本發明公開了一種web漏洞檢測方法、系統、終端、計算機可讀存儲介質，屬于web漏洞檢測領域，要解決的技術問題為如何提供檢測范圍廣泛的安全漏洞工具。方法包括：端口掃描漏洞檢測，通過Nmap掃描軟件對端口遍歷；DNS域傳送漏洞檢測，通過本地域名解析服務器從DNS服務器中讀取DNS記錄；危險的HTTP請求方法漏洞檢測，對危險請求方法是否開啟進行判斷；跨站腳本攻擊漏洞檢測，對客戶端提交的數據進行過濾處理；Sql注入漏洞檢測，調用SQLmap測試工具進行檢測。系統包括：端口掃描漏洞檢測模塊、DNS域傳送漏洞檢測模塊、危險的HTTP請求方法漏洞檢測模塊、跨站腳本攻擊漏洞檢測模塊、Sql注入漏洞檢測模塊。

技術領域

本發明涉及web漏洞檢測技術領域，具體地說是一種web漏洞檢測方法、系統、終端、計算機可讀存儲介質。

背景技術

目前，隨著互聯網的發展，網站網頁中不可避免的存在一些漏洞和安全性問題。黑客通過這些漏洞和安全問題能夠達到獲取商業機密或者個人的一些較為秘密的信息等等，對公司和個人造成不可估計的損失，給互聯網信息的安全造成了威脅。

當前的Web應用漏洞掃描技術已相對成熟，例如Nikto、AWVS(Acunetix WebVulnerability Scanner)等，還有一些專注于某一方面的漏洞檢測工具，如sql注入檢測工具sqlmap等。各個工具都具有自己的長處，但是對于一個需要更加個性化的漏洞安全檢測，便自定義一個安全漏洞工具，通過利用各類工具的優點和長處，同時添加了一些自定義的漏洞判斷，對一些開源工具進行了一些細小的修改。同時對這些優秀的開源工具進行學習，更好的了解其工作原理，便于更好的使用和修改。

基于上述分析，如何提供一種檢測范圍廣泛的安全漏洞工具，是需要解決的技術問題。

發明內容

本發明的技術任務是針對以上不足，提供一種web漏洞檢測方法、系統、終端、計算機可讀存儲介質，來解決如何提供一種檢測范圍廣泛的安全漏洞工具的問題。

第一方面，本發明提供web漏洞檢測方法，包括：

端口掃描漏洞檢測，通過Nmap掃描軟件對端口遍歷，判斷端口是否開啟，對于開啟的端口進行漏洞檢測；

DNS域傳送漏洞檢測，以本地域名解析服務器作為DNS服務器的域名解析服務器，通過本地域名解析服務器從DNS服務器中讀取DNS記錄，根據本地域名解析服務器是否能夠讀取DNS記錄判斷DNS域的配置；

危險的HTTP請求方法漏洞檢測，對危險請求方法是否開啟進行判斷，檢測web服務器或者應用程序服務器是否收到危險攻擊；

跨站腳本攻擊漏洞檢測，對客戶端提交的數據進行過濾處理；

Sql注入漏洞檢測，調用SQLmap測試工具進行檢測。

作為優選，所述DNS域服務器分為主服務器、備份服務器和緩存服務器，主服務器和備份服務器之間同步數據庫，后備服務器從主服務器拷貝數據，并用得到的數據更新自身數據庫，如果DNS服務器配置不當，能夠導致匿名用戶獲取對應DNS域服務器的DNS記錄。

作為優選，所述HTTP方法包括但不限于PUT方法和DELETE方法，PUT方法和DELETE方法能夠造成在Web服務器上上載、修改或刪除Web頁面、腳本和文件，攻擊者通過PUT方法上傳webshell能夠導致服務器直接被攻擊控制，基于上述HTTP方法面臨的危險包括：

惡意攻擊者通過TRACE Method返回的信息了解到網站前端的相關信息，為下一步的攻擊提供便利；

惡意攻擊者通過TRACE Method進行XSS攻擊；

即使網站對關鍵頁面啟用了HttpOnly頭標記和禁止腳本讀取cookie信息，惡意攻擊者通過TRACE Method繞過限制讀取到cookie信息。