针对WEB扫描器漏洞实现减少漏报及误报情形的系统及其
方法
技术领域
[0001] 本
发明涉及信息安全检测领域,尤其涉及WEB安全检测领域,具体是指一种针对WEB 扫描器漏洞实现减少漏报及误报情形的系统及其方法。
背景技术
[0002] 互联网的应用已经极为普遍,政府和企业的办公越来越多的依靠网络,并且这种依靠变的越来越紧密。由于WEB应用系统的易用性,使政府和企业在
电子办公上更倾向于使用 WEB应用系统,它所承载的政府企业形象、网上购物、
银行交易、虚拟社区、
虚拟货币等服务已经无所不在。互联网
网站也已成为各种社会组织普遍采用的对外宣传、对内办公工具。
[0003] 截至2018年6月底,中国网站总量达到544万余个,同比年度净增长约10.8万个。网站的功能由传统的信息发布平台正在向对外服务平台转化,网站的作用已经变得举足轻重。
[0004] 在网站为组织带来利益和便利的同时,伴随而来的是很多单位因网站安全防护不足导致遭受攻击,甚至造成巨额经济损失和不良社会影响。可以说,互联网网站安全问题不仅关系到企业形象,还会直接或间接对业务连续性造成影响。网站安全形势变得越来越险峻,如何快速高效的发现网站中存在的漏洞已经成为摆在每一个网站主体面前急需解决的问题。目前安全市场中有众多的漏洞检测工具,不同的产品在针对同一网站进行扫描时产生的结果不尽相同,那么一个可以确保被检测网站可经过多维度的全面检测,避免单一扫描器的漏报与误报,确保网站高效运维的多引擎扫描器网站安全监测平台就成为了当务之急。
[0005] 针对此状况,常见的作法是利用安全市场中品类繁杂的漏洞扫描器进行扫描。然而,因多数扫描器可能侧重点不一样,功能偏一,存在较多误报漏报,效率低下,给网站主体验证工作带来较大核对成本。为了解决这一问题,我们设计和实现了一种减少WEB扫描器漏洞漏报和误报的系统和方法,一键触发扫描,自动归集扫描结果,在多个扫描器扫描结果的
基础之上,利用筛选方法进一步提练,最终获取一份准确率较高的漏洞扫描结果。通过该方法,快速综合了多个扫描器的扫描结果,结果更全面,并且结果进行提练,提高了网站运维效率,有效提升了管理
水平。
发明内容
[0006] 本发明的目的是克服了上述
现有技术的缺点,提供了一种运维效率高、成本低、结构简单的
针对WEB扫描器漏洞实现减少漏报及误报情形的系统及其方法。
[0007] 为了实现上述目的,本发明的针对WEB扫描器漏洞实现减少漏报及误报情形的系统及其方法如下:
[0008] 该针对WEB扫描器漏洞实现减少漏报及误报情形的系统,其主要特点是,所述的系统包括:
[0009] 多扫描器联动扫描模
块,用于实现触发多扫描器扫描WEB
站点,并自动归集扫描结果;
[0010] 漏洞结果筛选模块,与所述的多扫描器联动扫描模块相连接,用于通过设置漏洞筛选规则,动态过滤漏洞多扫描结果.
[0011] 较佳地,所述的多扫描器联动扫描模块包括:
[0012] 网站管理单元,用于对待扫描网站信息进行添加、
修改、查询和删除;
[0013] 网站扫描单元,与所述的网站管理单元相连接,用于实现扫描功能的启动、暂停和关闭。
[0014] 较佳地,所述的漏洞结果筛选模块包括:
[0015] 归一漏洞库单元,与所述的多扫描器联动扫描模块相连接,用于获取导出各引擎漏洞,将漏洞库导出并进行编号,生成去除重复归一漏洞后并集的归一漏洞库;
[0016] 筛选规则单元,与所述的归一漏洞库单元相连接,用于设置二级筛选规则;
[0017] 网站漏洞筛选单元,与所述的筛选规则单元相连接,用于根据筛选规则,自动将多扫描器扫描完成后归集的结果进行筛选。
[0018] 该基于上述系统实现针对WEB扫描器漏洞的减少漏报及误报情形的处理方法,其主要特点是,所述的方法包括以下步骤:
[0019] (1)所述的多扫描器联动扫描模块触发多扫描器扫描WEB站点;
[0020] (2)所述的多扫描器联动扫描模块自动将扫描结果归集;
[0021] (3)所述的漏洞结果筛选模块通过设置漏洞筛选规则,动态过滤漏洞多扫描结果。
[0022] 较佳地,所述的步骤(1)具体包括以下步骤:
[0023] (1.1)所述的多扫描器联动扫描模块制定触发多扫描器扫描WEB站点的API
接口标准;
[0024] (1.2)所述的多扫描器联动扫描模块根据触发多扫描器扫描API接口标准代理适配各扫描器接口;
[0025] (1.3)所述的多扫描器联动扫描模块根据统一标准接口下发网站数据至各扫描器。
[0026] 较佳地,所述的步骤(1.2)可代替为以下步骤:
[0027] (1.2-1)各扫描器按照标准触发多扫描器扫描API接口实现下发功能。
[0028] 较佳地,所述的步骤(2)具体包括以下步骤:
[0029] (2.1)所述的多扫描器联动扫描模块制定归集多扫描器扫描WEB站点结果的API接口标准;
[0030] (2.2)所述的多扫描器联动扫描模块根据归集多扫描器扫描WEB站点结果API接口标准代理适配各扫描器接口;
[0031] (2.3)所述的多扫描器联动扫描模块定期归集多扫描器扫描WEB站点结果直到取到扫描结果停止。
[0032] 较佳地,所述的步骤(2.2)可代替为以下步骤:
[0033] (2.2-1)各扫描器按照标准归集多扫描器扫描WEB站点结果API接口实现下发功能。
[0034] 较佳地,所述的步骤(3)具体包括以下步骤:
[0035] (3.1)所述的漏洞结果筛选模块汇总归集的漏洞数据;
[0036] (3.2)所述的漏洞结果筛选模块设置筛选规则过滤。
[0037] 较佳地,所述的步骤(3.1)具体包括以下步骤:
[0038] (3.1.1)所述的漏洞结果筛选模块将每个扫描器中的漏洞库导出分别进行编号,将彼此相同的漏洞进行归一编号,生成去除重复归一漏洞后并集的漏洞库;
[0039] (3.1.2)所述的漏洞结果筛选模块将多扫描器联动扫描模块归集的漏洞与归一漏洞库进行对应,记录归一漏洞编号;
[0040] (3.1.3)所述的漏洞结果筛选模块汇总归集的漏洞数据以归一漏洞编号进行汇总,记录漏洞名称、等级、归一漏洞编号以及扫出该漏洞的引擎。
[0041] 较佳地,所述的步骤(3.2)具体包括以下步骤:
[0042] (3.2.1)所述的漏洞结果筛选模块定义二级筛选规则对归一漏洞进行筛选;
[0043] (3.2.2)所述的漏洞结果筛选模块判断是否存在定制筛选规则,如果是,则采用定制筛选规则筛选后,筛选结束;否则,采用全避筛选规则筛选。
[0044] 较佳地,所述的步骤(3.2.1)中定义的二级筛选规则包括全局筛选规则和定制筛选规则。
[0045] 采用了本发明的针对WEB扫描器漏洞实现减少漏报及误报情形的系统及其方法,可以实现触发多扫描器联动一键触发调度扫描,自动将扫描结果归集,并将漏洞结果进行筛选等功能,提供了WEB扫描场景所需的主要功能,做到了减少漏洞漏报和误报,降低了网站运营成本,具有广泛的应用范围。
附图说明
[0046] 图1为本发明的针对WEB扫描器漏洞实现减少漏报及误报情形的系统的结构图。
[0047] 图2为本发明的实现针对WEB扫描器漏洞的减少漏报及误报情形的处理方法的操作步骤示意图。
具体实施方式
[0048] 为了能够更清楚地描述本发明的技术内容,下面结合具体
实施例来进行进一步的描述。
[0049] 本发明的该针对WEB扫描器漏洞实现减少漏报及误报情形的系统,其中包括:
[0050] 多扫描器联动扫描模块,用于实现触发多扫描器扫描WEB站点,并自动归集扫描结果;
[0051] 漏洞结果筛选模块,与所述的多扫描器联动扫描模块相连接,用于通过设置漏洞筛选规则,动态过滤漏洞多扫描结果.
[0052] 作为本发明的优选实施方式,所述的多扫描器联动扫描模块包括:
[0053] 网站管理单元,用于对待扫描网站信息进行添加、修改、查询和删除;
[0054] 网站扫描单元,与所述的网站管理单元相连接,用于实现扫描功能的启动、暂停和关闭。
[0055] 作为本发明的优选实施方式,所述的漏洞结果筛选模块包括:
[0056] 归一漏洞库单元,与所述的多扫描器联动扫描模块相连接,用于获取导出各引擎漏洞,将漏洞库导出并进行编号,生成去除重复归一漏洞后并集的归一漏洞库;
[0057] 筛选规则单元,与所述的归一漏洞库单元相连接,用于设置二级筛选规则;
[0058] 网站漏洞筛选单元,与所述的筛选规则单元相连接,用于根据筛选规则,自动将多扫描器扫描完成后归集的结果进行筛选。
[0059] 本发明的该基于上述系统实现针对WEB扫描器漏洞的减少漏报及误报情形的处理方法,其中包括以下步骤:
[0060] (1)所述的多扫描器联动扫描模块触发多扫描器扫描WEB站点;
[0061] (1.1)所述的多扫描器联动扫描模块制定触发多扫描器扫描WEB站点的API接口标准;
[0062] (1.2)所述的多扫描器联动扫描模块根据触发多扫描器扫描API接口标准代理适配各扫描器接口;
[0063] (1.2-1)各扫描器按照标准触发多扫描器扫描API接口实现下发功能;
[0064] (1.3)所述的多扫描器联动扫描模块根据统一标准接口下发网站数据至各扫描器;
[0065] (2)所述的多扫描器联动扫描模块自动将扫描结果归集;
[0066] (2.1)所述的多扫描器联动扫描模块制定归集多扫描器扫描WEB站点结果的API 接口标准;
[0067] (2.2)所述的多扫描器联动扫描模块根据归集多扫描器扫描WEB站点结果API接口标准代理适配各扫描器接口;
[0068] (2.2-1)各扫描器按照标准归集多扫描器扫描WEB站点结果API接口实现下发功能;
[0069] (2.3)所述的多扫描器联动扫描模块定期归集多扫描器扫描WEB站点结果直到取到扫描结果停止;
[0070] (3)所述的漏洞结果筛选模块通过设置漏洞筛选规则,动态过滤漏洞多扫描结果;
[0071] (3.1)所述的漏洞结果筛选模块汇总归集的漏洞数据;
[0072] (3.1.1)所述的漏洞结果筛选模块将每个扫描器中的漏洞库导出分别进行编号,将彼此相同的漏洞进行归一编号,生成去除重复归一漏洞后并集的漏洞库;
[0073] (3.1.2)所述的漏洞结果筛选模块将多扫描器联动扫描模块归集的漏洞与归一漏洞库进行对应,记录归一漏洞编号;
[0074] (3.1.3)所述的漏洞结果筛选模块汇总归集的漏洞数据以归一漏洞编号进行汇总,记录漏洞名称、等级、归一漏洞编号以及扫出该漏洞的引擎;
[0075] (3.2)所述的漏洞结果筛选模块设置筛选规则过滤;
[0076] (3.2.1)所述的漏洞结果筛选模块定义二级筛选规则对归一漏洞进行筛选;
[0077] (3.2.2)所述的漏洞结果筛选模块判断是否存在定制筛选规则,如果是,则采用定制筛选规则筛选后,筛选结束;否则,采用全避筛选规则筛选。
[0078] 作为本发明的优选实施方式,所述的步骤(3.2.1)中定义的二级筛选规则包括全局筛选规则和定制筛选规则。
[0079] 本发明的具体实施方式中,本发明涉及一种减少WEB扫描器漏洞漏报和误报的系统,其中包含多扫描器联动扫描模块和漏洞结果筛选模块。所述的多扫描器联动扫描模块用以实现触发多扫描器扫描WEB站点,做到一键触发,多扫描器全调度扫描,并自动将扫描结果归集。所述漏洞结果筛选模块用以通过设置漏洞筛选规则,动态过滤漏洞多扫描结果,减少漏报和误报。本发明还涉及一种实现减少WEB扫描器漏洞漏报和误报的方法。
[0080] 本发明公开了一种减少WEB扫描器漏洞漏报和误报的系统和方法。其结构简单,应用方便,具有广泛的使用价值。
[0081] 实现方法是将每个引擎中的漏洞库导出分别进行编号,并将彼此相同的漏洞进行归一编号,生成一份去除重复归一漏洞后并集的漏洞库,漏洞信息中包含漏洞名称、漏洞类型、漏洞等级等信息,基于建立的评判
算法对多个引擎扫描漏洞结果进行评判,最终筛选出一份准确率高的漏洞扫描结果,提高网站运维效率,缩减成本。
[0082] 为了实现上述目的,本发明的减少WEB扫描器漏洞漏报和误报的系统及方法具有如下构成:
[0083] 该减少WEB扫描器漏洞漏报和误报的系统,其主要特点是,所述的系统包含:
[0084] 多扫描器联动扫描模块,用以实现触发多扫描器扫描WEB站点,做到一键触发,多扫描器全调度扫描,并自动将扫描结果归集。
[0085] 漏洞结果筛选模块,用以通过设置漏洞筛选规则,动态过滤漏洞多扫描结果,减少漏报和误报。
[0086] 该减少WEB扫描器漏洞漏报和误报的方法,所述的方法包含以下步骤:
[0087] (1)所述的多扫描器联动扫描模块实现触发多扫描器扫描WEB站点,做到一键触发,多扫描器全调度扫描,并自动将扫描结果归集。
[0088] (2)所述的漏洞结果筛选模块,用以通过设置漏洞筛选规则,动态过滤漏洞多扫描结果,减少漏报和误报。
[0089] 所述的多扫描器联动扫描模块实现触发多扫描器扫描WEB站点,做到一键触发,多扫描器全调度扫描,包含以下步骤:
[0090] (11)所述的多扫描器联动扫描模块制定触发多扫描器扫描WEB站点的API接口标准。
[0091] (12)所述的多扫描器联动扫描模块根据触发多扫描器扫描API接口标准代理适配各扫描器接口。
[0092] (13)所述的多扫描器联动扫描模块根据统一标准接口一键下发网站数据到各扫描器
[0093] 所述多扫描器联动扫描模块根据触发多扫描器扫描API接口标准代理适配各扫描器接口,可代替为:
[0094] 各扫描器按照标准触发多扫描器扫描API接口实现下发功能。
[0095] 所述多扫描器联动扫描模块根据API接口标准代理适配各扫描器接口,具体内容如下:
请求参数:
[0096]
[0097]
[0098] 其中biz_content业务数据json格式如下:
[0099]字段名 类型 意义 必填 描述
siteUrl String 漏扫网站地址 是 示例:https://www.abc.gov.cn siteName String 漏扫网站名称 是 某地政府官网
extendParam String 附加参数 否 附加参数
busiNO String 唯一编号 是 示例:xazx-scan-0001
[0100] 所述的多扫描器联动扫描模块自动将扫描结果归集,具体步骤如下:
[0101] (14)所述的多扫描器联动扫描模块制定归集多扫描器扫描WEB站点结果的API接口标准。
[0102] (15)所述的多扫描器联动扫描模块根据归集多扫描器扫描WEB站点结果API接口标准代理适配各扫描器接口。
[0103] (16)所述的多扫描器联动扫描模块定期归集多扫描器扫描WEB站点结果直到取到扫描结果停止。
[0104] 更佳的,所述的多扫描器联动扫描模块根据归集多扫描器扫描WEB站点结果API接口标准代理适配各扫描器接口,可代替为:
[0105] 各扫描器按照标准归集多扫描器扫描WEB站点结果API接口实现下发功能。
[0106] 更佳的,所述多扫描器联动扫描模块根据归集多扫描器扫描WEB站点结果API接口标准代理适配各扫描器接口,具体内容如下:
[0107] 返回结果:
[0108]
[0109] 正确返回data时json格式如下:
[0110]
[0111] 其中result格式如下:
[0112]字段名 类型 意义 必填 描述
id string id 是 扫描器漏洞id
title string 标题 是 漏洞名称
type string 漏洞类型 是 类型
serverity string 漏洞级别 是 1低2中3高
cveId String CVE标识 否
desc string 漏洞描述 否
repair string 修复建议 否
refer string 参考 否
detail string 详情 否
risk string
风险 否
[0113] 所述的漏洞结果筛选模块,用以通过设置漏洞筛选规则,动态过滤漏洞多扫描扫描结果,减少漏报和误报。包含以下步骤:
[0114] (21)所述的漏洞结果筛选模块汇总归集的漏洞数据。
[0115] (22)所述的漏洞结果筛选模块设置筛选规则过滤。
[0116] 所述的漏洞结果筛选模块汇总归集的漏洞数据,包含以下步骤:
[0117] (211)所述的漏洞结果筛选模块将每个扫描器中的漏洞库导出分别进行编号,并将彼此相同的漏洞(同一CVE编号)进行归一编号,生成一份去除重复归一漏洞后并集的漏洞库,漏洞信息中包含漏洞名称、漏洞类型、漏洞等级等信息;
[0118] (212)所述的漏洞结果筛选模块将多扫描器联动扫描模块归集的漏洞与归一漏洞库进行对应,记录归一漏洞编号。
[0119] (213)所述的漏洞结果筛选模块汇总归集的漏洞数据以归一漏洞编号进行汇总,记录漏洞名称、等级、归一漏洞编号以及扫出该漏洞的引擎。
[0120] 所述的漏洞结果筛选模块设置筛选规则过滤,包含以下步骤:
[0121] (221)所述的漏洞结果筛选模块定义二级筛选规则对归一漏洞进行筛选:全局筛选规则和定制筛选规则;
[0122] (222)所述的漏洞结果筛选模块判断是否存在定制筛选规则,存在则采用定制筛选规则筛选后,筛选结束。
[0123] (223)所述的漏洞结果筛选模块判断是否存在定制筛选规则,不存在则采用全避筛选规则筛选后,筛选结束。
[0124] 所述的漏洞结果筛选模块定义二级筛选规则:全局筛选规则和定制筛选规则,可确定为:
[0125] 全局筛选规则定义如下:
[0126] 如果漏洞等级为高危,则至少存在一个引擎扫出即可判定存在该漏洞。即F(n)≥N1 (N1=1);
[0127] 如果漏洞等级为中危,则需要至少有两个引擎扫出才可判定存在该漏洞。即F(n)≥N2 (N2=2);
[0128] 如果漏洞等级为中危,则需要至少有三个引擎扫出才可判定存在该漏洞。即F(n)≥N3 (N3=3);
[0129] 其中N1、N2、N3值可根据引擎数目实际使用中动态调整。
[0130] 定制筛选规则定义如下:
[0131] 定制筛选规则我们又称为为必要规则,用来指明必需为某一个或者两个或者更多引擎扫出才可判定存在该漏洞。我们采用一个位数与引擎个数相同的二进制数来代表对个引擎必需与否进行定义说明。每一个二进行位对应对一个引擎的描述,如果该位数值为1,则代表必需该引擎扫描出才可判定可能存该漏洞,如果该位数值为0,则代表该引擎扫描结果不作参考。只有所有位值为1的对应引擎都扫描出该漏洞才可判定确实存在该漏洞。
[0132]
[0133] 定制筛选规则是附选项,可以定义也可以不定义,全局规则必需定义。但是如果定义了定制筛选规则,则优先级会高于全局筛选规则。定制筛选规则筛选后不用再执行全局筛选规则。
[0134] 为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
[0135] 本发明搭建了一套WEB漏洞检测平台。依据现有商用或者免费大多数WEB漏洞扫描器对误报、漏报的容忍程度比较低的一些特点,从检测扫描数据下发,漏洞结果收集以及漏洞结果筛选进行一体化实现,提供WEB漏洞扫描所需的主要功能,及时高效的发现WEB 站点存在的漏洞问题,进而为行业提供服务,指导和敦促相关企业改进信息安全能
力,满足实用性要求。
[0136] 该系统用于依据漏洞库集可检测WEB网站常用SQL注入、XSS、CSRF等常见漏洞,以及包含了常用WEB站点使用
框架的漏洞,如WORDPRESS、常用CMS等。主要包含如下功能:
[0137] WEB网站多扫描器联动扫描:实现扫描WEB站点的管理,将添加的WEB站点一键式触发分发到多个扫描器扫描,并将扫描结果定期归集,直到获取到结果数据为止。
[0138] WEB网站漏洞结果筛选:对归一漏洞库进行管理,获取导出各扫描器漏洞,并依据CVE 标识归一多个扫描器漏洞库。对归一漏洞库建立全局筛选规则,并可对特定归一漏洞建立定制筛选规则。依据筛选规则可将WEB站点归集的多扫描器漏洞过滤,取长补短,归集漏报漏洞,并排除大部分可能为误报的漏洞。
[0139] 如图1所示为实现了一种减少WEB网站漏洞漏报和误报的系统结构图。
[0140] 检测主机采用HTTP协议或者FTP等多种协议将扫描请求分发到多个扫描器上,各扫描器基于自己引擎对WEB站点进行扫描,扫描完成后,检测主机会将扫描结果归集。通过筛选规则对归集结果筛选,生成检测报告。
[0141] 系统包括如下两个模块:
[0142] (1)WEB网站多扫描器联动扫描模块,具有如下功能:
[0143] WEB网站管理,实现待扫描网站信息的添加、修改、查询和删除。
[0144] WEB网站扫描,实现扫描功能的启动、暂停和关闭。启动扫描后,将一键将扫描请求分发到多个扫描器,扫描完成后自动将扫描结果归集。
[0145] (2)WEB网站漏洞筛选模块,具有如下功能:
[0146] 导入归一漏洞库:获取导出各引擎漏洞,将每个扫描器中的漏洞库导出分别进行编号,并将彼此相同的漏洞(同一CVE编号)进行归一编号,生成一份去除重复归一漏洞后并集的归一漏洞库,漏洞信息中包含漏洞名称、漏洞类型、漏洞等级等信息,并将其导入系统。
[0147] 筛选规则设定:可设置二级筛选规则,全局规则和定制规则,全局规则对所有漏洞生效,可对特定归一漏洞设置定制规则,定制规则只对特定漏洞生效,如果匹配了定制规则,则全局规则失效。
[0148] WEB网站漏洞筛选:根据筛选规则,自动将WEB网站多扫描器扫描完成后归集的结果进行筛选。实现减少漏洞漏报及误报的目的。
[0149] 采用了本发明的针对WEB扫描器漏洞实现减少漏报及误报情形的系统及其方法,可以实现触发多扫描器联动一键触发调度扫描,自动将扫描结果归集,并将漏洞结果进行筛选等功能,提供了WEB扫描场景所需的主要功能,做到了减少漏洞漏报和误报,降低了网站运营成本,具有广泛的应用范围。
[0150] 在此
说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
