CN115225342B - 漏洞扫描方法、装置、系统、电子装置和存储介质 - Google Patents

漏洞扫描方法、装置、系统、电子装置和存储介质 Download PDF

Info

Publication number
CN115225342B
CN115225342B CN202210743323.4A CN202210743323A CN115225342B CN 115225342 B CN115225342 B CN 115225342B CN 202210743323 A CN202210743323 A CN 202210743323A CN 115225342 B CN115225342 B CN 115225342B
Authority
CN
China
Prior art keywords
operation information
scanning
login
vulnerability
vulnerability scanning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210743323.4A
Other languages
English (en)
Other versions
CN115225342A (zh
Inventor
金海俊
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202210743323.4A priority Critical patent/CN115225342B/zh
Publication of CN115225342A publication Critical patent/CN115225342A/zh
Application granted granted Critical
Publication of CN115225342B publication Critical patent/CN115225342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)

Abstract

本申请涉及一种漏洞扫描方法、装置、系统、电子装置和存储介质,其中,该漏洞扫描方法包括:获取待处理的多个登录扫描插件,其中所述登录扫描插件包括至少一个操作信息;基于所述多个登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息;对若干个所述操作信息进行分类;将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描。通过本申请,解决了相关技术中存在的登录扫描方式的扫描耗时过长的问题,实现了降低漏洞扫描时间,提高了漏洞扫描效率的效果。

Description

漏洞扫描方法、装置、系统、电子装置和存储介质
技术领域
本申请涉及计算机安全领域,特别是涉及一种漏洞扫描方法、装置、系统、电子装置和存储介质。
背景技术
漏洞扫描分为远程扫描和登录扫描,登录扫描的结果可信度更高,所以应用场景较为广泛,但结合目前各安全厂商的实现来看,登录扫描执行时间较长,登录协议拓展较难,目前漏洞扫描器登录扫描的问题大致如下:
1、漏洞扫描器对目标设备进行登录扫描时,需要调用多个登录扫描插件,数量级可能在千百个,其中很多的登录扫描插件进行了登录操作,导致漏洞扫描器与目标设备之间存个多个登录链接,不仅使得网络负载高,而且进行多次登录也导致扫描耗时变长。
2、多个登录扫描插件中执行的操作有重复,例如登录扫描插件A执行了a类操作拿到了结果a,登录扫描插件B执行了a和b类操作拿到了结果a和b;因此重复执行a类操作使得相同的结果多次回传到漏洞扫描器,进而导致扫描耗时变长。
3、如果同种登录协议新增登录策略,开发人员需要单独编写一个登录策略X,登录时新增调用X的逻辑;登录扫描的目标设备通常为Windows系统或者Linux系统,两者有各自支持的协议,如果新增Windows系统的登录协议Y,需要将Windows系统已有的登录协议Z所属的所有登录策略改写成Y,无法做到框架化简单添加。
针对相关技术中存在的登录扫描方式的扫描耗时过长的问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种漏洞扫描方法、装置、系统、电子装置和存储介质,以解决相关技术中存在的登录扫描方式的扫描耗时过长的问题。
第一个方面,在本实施例中提供了一种漏洞扫描方法,所述方法包括:
获取待处理的多个登录扫描插件,其中所述登录扫描插件包括至少一个操作信息;
基于所述多个登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息;
对若干个所述操作信息进行分类;
将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描。
在其中的一些实施例中,所述若干个操作信息包括多个登录操作信息;
所述将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描包括:
将所述多个登录操作信息进行合并,并通过合并后的登录操作信息登录所述目标设备。
在其中的一些实施例中,所述若干个操作信息包括多个扫描操作信息;
所述将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描包括:
将同类型的所述扫描操作信息合并发送至待扫描的目标设备;
获取所述目标设备回传的操作结果,其中所述操作结果为所述目标设备根据合并后的扫描操作信息执行相应操作而生成的。
在其中的一些实施例中,所述基于所述多个登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息包括:
建立用于存储所述若干个操作信息的数据表;
从所述多个登录扫描插件中获取所述若干个操作信息,根据预设的存储规则将所述若干个操作信息存储在所述数据表中。
在其中的一些实施例中,所述方法还包括:
获取新的登录扫描插件;
从所述新的登录扫描插件中获取新的操作信息,根据预设的存储规则将所述新的操作信息存储在所述数据表中。
在其中的一些实施例中,所述方法还包括:
当所述登录扫描插件需要修改时,在所述数据表中修改与待修改的登录扫描插件相对应的操作信息。
第二个方面,在本实施例中提供了一种漏洞扫描系统,所述系统包括:漏洞扫描器和目标设备,所述漏洞扫描器用于对所述目标设备进行漏洞扫描;
所述漏洞扫描器用于执行上述第一个方面所述的漏洞扫描方法;
所述目标设备用于根据合并后的扫描操作信息执行相应操作生成操作结果,并将所述操作结果回传至所述漏洞扫描器,其中所述合并后的扫描操作信息由所述漏洞扫描器发送。
第三个方面,在本实施例中提供了一种漏洞扫描装置,所述装置包括:
插件获取模块,用于获取多个不同的登录扫描插件,其中所述登录扫描插件包括至少一个操作信息;
操作获取模块,用于基于所述多个不同的登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息;
操作分类模块,用于对若干个所述操作信息进行分类,以确定各个所述操作信息的类型;
操作合并模块,用于将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描。
第四个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的漏洞扫描方法。
第五个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的漏洞扫描方法。
与相关技术相比,在本实施例中提供的漏洞扫描方法,通过在对目标设备进行漏洞扫描之前,先从多个登录扫描插件中获取所有的操作信息,并将这些操作信息进行集合;然后对这些操作信息进行分类,将对应于相同扫描功能的相同操作信息进行合并,最后基于合并后的操作信息对目标设备进行漏洞扫描。解决了相关技术中存在的登录扫描方式的扫描耗时过长的问题,实现了降低漏洞扫描时间,提高了漏洞扫描效率的效果。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本实施例的漏洞扫描方法的终端的硬件结构框图。
图2是本实施例的漏洞扫描方法的流程图。
图3是现有技术中的漏洞扫描过程的示意图。
图4是本优选实施例中的漏洞扫描过程的示意图。
图5是本实施例的漏洞扫描装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的漏洞扫描方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的漏洞扫描方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
漏洞扫描分为远程扫描和登录扫描,登录扫描的结果可信度更高,所以应用场景较为广泛。登录扫描系统一般由漏洞扫描器和被扫描的目标设备构成。漏洞扫描器与目标设备之间可以通过网络通信连接,漏洞扫描器通过登录扫描插件登录目标设备,并基于登录扫描插件对目标设备进行漏洞扫描。
在本实施例中提供了一种漏洞扫描方法,该漏洞扫描方法可以应用于上述由漏洞扫描器和目标设备构成的登录扫描系统中。下面以本实施例中的漏洞扫描方法应用在上述登录扫描系统为例对该漏洞扫描方法进行说明。图2是本实施例的漏洞扫描方法的流程图,如图2所示,该流程包括如下步骤:
步骤S210,获取待处理的多个登录扫描插件,其中登录扫描插件包括至少一个操作信息。
具体的,漏洞扫描器首先获取待处理的多个登录扫描插件,登录扫描插件也可以称为登录策略,是登录扫描过程中执行的脚本。登录扫描插件封装有登录目标设备、命令执行、注册表获取、漏洞匹配等功能,每个功能在登录扫描插件中对应着一个操作信息,即漏洞扫描器或是目标设备根据操作信息执行相应操作后,则可以实现相应的功能。
步骤S220,基于多个登录扫描插件生成操作信息组,其中操作信息组包括若干个操作信息。
具体的,漏洞扫描器从多个登录扫描插件中获取各个插件所携带的操作信息,并把这些操作信息进行集合。
步骤S230,对若干个操作信息进行分类。
具体的,漏洞扫描器对获取到的若干个操作信息进行分类。由于不同的登录扫描插件中可能包含相同的操作信息,因此在操作信息组中具有大量相同的操作信息。比如每个登录扫描插件一般都具有登录目标设备的功能,因此都会携带登录目标设备的操作信息;又比如很多登录扫描插件携带有获取注册表的操作信息。所以漏洞扫描器可以根据实现功能的不同对若干操作信息进行分类,将对应相同功能的操作信息视为同类型的操作信息。
步骤S240,将同类型的操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描。
具体的,漏洞扫描器将同类型的操作信息进行合并,比如将多个登录目标设备的操作信息进行合并,又或是将多个获取注册表的操作信息进行合并。最后基于合并后的操作信息对目标设备进行扫描。因此在漏洞扫描过程中,相同的扫描功能只会实现一次。比如登录目标设备的功能只会实现一次,进而避免了漏洞扫描器重复登录目标设备;又比如获取注册表的功能只会实现一次,进而避免漏洞扫描器重复从登录设备中获取注册表。
通过上述步骤,漏洞扫描器在对目标设备进行漏洞扫描之前,先从多个登录扫描插件中获取所有的操作信息,并将这些操作信息进行集合;然后对这些操作信息进行分类,将对应于相同扫描功能的相同操作信息进行合并,最后基于合并后的操作信息对目标设备进行漏洞扫描。相比于现有技术中直接根据多个登录扫描插件对目标设备进行扫描,避免了很多相同扫描功能的重复实现,每种相同的扫描功能只会实现一次,从而大大降低了漏洞扫描时间,提高了漏洞扫描效率。
在其中的一些实施例中,若干个操作信息包括多个登录操作信息;
步骤将同类型的操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描具体包括:
将多个登录操作信息进行合并,并通过合并后的登录操作信息登录目标设备。
具体的,登录操作信息用于实现登录目标设备,一般每个登录扫描插件中都携带有的登录操作信息。因此需要说明的是,在现有技术中,很多不同的登录扫描插件均会登录目标设备的操作,导致漏洞扫描器与目标设备之间存个多个登录链接,使得网络负载高,进行多次登录也导致漏洞耗时变长。而在本实施例中,漏洞扫描器将多个登录操作信息进行合并,因此漏洞扫描器只会根据合并后的登录操作信息与目标设备建立一个登录链接。进而降低了网络负载,以及缩短了漏洞扫描耗时。
在其中的一些实施例中,若干个操作信息包括多个扫描操作信息;
步骤将同类型的操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描具体包括:
将同类型的扫描操作信息合并发送至待扫描的目标设备;
获取目标设备回传的操作结果,其中操作结果为目标设备根据合并后的扫描操作信息执行相应操作而生成的。
具体的,扫描操作信息用于实现扫描目标设备,比如扫描操作信息对应命令执行、注册表获取、漏洞匹配等功能操作。漏洞扫描器将具有相同功能操作的扫描操作信息合并发送至目标设备中,目标设备根据这些扫描操作信息执行相应操作,并将操作结果回传给漏洞扫描器。需要说明的是,在现有技术中,漏洞扫描器是直接将所有的扫描操作信息分别发送至目标设备中,目标设备根据这些扫描操作信息分别执行相应操作。其中由于很多的扫描操作信息是相同的,所以目标设备会重复执行相同的操作,进而生成多个相同的执行结果重复回传至漏洞扫描器中,大大提高了漏洞扫描耗时。而在本实施例中,漏洞扫描器将相同的扫描操作信息合并发送至目标设备中,因此对于相同的扫描操作,目标设备只会根据合并后的扫描操作信息执行一次,相应的目标设备也只会回传一次相同的操作结果。下面以一个具体实例对上述步骤进行说明。
示例性地,目标设备为Windows系统,装有软件Google Chrome、Dameng数据库和Microsoft Edge浏览器。针对市面上Windows系统下安装的软件:登录扫描插件分为获取注册表、获取注册表后执行命令、获取注册表后解析文件这三种。
当采用现有技术中的漏洞扫描方法时:
登录扫描插件A为探测Google Chrome浏览器的版本,扫描操作信息为获取注册表,漏洞扫描器将获取注册表的扫描操作信息发送给目标设备,目标设备根据该扫描操作信息获取注册表(a类操作),然后向漏洞扫描器回传一次结果。
登录扫描插件B为探测Dameng数据库版本,扫描操作信息为获取注册表和执行命令,漏洞扫描器将获取注册表的扫描操作信息先发送给目标设备,目标设备根据扫描操作信息先获取注册表拿到软件安装的根目录路径(a类操作),然后向漏洞扫描器回传一次结果;在漏洞扫描器侧用回传的结果拼接命令,漏洞扫描器再将执行命令的扫描操作信息发送给目标设备,目标设备根据扫描操作信息执行拼接后的命令(b类操作),最后再回传一次结果。
登录扫描插件C为探测Microsoft Edge浏览器版本,扫描操作信息为获取注册表和解析二进制文件,漏洞扫描器将获取注册表的扫描操作信息先发送给目标设备,目标设备先获取注册表拿到软件安装的根目录路径(a类操作),然后向漏洞扫描器回传一次结果;在漏洞扫描器侧用回传的结果拼接软件对应二进制文件的绝对路径,漏洞扫描器再将解析二进制文件的扫描操作信息发送给目标设备,目标设备根据扫描操作信息解析二进制文件(c类操作),最后再回传一次结果。
通过分析上述示例可知,调用A、B、C三个登录扫描插件,目标设备共计回传5次执行结果,正常情况下调用的登录扫描插件可能成百上千个,如果A、B、C各100个,那么回传次数为500次。
当采用本实施例中的漏洞扫描方法时:
由于A、B、C三个登录扫描插件都要获取注册表,即目标设备都要根据扫描操作信息进行a类操作,那么漏洞扫描器将所有的获取注册表的扫描操作信息合并发送给目标设备,目标设备根据合并后的扫描操作信息将那么将A、B、C三个登录扫描插件中的a类操作一起执行,即只执行一次获取注册表的操作,然后第一次回传执行结果;同理目标设备再将所A、B、C中的b类操作一起执行,然后第二次回传执行结果......以此类推,目标设备执行完A、B、C三个登录扫描插件中的扫描操作只需要回传结果三次。而且,如果A、B、C三种登录扫描插件各100个,那么目标设备回传执行结果的次数仍为3次;因为相同的扫描操作会合并执行再回传执行结果,因此结果回传次数只与操作类型数量相关,而与登录扫描插件中的总操作次数无关。综上,本实施例中的技术方案与现有技术相比,大大减少了结果回传的次数,一定程度上减少了登录扫描耗时。
在其中的一些具体实施例中,步骤基于多个登录扫描插件生成操作信息组,其中操作信息组包括若干个操作信息具体包括:
建立用于存储若干个操作信息的数据表;
从多个登录扫描插件中获取若干个操作信息,根据预设的存储规则将若干个操作信息存储在数据表中。
具体的,本实施例中通过建立数据表的形式将提取出来的操作信息进行存储。进一步具体的,可以采用二维数据表,其中数据列的表头为操作信息,而数据行的表头为登录扫描插件。示例性地,该登录扫描插件数据表如表1所示:
表1登录扫描插件数据表
检测的软件 注册表项 二进制文件名 执行命令
登录扫描插件A Google Chrome *
登录扫描插件B Dameng数据库 * dmrman.exe --version
登录扫描插件C Microsoft Edge * msedge.exe
在其中的一些具体实施例中,漏洞扫描方法还包括如下步骤:
获取新的登录扫描插件;
从新的登录扫描插件中获取新的操作信息,根据预设的存储规则将新的操作信息存储在数据表中。
具体的,在现有技术中,当增加新的登录扫描插件时,由于每个登录扫描插件均是独立运行的,因此需要开发人员单独对该登录扫描插件进行脚本编写,同时需要新增调用该登录扫描插件的逻辑,因此在现有的漏洞扫描方法中新增登录扫描插件比较麻烦。在本实施例中的漏洞扫描方法中,当增加新的登录扫描插件时,将新的登录扫描插件中的操作信息提取出来,然后相应的存储在数据表中即可,此时这些新增的操作信息便可以和其他操作信息共同下发至目标设备中被执行,不需要再额外编写相应的运行脚本以及调用逻辑。
在其中的一些具体实施例中,漏洞扫描方法还包括如下步骤:
当登录扫描插件需要修改时,在数据表中修改与待修改的登录扫描插件相对应的操作信息。
具体的,在现有技术中,登录扫描插件基本都会加密,当客户环境登录扫描出现问题时,开发人员不易排查修改。举例说明,登录扫描插件A获取的注册表项如果需要修改,需要将登录扫描插件A解密,修改登录扫描插件A,再将登录扫描插件A加密。而在本实施例中的漏洞扫描方法中,登录扫描插件转成数据表的格式,只需修改数据表中的操作信息即可,直接在数据表中修改登录扫描插件A对应的注册表字段,因此开发人员更易维护。
本实施例中还提供了一种漏洞扫描系统,该系统包括:漏洞扫描器和目标设备,漏洞扫描器用于对目标设备进行漏洞扫描;
漏洞扫描器用于执行上述方法实施例中的任一种漏洞扫描方法;
目标设备用于根据合并后的扫描操作信息执行相应操作生成操作结果,并将操作结果回传至漏洞扫描器,其中合并后的扫描操作信息由漏洞扫描器发送。
具体的,本实施例中的漏洞扫描系统由漏洞扫描器和被扫描的目标设备构成,其中漏洞扫描器用于执行上述方法实施例中的任意一种漏洞扫描方法,主要是漏洞扫描器将各个登录扫描插件中的操作信息提取出来,并且相同的操作信息进行合并,通过合并后的登录操作信息仅登录一次目标设备,同时将合并后的扫描操作信息发送至目标设备,具体的步骤在方法实施例中已经详细说明,在此不再赘述。目标设备根据合并后的扫描操作信息执行相应操作并回传操作结果,由于相同的扫描操作信息被合并,因此目标设备也只会执行一次相同的扫描操作,且也只会向漏洞扫描器回传一次相同的扫描结果。因此本实施例中的漏洞扫描系统相比于现有的漏洞扫描系统,大大降低了目标设备回传执行结果的次数,从而大大提高了漏洞扫描耗时。
下面通过优选的具体实施例对本申请中的技术方案作进一步的说明。
在本优选实施例中的提供一种漏洞扫描方法。该优选的漏洞扫描方法包括如下内容:
将登录策略中的登录目标设备操作提取出来,放在登录策略的调用方内部,对于同一个目标设备避免多个登录策略多次登录,保证一个目标设备只登录一次,进而减少登录扫描耗时。
将登录策略内部的执行命令、获取注册表等操作分类,同一类操作合并执行,回传结果只回传一次。
示例性地,目标设备为Windows,装有软件Google Chrome,Dameng数据库,Microsoft Edge浏览器,针对市面上Windows系统下安装的软件:策略分为获取注册表、获取注册表后执行命令、获取注册表后解析文件这三种。图3是现有技术中的漏洞扫描过程的示意图。如图3所示,在现有技术中的扫描流程包括如下步骤:
步骤S310,登录扫描,漏洞扫描器端接收用户输入的的账户和密码。
步骤S320,登录策略调用,漏洞扫描器端开始调用各种登录策略对目标设备进行扫描。
步骤S330,调用登录策略A,登录策略A登录目标设备一次,登录策略A为探测Google Chrome浏览器的版本,方式是直接获取注册表,为a类操作,获取完回传结果结束,回传一次结果。
步骤S340,调用登录策略B,登录策略B登录目标设备一次,登录策略B为探测Dameng数据库版本,方式是先获取注册表拿到软件安装的根目录路径,为a类操作,回传一次结果,在漏洞扫描器侧用回传的结果拼接命令,执行拼接后的命令,为b类操作,再回传一次结果。
步骤S350,调用登录策略C,登录策略C登录目标设备一次,登录策略C为探测Microsoft Edge浏览器版本,方式是先获取注册表拿到软件安装的根目录路径,为a类操作,回传一次结果,在漏洞扫描器侧用回传的结果拼接软件对应二进制文件的绝对路径,解析二进制文件,为c类操作,再回传一次结果。
调用A、B、C三个登录策略共计回传5次,正常情况下调用的登录策略可能成百上千个,如果A、B、C各100个,那么回传次数为500次。
图4是本优选实施例中的漏洞扫描过程的示意图。如图4所示,在本优选实施例中的漏洞扫描过程包括如下步骤:
步骤S410,登录扫描,漏洞扫描器端接收用户输入的的账户和密码。
步骤S420,登录策略调用登录,漏洞扫描器合并执行各个登录策略中的登录目标设备操作,从而登录目标设备一次。
步骤S430,执行a操作,由于A、B、C三个登录策略都要获取注册表,即进行a类操作,那么本步骤中将A、B、C中的a类操作一起执行,回传第一次。
步骤S440,执行b操作,本步骤中将A、B、C中的b类操作一起执行,回传第二次。
步骤S450,执行c操作,本步骤中将A、B、C中的b类操作一起执行,回传第三次。
进而执行完A、B、C三个策略需要回传结果3次。如果A、B、C各100个,那么回传次数仍为3次。
综上,本优选的漏洞扫描方法与现有技术相比,大大减少了结果回传的次数,一定程度上减少了登录扫描耗时。
将登录策略内部的操作提取到数据表中,增加策略只需向数据表中插入数据,登录扫描时登录策略调用者只需读取数据表,收集到登录策略将要执行的操作,然后将分好类的操作依次向目标设备下发,无需再开辟多个进程空间执行登录策略,漏洞扫描器减少了资源消耗,扫描速度进而加快。
漏洞扫描器是一款商业产品,包括登录策略在内的代码基本都会加密,当客户环境登录扫描出现问题时,开发人员不易排查修改。举例说明,上述的登录策略A获取的注册表项如果需要修改,现有技术需要将登录策略A解密,修改登录策略A,再将登录策略A加密。登录策略如果转成数据表的格式,只需修改数据表内容,本优选实施例中直接在数据表中修改登录策略A对应的注册表字段,更易维护;添加登录策略也无需再开发脚本,将软件版本获取的方式写入数据表即可。本优选实施例中将Windows软件版本获取分为三类,即上文A、B、C三个登录策略,举例说明,该登录策略数据表如表2所示:
表2登录策略数据表
检测的软件 注册表项 二进制文件名 执行命令
登录策略A Google Chrome *
登录策略B Dameng数据库 * dmrman.exe --version
登录策略C Microsoft Edge * msedge.exe
通过上述优选实施例的说明可知,本申请中的漏洞扫描方法具有以下优点:
1、漏洞扫描器登录目标设备只登录了一次,漏洞扫描器和目标设备只建立了一个连接,网络负载低,扫描速度快。
2、本漏洞扫描方法将登录策略中执行的操作提取到数据表中,分步骤执行,已执行的同类操作不会执行第二次,减少了扫描时间。
3、本漏洞扫描方法将登录策略中执行的操作提取到数据表中,移除了大量登录策略脚本,添加登录策略时,只需向数据表中插入数据,不用再开发登录策略脚本程序,可拓展性强。
最后对本优选实施例中出现的一些专业名词进行解释。其中:
漏洞扫描器:是一种计算机程序或是装有该程序的计算机,旨在评估和发现计算机、网络或应用程序的已知弱点以及识别和检测防火墙、路由器、网络服务器、应用服务器等中由于错误配置或有缺陷的程序所产生的漏洞。
目标设备:指被漏洞扫描器扫描的主机。
登录协议:用来安全登录到远程计算机上,并进行信息访问的协议。
登录扫描:漏洞扫描器扫描方式的一种,需要用户预设目标设备的登录账号和密码,通过目标设备支持的登录协议登录目标设备,进而用执行命令、获取注册表等方式获取到目标设备安装的软件和对应的版本,最后用获取的软件和版本进行漏洞匹配。
登录策略:登录扫描过程中执行的脚本,封装登录目标设备、命令执行、注册表获取、漏洞匹配等功能。
在本实施例中还提供了一种漏洞扫描装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是本实施例的漏洞扫描装置的结构框图。如图5所示,该装置包括:插件获取模块510、操作获取模块520、操作分类模块530和操作合并模块540;其中:
插件获取模块510用于获取多个不同的登录扫描插件,其中登录扫描插件包括至少一个操作信息;
操作获取模块520用于基于多个不同的登录扫描插件生成操作信息组,其中操作信息组包括若干个操作信息;
操作分类模块530用于对若干个操作信息进行分类,以确定各个操作信息的类型;
操作合并模块540用于将同类型的操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描。
通过上述模块的配合,漏洞扫描装置在对目标设备进行漏洞扫描之前,先从多个登录扫描插件中获取所有的操作信息,并将这些操作信息进行集合;然后对这些操作信息进行分类,将对应于相同扫描功能的相同操作信息进行合并,最后基于合并后的操作信息对目标设备进行漏洞扫描。相比于现有技术中直接根据多个登录扫描插件对目标设备进行扫描,避免了很多相同扫描功能的重复实现,每种相同的扫描功能只会实现一次,从而大大降低了漏洞扫描时间,提高了漏洞扫描效率。
需要说明的是,该漏洞扫描装置进一步具体的运行原理在上述方法实施例中已经具体说明,在此不再赘述。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取待处理的多个登录扫描插件,其中登录扫描插件包括至少一个操作信息;
S2,基于多个登录扫描插件生成操作信息组,其中操作信息组包括若干个操作信息;
S3,对若干个操作信息进行分类;
S4,将同类型的操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的漏洞扫描方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种漏洞扫描方法。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种漏洞扫描方法,其特征在于,所述方法包括:
获取待处理的多个登录扫描插件,其中所述登录扫描插件包括至少一个操作信息;
基于所述多个登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息;
对若干个所述操作信息进行分类;
将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描;其中,在进行所述漏洞扫描的过程中,相同的扫描功能只会实现一次。
2.根据权利要求1所述的漏洞扫描方法,其特征在于,所述若干个操作信息包括多个登录操作信息;
所述将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描包括:
将所述多个登录操作信息进行合并,并通过合并后的登录操作信息登录所述目标设备。
3.根据权利要求1所述的漏洞扫描方法,其特征在于,所述若干个操作信息包括多个扫描操作信息;
所述将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描包括:
将同类型的所述扫描操作信息合并发送至待扫描的目标设备;
获取所述目标设备回传的操作结果,其中所述操作结果为所述目标设备根据合并后的扫描操作信息执行相应操作而生成的。
4.根据权利要求1至权利要求3中任一项所述的漏洞扫描方法,其特征在于,所述基于所述多个登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息包括:
建立用于存储所述若干个操作信息的数据表;
从所述多个登录扫描插件中获取所述若干个操作信息,根据预设的存储规则将所述若干个操作信息存储在所述数据表中。
5.根据权利要求4所述的漏洞扫描方法,其特征在于,所述方法还包括:
获取新的登录扫描插件;
从所述新的登录扫描插件中获取新的操作信息,根据预设的存储规则将所述新的操作信息存储在所述数据表中。
6.根据权利要求4所述的漏洞扫描方法,其特征在于,所述方法还包括:
当所述登录扫描插件需要修改时,在所述数据表中修改与待修改的登录扫描插件相对应的操作信息。
7.一种漏洞扫描系统,其特征在于,所述系统包括:漏洞扫描器和目标设备,所述漏洞扫描器用于对所述目标设备进行漏洞扫描;
所述漏洞扫描器用于执行权利要求1至权利要求6中任一项所述的漏洞扫描方法;
所述目标设备用于根据合并后的扫描操作信息执行相应操作生成操作结果,并将所述操作结果回传至所述漏洞扫描器,其中所述合并后的扫描操作信息由所述漏洞扫描器发送。
8.一种漏洞扫描装置,其特征在于,所述装置包括:
插件获取模块,用于获取多个不同的登录扫描插件,其中所述登录扫描插件包括至少一个操作信息;
操作获取模块,用于基于所述多个不同的登录扫描插件生成操作信息组,其中所述操作信息组包括若干个所述操作信息;
操作分类模块,用于对若干个所述操作信息进行分类,以确定各个所述操作信息的类型;
操作合并模块,用于将同类型的所述操作信息进行合并,并基于合并后的操作信息对目标设备进行漏洞扫描;其中,在进行所述漏洞扫描的过程中,相同的扫描功能只会实现一次。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至权利要求6中任一项所述的漏洞扫描方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至权利要求6中任一项所述的漏洞扫描方法的步骤。
CN202210743323.4A 2022-06-28 2022-06-28 漏洞扫描方法、装置、系统、电子装置和存储介质 Active CN115225342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210743323.4A CN115225342B (zh) 2022-06-28 2022-06-28 漏洞扫描方法、装置、系统、电子装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210743323.4A CN115225342B (zh) 2022-06-28 2022-06-28 漏洞扫描方法、装置、系统、电子装置和存储介质

Publications (2)

Publication Number Publication Date
CN115225342A CN115225342A (zh) 2022-10-21
CN115225342B true CN115225342B (zh) 2024-05-28

Family

ID=83610006

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210743323.4A Active CN115225342B (zh) 2022-06-28 2022-06-28 漏洞扫描方法、装置、系统、电子装置和存储介质

Country Status (1)

Country Link
CN (1) CN115225342B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109766697A (zh) * 2018-12-29 2019-05-17 武汉烽火技术服务有限公司 应用于Linux系统的漏洞扫描方法、存储介质、设备及系统
CN111104188A (zh) * 2019-11-11 2020-05-05 中盈优创资讯科技有限公司 漏洞扫描器的调度方法及装置
CN111770082A (zh) * 2020-06-24 2020-10-13 深圳前海微众银行股份有限公司 漏洞扫描方法、装置、设备及计算机可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109766697A (zh) * 2018-12-29 2019-05-17 武汉烽火技术服务有限公司 应用于Linux系统的漏洞扫描方法、存储介质、设备及系统
CN111104188A (zh) * 2019-11-11 2020-05-05 中盈优创资讯科技有限公司 漏洞扫描器的调度方法及装置
CN111770082A (zh) * 2020-06-24 2020-10-13 深圳前海微众银行股份有限公司 漏洞扫描方法、装置、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN115225342A (zh) 2022-10-21

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
JP6912469B2 (ja) アクセス要求変換方法および装置
CN110417766B (zh) 一种协议解析的方法和装置
US11907700B2 (en) Upgrading method and system, server, and terminal device
CN111193716B (zh) 业务数据调用方法、装置、计算机设备和存储介质
CN106484611B (zh) 基于自动化协议适配的模糊测试方法和装置
CN111782530B (zh) 一种远程调试方法、装置、系统、电子设备及存储介质
CN114172929B (zh) 通信方法、装置以及网关
CN115208951B (zh) 请求处理方法、装置、电子设备及计算机可读存储介质
CN113596832A (zh) 网络连接的建立方法、装置、存储介质及电子装置
CN113360301A (zh) 一种消息传输系统及方法
CN109492403B (zh) 一种漏洞检测方法及装置
CN112699034B (zh) 虚拟登录用户构建方法、装置、设备及存储介质
CN115225342B (zh) 漏洞扫描方法、装置、系统、电子装置和存储介质
CN114244758B (zh) 安卓平台的网络诊断方法、存储介质、电子设备及系统
CN112769845B (zh) 漏洞测试方法、装置、电子装置和计算机设备
CN114567678A (zh) 一种云安全服务的资源调用方法、装置及电子设备
US11636198B1 (en) System and method for cybersecurity analyzer update and concurrent management system
CN114357456A (zh) 一种安全防护能力检测系统、方法、装置、设备及介质
CN112632534A (zh) 一种恶意行为检测方法及装置
CN108288135B (zh) 系统兼容方法及装置、计算机可读存储介质及电子设备
CN110545256A (zh) 数据传输方法、系统、电子设备、中转服务器及存储介质
CN104573519A (zh) 文件扫描方法和系统
CN113271235B (zh) 网络流量的模糊测试方法、装置、存储介质及处理器
CN115525362B (zh) 基于操作系统内核参数调整平台的参数变更方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant