扫描同时对网站的OS漏洞的扫描和数据库信息和网端口的扫描,对木马入侵植入点参数信息进行获取,然后再将所获得的两种入侵参数进行对比,判断自身漏洞参数和仿木马植入点漏洞参数是否相同,若自身检测与木马入侵两种方式均未取得相关的漏洞参数信息则直接进入到最后的等级评估阶段,若自身检测与木马入侵两种方式所取得的漏洞参数以及漏洞端口等相同则进入到漏洞等级的分类然后在根据具体漏洞等级的分类所对应的风险等级再进入到后续的风险评估中。
步骤四:根据系统自身检测漏洞参数以及仿木马入侵后得到的入侵端口重要性以及网站核心位置和仿木马植入点位置通后续入侵路径的清理程度等做出最后综合评估。
与现有技术相比,本发明的有益效果是:
1、本发明提供了一种网站漏洞在线评估方法及装置,整体采用集成化的思想理念,更全面化的将基本信息扫描、操作系统扫描、开放服务端扫描、OS漏洞扫描、数据库扫描和端口扫描集成在自身检测的模块中,能够对被检测网站系统提供更为全面的安全评估信息,同时能够对目标网站提供更为全面的深入测试;
2、本发明在评估的过程中通过采用自身检测与仿木马入侵检测配合的方式,能够对网站内部各个信息点进行扫描检测,以便于能够更加全面的对网站的安全进行评估,在内部的检测结构体系中,整体采用分层检测的结构体系,通过先检测网站系统整体的漏洞再配合仿木马进行外入侵的方式能够对极大的对本网站内部的漏洞进行检测,提高整体网站对未知漏洞的检测的探索通透性;
3、本发明将自身检测的漏洞信息以及仿木马入侵的漏洞信息进行逐级的分步分类,并且配合漏洞信息点所对应的位置点对网站本身核心位置的威胁程度进行一定的优先级别的判断,有利于提高整体评估判断的速度。在最终的评估方式中将两种方式所获得的漏洞信息进行综合评估得出最终的评估依据。整体发明在进行最终的评估后,通过使用XML定义最终评估报告的模板,并且根据内部数据库的扫描结果自动进行统计分析,并在生成具体漏洞参数的同时采用过滤合并算法和统计分析算法的方式能够避免同类参数漏洞在后续过程中出现。
附图说明
图1为本发明的网站漏洞在线评估装置结构示意图;
图2为本发明的网站漏洞在线评估方法的流程示意图;
图3为本发明的网站漏洞信息分析示意图;
图4为本发明的网站仿木马入侵步骤示意图;
图5为本发明的获取漏洞信息详细子模块内容示意图;
图6为本发明的流程结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种网站漏洞在线评估方法及装置,如图1所示包括。
自身检测模块和仿木马入侵模块,用于通过自身的检测方式对网站漏洞信息进行检测,同时通过仿木马入侵的方式对网站进行入侵,获取漏洞信息模块,用于接收网站本体系自身检测的漏洞信息以及仿木马入侵的漏洞信息,参数对比模块,用于将接收到的网站体系自身检测漏洞信息和仿木马入侵的漏洞信息进行对比,在线评估模块,用于将所接收到的全部漏洞信息进行等级评估。
进一步,所述网站漏洞信息包括网站自身技术上的安全漏洞信息、网站相关防护设备漏洞信息、网站体系架构缺陷信息。
进一步,所述自身的检测方式包括:基本信息扫描、操作系统扫描、开放服务端扫描、OS漏洞扫描、数据库扫描、端口扫描。所述仿木马入侵具体为通过采用无害木马对网站的各个端口点进行入侵,对网站防火墙进行入侵,如图2中所示。
其中,端口的扫描可举例为,通过NMAP进行扫描,其能够支持PING扫描,能够判定主机的运行状态,并且能够通过多端口扫描,判定主机所提供的服务以及IP等,NMAP还可以通过扫描语法的方式进行检测,其中常用的扫描类型为-P0跳过PING检测、-SF,TCP FIN扫描、-SP,IC MP扫描、-ST,TCP连接扫描。
可理解的是,仿木马的攻击方式为仅攻击网站核心内部,但不对网站核心工作程序进行更改,不对所入侵片段进行更改,同时记录所植入的位置点参数信息。
进一步,所述网站体系架构缺陷信息包括操作系统、数据库、服务程序等、关键数据备份和系统维护措施,如图3所示。
具体的,所述数据库内部包含对已知漏洞信息的分类标识以及行业标识等相关信息。
例如在扫描中发现不安全反序列化漏洞,则将该漏洞的相关信息与数据库中相关的信息进行匹配到再划分评估等级。
进一步,所述获取漏洞信息模块具体包括失效身份认证、隐私账户信息认证、安全配置错误信息、漏洞脚本信息、已知漏洞组件信息、不安全反序列化漏洞、被攻击端口信息、SQL注入攻击漏洞、防护设备/措施缺陷信息。Web服务程序、数据库服务信息。
进一步,所述仿木马入侵的具体步骤为首先对情报收集并进行分析然后再开始对网站服务器各端口以及防火墙等进行入侵攻击,入侵成功之后进行提升权限,权限管理操作完成之后对入侵的痕迹进行清理。
进一步,所述步骤一的具体方式为:用扫面器或者人工的对服务器的状态进行探知,获得服务器类型、服务器版本、服务器的网络布局、服务器上开启的端口号、服务器上运行的服务及其版本、网站的网页脚本类型、脚本版本等信息。最后根据以上信息判断该服务器可能存在的漏洞。
进一步,所述步骤二的具体方式为:根据步骤一收集到的漏洞信息开始对网站服务器发动攻击。具体步骤为:1.登陆服务器上开启的服务并猜测该服务的密码;2.根据服务获得相应的服务器操作权限以及根据所存在的溢出漏洞进行溢出攻击或者跟据网页脚本上的漏洞进行网页渗透。
进一步,所述步骤三的具体方式为:利用步骤二获得的权限获得跟服务器使用权限的操纵。其实方法根据不同的入侵路径其中包括通过windows服务器获得服务器系统盘的读写权(有时可以跳过)、获得system权限并建立自己的隐藏管理员用户、留下后门或木马、获得root权限。
本发明的网络漏洞评估方法在于对漏洞检测网站本身扫描所接收到的漏洞参数进行实际存在性,和漏洞的实际威胁性以及系统本身的缺陷进行在线评估,结合仿木马入侵综合分析。最后对漏洞的风险等级生产实际漏洞参数报告,使得管理员能够及时了解其漏洞参数以及危害,并制定相应的修复方案,下面对网站漏洞信息作出在线评估方法的详细评估步骤说明。
具体步骤为:参照图2以及图6所示,首先通过自身检测模块对网站自身的参数进行检测,并生产漏洞参数信息,同时通过仿木马入侵模块对网站进行攻击,并及时收集相关的植入点信息然后通过仿木马入侵后并且根据是否获得其网站的权限进行整理并其相关权限的重要性为后续评估风险等级做出一定的风险判断,然后根据仿木马是否在网站的相关重要位置植入相关木马做出一定的程度的风险判断。木马入侵后进行清理其入侵路径信息,通过对入侵路径清理的程度为再为后续评估提供判断信息,之后接收来自自身检测中网站基本信息的扫描、操作系统信息的扫描、以及网站中开放服务端的扫描同时对网站的OS漏洞的扫描和数据库信息和网端口的扫描,对木马入侵植入点参数信息进行获取,然后再将所获得的两种入侵参数进行对比,判断自身漏洞参数和仿木马植入点漏洞参数是否相同,若自身检测与木马入侵两种方式均未取得相关的漏洞参数信息则直接进入到最后的等级评估阶段,若自身检测与木马入侵两种方式所取得的漏洞参数以及漏洞端口等相同则进入到漏洞等级的分类然后在根据具体漏洞等级的分类所对应的风险等级再进入到后续的风险评估中,最后根据系统自身检测漏洞参数以及仿木马入侵后得到的入侵端口重要性以及网站核心位置和仿木马植入点位置通后续入侵路径的清理程度等做出最后综合评估。
其中,首先使用者通过账号进行登录到服务器系统张红,进行内部的漏洞任务,配合内部实际的主机登陆信息以及IP地址等参数选择扫描类型,扫描地址或者一键式扫描等,在进行自身检测时,根据网站自身的扫描端对网站内部的系统参数进行检测,通过对内部的基本信息以及操作系统和数据库扫描等进行检测后根据检测到的漏洞缺陷对应于网站核心点的位置以及对网站本身构成的威胁进行优先级筛选,然后再将自身所检测到的漏洞信息与仿木马入侵后的入侵点进行结合,通过下一步的参数对比进行分析该漏洞的等级,确定等级后根据过滤合并算法以及统计分析算法结合,最后进行在线分析获得的漏洞等级,然后通过XML文件的格式导出WEB漏洞报告,最终的报告以word的格式提供,导出后使用者可以根据实际的漏洞信息进行编辑,包括生成漏洞目录、排列漏洞排名表以及进行绘制分析图表。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多,种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种网站漏洞在线评估方法及装置包括,其特征在于,包括:
自身检测模块和仿木马入侵模块,用于通过自身的检测方式对网站漏洞信息进行检测,同时通过仿木马入侵的方式对网站进行入侵;
获取漏洞信息模块,用于接收网站本体系自身检测的漏洞信息以及仿木马入侵的漏洞信息;
参数对比模块,用于将接收到的网站体系自身检测漏洞信息和仿木马入侵的漏洞信息进行对比;
在线评估模块,用于将所接收到的全部漏洞信息进行等级评估。
2.根据权利要求1所述的一种网站漏洞在线评估方法及装置,其特征在于:所述网站漏洞信息包括:网站自身技术上的安全漏洞信息;网站相关防护设备漏洞信息;网站体系架构缺陷信息。
3.根据权利要求1所述的一种网站漏洞在线评估方法及装置,其特征在于:所述自身的检测方式包括:基本信息扫描;操作系统扫描;开放服务端扫描;OS漏洞扫描;数据库扫描;端口扫描;所述仿木马入侵具体为通过采用无害木马对网站的各个端口点进行入侵,对网站防火墙进行入侵。
4.根据权利要求2所述的一种网站漏洞在线评估方法及装置,其特征在于:所述网站体系架构缺陷信息包括:操作系统;数据库、服务程序等;关键数据备份和系统维护措施。
5.根据权利要求1所述的一种网站漏洞在线评估方法及装置,其特征在于:所述获取漏洞信息模块具体包括;失效身份认证、隐私账户信息认证、安全配置错误信息、漏洞脚本信息、已知漏洞组件信息、不安全反序列化漏洞、被攻击端口信息、SQL注入攻击漏洞、防护设备/措施缺陷信息、Web服务程序、数据库服务信息。
6.根据权利要求1所述的一种网站漏洞在线评估方法及装置,其特征在于:所述仿木马入侵的具体步骤为:
步骤一:对情报收集并进行分析;
步骤二:开始对网站服务器各端口以及防火墙等进行入侵攻击;
步骤三:提升权限;
步骤四:清理入侵痕迹。
7.根据权利要求6所述的一种网站漏洞在线评估方法及装置,其特征在于:所述步骤一的具体方式为:用扫面器或者人工的对服务器的状态进行探知,获得服务器类型、服务器版本、服务器的网络布局、服务器上开启的端口号、服务器上运行的服务及其版本、网站的网页脚本类型、脚本版本等信息。最后根据以上信息判断该服务器可能存在的漏洞。
8.根据权利要求6所述的一种网站漏洞在线评估方法及装置,其特征在于:所述步骤二的具体方式为:根据步骤一收集到的漏洞信息开始对网站服务器发动攻击;具体步骤为:S1登陆服务器上开启的服务并猜测该服务的密码;S2根据服务获得相应的服务器操作权限以及根据所存在的溢出漏洞进行溢出攻击或者跟据网页脚本上的漏洞进行网页渗透。
9.根据权利要求6所述的一种网站漏洞在线评估方法及装置,其特征在于:所述步骤三的具体方式为:利用步骤二获得的权限获得跟服务器使用权限的操纵。其实方法根据不同的入侵路径其中包括:通过windows服务器获得服务器系统盘的读写权;获得system权限并建立自己的隐藏管理员用户;留下后门或木马;获得root权限。
10.根据权利要求1所述的一种网站漏洞在线评估方法及装置,其特征在于:所述具体步骤为;
步骤一:首先通过自身检测模块对网站自身的参数进行检测,并生产漏洞参数信息,同时通过仿木马入侵模块对网站进行攻击,并及时收集相关的植入点信息;
步骤二:通过仿木马入侵后并且根据是否获得其网站的权限进行整理并其相关权限的重要性为后续评估风险等级做出一定的风险判断,然后根据仿木马是否在网站的相关重要位置植入相关木马做出一定的程度的风险判断;木马入侵后进行清理其入侵路径信息,通过对入侵路径清理的程度为再为后续评估提供判断信息;
步骤三:接收来自自身检测中网站基本信息的扫描、操作系统信息的扫描、以及网站中开放服务端的扫描同时对网站的OS漏洞的扫描和数据库信息和网端口的扫描,对木马入侵植入点参数信息进行获取,然后再将所获得的两种入侵参数进行对比,判断自身漏洞参数和仿木马植入点漏洞参数是否相同,若自身检测与木马入侵两种方式均未取得相关的漏洞参数信息则直接进入到最后的等级评估阶段,若自身检测与木马入侵两种方式所取得的漏洞参数以及漏洞端口等相同则进入到漏洞等级的分类然后在根据具体漏洞等级的分类所对应的风险等级再进入到后续的风险评估中;
步骤四:根据系统自身检测漏洞参数以及仿木马入侵后得到的入侵端口重要性以及网站核心位置和仿木马植入点位置通后续入侵路径的清理程度等做出最后综合评估。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010547937.6A CN111695121B (zh) | 2020-06-16 | 2020-06-16 | 一种网站漏洞在线评估方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010547937.6A CN111695121B (zh) | 2020-06-16 | 2020-06-16 | 一种网站漏洞在线评估方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111695121A true CN111695121A (zh) | 2020-09-22 |
CN111695121B CN111695121B (zh) | 2023-08-11 |
Family
ID=72481371
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010547937.6A Active CN111695121B (zh) | 2020-06-16 | 2020-06-16 | 一种网站漏洞在线评估方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111695121B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
CN105227559A (zh) * | 2015-10-13 | 2016-01-06 | 南京联成科技发展有限公司 | 一种积极的自动检测http攻击的信息安全管理框架 |
-
2020
- 2020-06-16 CN CN202010547937.6A patent/CN111695121B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808093A (zh) * | 2010-03-15 | 2010-08-18 | 北京安天电子设备有限公司 | 一种对web安全进行自动化检测的系统和方法 |
CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
CN105227559A (zh) * | 2015-10-13 | 2016-01-06 | 南京联成科技发展有限公司 | 一种积极的自动检测http攻击的信息安全管理框架 |
Also Published As
Publication number | Publication date |
---|---|
CN111695121B (zh) | 2023-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6996845B1 (en) | Internet security analysis system and process | |
CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
CN106982194A (zh) | 漏洞扫描方法及装置 | |
CN107046526A (zh) | 基于Fuzzing算法的分布式异构网络漏洞挖掘方法 | |
CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
CN101894230A (zh) | 一种基于静态和动态分析技术的主机系统安全评估方法 | |
Rocha et al. | Etssdetector: A tool to automatically detect cross-site scripting vulnerabilities | |
CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
Vibhandik et al. | Vulnerability assessment of web applications-a testing approach | |
KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
Qasaimeh et al. | Black box evaluation of web application scanners: Standards mapping approach | |
CN113987504A (zh) | 一种网络资产管理的漏洞检测方法 | |
CN109145585A (zh) | 一种检测网站存在弱口令的方法及装置 | |
CN105721406A (zh) | 一种获取ip黑名单的方法和装置 | |
Almotairi et al. | A technique for detecting new attacks in low-interaction honeypot traffic | |
CN108965327A (zh) | 检测系统漏洞的方法、装置、计算机设备以及存储介质 | |
Zukran et al. | Performance comparison on SQL injection and XSS detection using open source vulnerability scanners | |
CN113901475A (zh) | 一种针对工控终端设备的输入验证漏洞的模糊挖掘方法 | |
Deeptha et al. | Website Vulnerability Scanner | |
CN112765611A (zh) | 一种越权漏洞检测方法、装置、设备及存储介质 | |
CN111695121A (zh) | 一种网站漏洞在线评估方法及装置 | |
CN116318783A (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
CN113553571B (zh) | 一种终端设备可信度度量方法及装置 | |
CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
Kahtan et al. | Evaluation dependability attributes of web application using vulnerability assessments tools |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 1802, 18th Floor, Gaoxun Building, No. 416 Huanshi East Road, Yuexiu District, Guangzhou City, Guangdong Province, 510095 Patentee after: Guangzhou Runyang Information Technology Co.,Ltd. Country or region after: China Address before: 1701, Gaoxun Building, No. 416-3 Huanshi East Road, Yuexiu District, Guangzhou City, Guangdong Province, 510060 Patentee before: Guangzhou Anhong Network Technology Co.,Ltd. Country or region before: China |