面向敏感信息检测的Web综合漏洞扫描器实现吕宝路梁景普欧翰琪陈涛摘要：互联网的开放性和自由性使得黑客更容易获取到敏感信息，造成网络安全问题的发生。企业通常利用Web扫描器实现安全评估检测，但是这些传统扫描器检测重点为常见安全漏洞类型，如SQL注入、XSS攻击、文件上传等，对于敏感信息的检测程度不足。为此，该文将以传统Web安全扫描器为基础，以加强检测企业敏感信息为目的，采用主机存活判断、端口扫描、指纹识别和漏洞扫描技术实现面向敏感信息检测的Web综合漏洞扫描器，用于扫描易于暴露的敏感信息及网站中可能存在的安全漏洞。同时实现了最新漏洞消息推送功能，最终生成安全报告供开发人员修复使用，有效保障Web应用的安全性。关键词：敏感信息泄露;漏洞扫描;python扫描器;漏洞推送;安全工具中图分类号：TP399文献标识码：A文章编号：1009-3044（2020）23-0030-03Abstract：TheopennessandfreedomoftheInternetmakeiteasierforhackerstoobtainsensitiveinformationandcausenetworksecurityproblems.Enterprisesusuallyusewebscannerstoimplementsecurityassessmentdetection，butthesetraditionalscannersfocusoncommontypesofsecurityvulnerabilities，suchasSQLinjection，XSSattack，fileupload，etc.，whicharenotenoughforsensitiveinformationdetection.Therefore，basedonthetraditionalwebsecurityscanner，aimingatstrengtheningthedetectionofenterprisesensitiveinformation，thispaperuseshostsurvivaljudgment，portscanning，fingerprintidentificationandvulnerabilityscanningtechnologytorealizethewebcomprehensivevulnerabilityscannerforsensitiveinformationdetection，whichisusedtoscansensitiveinformationthatiseasytobeexposedandthepossiblesecurityvulnerabilitiesinthewebsite.Atthesametime，itrealizesthelatestvulnerabilitymessagepushfunction，andfinallygeneratesasecurityreportfordeveloperstorepairanduse，whicheffectivelyguaranteesthesecurityofwebapplications.Keywords：sensitiveinformationdisclosure;vulnerabilityscanning;pythonscanner;vulnerabilitypush;securitytools1引言随着互联网的发展，越来越多的行业融入互联网，以互联网平台为媒介与用户交流，导致企业资产易于从外部访问[1]。在企业迅速发展的过程中，业务面临着越来越多，越来越复杂的局面，用户的权益和信息价值相应也越来越高，企业面临的安全挑战就越来越大，敏感信息泄露的问题需要得到重视。敏感信息（或敏感数据）是指不当使用或未经授权被人接触或修改后，会产生不利于国家和组织的负面影响和利益损失，或不利于个人依法享有的个人隐私的所有信息，常见的敏感信息有，姓名、身份证号码、住址、电话等[2]。由于互联网的易访问性，黑客可以较为容易得获取敏感信息。与此同时，由于企业员工安全防护意识不足[3]（只注重实现功能而忽略了开发组件中的一些易于泄露的接口等），开发代码频繁迭代，忽略了信息的脱敏处理导致信息泄露的安全风险层出不穷[4]。安全事件发生后，造成了用户对企业的不信任，给企业的形象和价值构成巨大的影响，企业还会面临严重的财务、法律或问责风险。安全事件频发的根本原因，大多数是因为一些账号密码等敏感信息易于泄露的问题。所以企业加强信息安全保护建设已刻不容缓，加强敏感信息的检测至关重要。通常企业会利用安全扫描器自动地检查Web应用程序的安全弱点和风险，而现有的安全扫描器主要检测目标为Web应用程序中常见的安全漏洞类型，忽视了互联网发展带来的新型业务安全漏洞威胁。同时当有重大安全漏洞出现时，企业获取信息预警较慢，对已知漏洞的了解低于黑客，这个时间差提升了企业易受攻击的风险，传统扫描器不具备此预警功能。为此，本文提出了面向企业敏感信息检测的Web综合型漏洞扫描器的实现，包含对传统漏洞SQL注入，XSS攻击这两类高频出现漏洞[5]的检测功能，还有面向企业敏感信息检测功能，通过插件利用已知脚本检测网站漏洞，并具备CVE（漏洞披露）信息推送功能，提升Web掃描器检测水平。2系统设计...