技术领域
[0001] 本实用新型涉及计算机网络安全技术领域,具体为一种Web漏洞扫描装置。
相关背景技术
[0002] 随着网络的普及,网络安全已成为Internet上的焦点。在享受Internet带来的好处的同时,也面临着一定程度的风险,因为Internet上存在很多的危险。随着安全扫描技术的发展,目前出现了许多不同种类的安全扫描器(系统)。安全扫描器主要包括网络型安全扫描器,但是目前的网络型安全扫描器构架一般都比较冗杂,从而忽略系统操作的灵活性,便利性和快捷性,以及使得用户操作、维护、管理这些系统很繁琐,而且系统检测的结果通常也不能满足不同用户的需求。实用新型内容
[0003] 本实用新型的目的在于提供一种Web漏洞扫描装置,以解决上述背景技术中提出的问题。
[0004] 为实现上述目的,本实用新型提供如下技术方案:
[0005] 一种Web漏洞扫描装置,包括:
[0006] 浏览器,连接到用户端,用于用户登录浏览;
[0007] Web服务器,与所述浏览器连接,用于为用户提供一个操作界面,设定扫描参数,提交给分布式主机,控制分布式主机进行扫描工作,同时,分布式主机返回的检测结果进行相应的显示、汇总和保存;
[0008] 分布式主机,与所述Web服务器连接,用于针对站点的规模分配适量的工作端进行扫描工作,并对目标机进行检测,并将结果和进程信息传回用户端显示并保存在用户端本地;
[0009] 目标机,与所述分布式主机相连,用于所述分布式主机进行扫描。
[0010] 优选的,所述分布式主机包括:
[0011] 前台主机,与所述Web服务器连接,用于负责与用户端交流;
[0012] 至少一组后台主机,与所述前台主机连接,用于负责处理前台递交的请求,完成扫描任务并将结果通过所述前台主机反馈给所述用户端;
[0013] 扫描服务器,与所述后台主机连接,用于后台主机根据递交请求驱动对目标机扫描。
[0014] 优选的,所述分布式主机还包括:
[0015] 后台服务器,与所述前台主机以及后台主机连接,用于实现前台主机与后台主机的通信连接,并记录存储通信数据。
[0016] 优选的,所述web漏洞扫描装置还包括:
[0017] 控制端接口,与所述Web服务器以及前台主机连接,用于实现Web服务器和前台主机串联通信;
[0018] 数据库,与所述Web服务器以及控制端接口连接,用于保存漏洞信息,并逐条给目标发送该信息,通过把返回信息与预先设定的返回信息和状态码进行匹配,进而获得目标返回的信息,以此判断目标机可能存在的漏洞。
[0019] 优选的,所述数据库包括于MySQL数据库、Libwhisker数据库以及GIS数据库。
[0020] 优选的,目标主机、目标服务器以及目标网络,其与所述扫描服务器连接。
[0021] 与现有技术相比,本实用新型的有益效果是:
[0022] 本实用新型,合法用户端的用户通过浏览器登录Web服务器后,添加、删除或修改端口扫描任务或漏洞扫描任务,这些信息被存储在数据库中,在后台运行的前台主机安装的服务监控程序和漏洞扫描程序定期到数据库中查看是否有到期需要执行的任务,执行到期的任务,前台主机负责与用户的交流工作,而后台主机主要负责处理前台递交的请求,通过扫描服务器终扫描目标机,完成扫描任务。然后将结果存储在数据库中,Web服务器从数据库中读取结果信息,经处理后以报表或图表的形式最终呈现给用户。
[0023] 本实用新型,系统构架简洁,用户只需要提交扫描的需求,Web服务器调用部署于系统中的分布式主机进行协同工作,扫描目标机站点,不但帮助用户节省了流量,而且利用系统的资源,更快、更高效地完成扫描任务,能满足不同用户的需求。
具体实施方式
[0027] 下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。
[0028] 实施例:
[0029] 请参阅图1至图3,本实用新型提供一种技术方案:
[0030] 一种Web漏洞扫描装置,主要由六个部分组成,分别包括如图1所示:
[0031] 1、用户端,系统的所有程序都在服务器端运行,所有的功能都可以通过 Web浏览器,在远程进行访问。2、Web服务器:Web服务器提供远程客户机利用浏览器进行访问,通过浏览器下载HTML页,利用CGI脚本程序完成对整个系统的管理,如负责授权用户登录,进行数据库管理(制定扫描任务,维护 Web用户账户,维护扫描策略,维护扫描目标集,维护扫描服务器集,查询扫描结果等),更新漏洞插件,控制和显示扫描任务的状态等。它主要由用户管理、参数设置模块、任务管理模块、报告管理模块、插件管理模块等部分组成,此为现有技术,此处不详述。3、控制端接口:连接分布式主机端,发送扫描任务文件和扫描任务操作指令,获取(分布式主机)扫描服务器扫描任务状态和扫描结果,把任务状态和结果存入数据库。4、分布式主机,包括扫描服务器,它的主要功能是接收和执行前台主机的指令,如接收到扫描请求,就会根据扫描策略调用漏洞扫描插件进行外部扫描和模拟入侵,将扫描结果信息返回给前台主机。5、数据库:数据库包含如下方面的信息:登录Web的用户账户信息,扫描任务信息,扫描策略信息,扫描目标集信息,扫描服务器集信息,漏洞插件信息,扫描结果信息等。它保存已知各类Web漏洞的渗透性的探测数据即攻击代码或信息获取代码,比如SQL注入攻击、跨站点脚本攻击、会话攻击或输入验证编码信息等,逐条给目标发送探测数据,通过把返回信息与预先设定的“返回信息”和状态码进行匹配,进而获得目标返回系统的健壮信息。采用数据库可实现对数据多样化的查询和维护。6、目标机,它包括目标主机、目标服务器以及目标网络等,是扫描装置漏洞扫描的对象。
[0032] 本实用新型,使用了MySQL数据库作为数据库,它也支持远程的连接访问。Web服务器为用户提供一个操作界面,Web服务器工具使用Apache,数据库接口使用Adodb。
[0033] 本实用新型,主要由浏览器、前台主机作为扫描控制端和扫描服务器端组成的分布式网络漏洞扫描装置体系结构。扫描服务器被部署到网络的各个个逻辑子网中、由前台主机进行集中管理,可实现分布式网络漏洞扫描,所有用户操作通过浏览器来完成。具有灵活性、安全性和可扩展性的网络漏洞扫描的优点。前台主机内置主控程序,采用多线程处理方式,它接收用户端提交的(多个)用户指令后,再次利用多线程技术调用相关的插件脚本,利用渗透性测试对目标系统进行检测,并将结果和进程信息传回用户端显示并保存在用户端本地,以方便用户查看详细信息。
[0034] 本实用新型,分布式主机包括前台主机、后台服务器以及后台主机(集群,如2组,3组等,数量根据实际情况安装)和扫描服务器,分布式主机采用Map/Reduce的编程模式,它特别适用于处理大规模的数据集。其执行过程如图2所示:Map/Reduce有6个过程,可分为2个主要阶段。Map阶段:把一个较大的任务通过Map/Reduce函数分割为M个较小的子任务。然后配给多个工作组(被分配为执行Map操作的工作组)并行执行,输出处理后的中间文件;Reduce阶段:将Map阶段处理后的结果进行汇总分析处理,输出最后的结果:R个输出文件(R为Reduce任务的个数)。用户端提交的请求被一台前台主机接受,前台主机将请求交给几台后台主机,工作主机间互相通信确认分工,并最通过扫描服务器终扫描目标机。该系统的特别之处在于,它共享的不但是CPU资源,还有网络环境资源,大量处于不同网络环境的主机不但可以分解用户主机的网络负担,而且还能通过合理安排扫描任务来挑选网速快的主机,达到快捷的要求。
[0035] 本实用新型,在用户和后台服务器间添加了一个前台主机:前台主机负责与用户的交流工作,而后台主机主要负责处理前台递交的请求,完成扫描任务并将结果通过前台反馈给用户。在本系统(Web Trideamon)中,前台采用了BS模式,并引人用户机制,使用户在不需要安装除浏览器以外的任何软件就可以使用本系统的同时,能按需求对客户进行不同的服务,针对站点的规模分配适量的工作端进行扫描工作,不但节省了网络资源,而且有效减少系统成为拒绝服务攻击系统的可能性。同时,完善了按需求提供资源、按使用量付费、用户可以方便地参与、减少用户终端的处理负担、降低了用户对于IT 专业知识的依赖等功能。
[0036] 本实用新型,扫描工作原理是:合法用户端的用户通过浏览器登录Web 服务器后,添加、删除或修改端口扫描任务或漏洞扫描任务,这些信息被存储在数据库中,在后台运行的前台主机安装的服务监控程序和漏洞扫描程序定期到数据库中查看是否有到期需要执行的任务,执行到期的任务,前台主机负责与用户的交流工作,而后台主机主要负责处理前台递交的请求,通过扫描服务器终扫描目标机,完成扫描任务。然后将结果存储在数据库中,Web 服务器从数据库中读取结果信息,经处理后以报表或图表的形式最终呈现给用户。其工作流程如图3所示。
[0037] 本实用新型,系统构架简洁,用户只需要提交扫描的需求,Web服务器调用部署于系统中的分布式主机进行协同工作,扫描目标机站点,不但帮助用户节省了流量,而且利用系统的资源,更快、更高效地完成扫描任务,能满足不同用户的需求。
[0038] 本实用新型,其他未叙述的地方可与现有技术相同,其主机、服务器的型号以及内置运行的程序等均基于现有技术,本领域技术人员合理选择安装运行即可,在能够实现本装置运行的基础上可以灵活选择其他型号,此处不做详述。
[0039] 尽管已经示出和描述了本实用新型的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本实用新型的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本实用新型的范围由所附权利要求及其等同物限定。
