(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210965003.3 (22)申请日 2022.08.12 (71)申请人 平安健康保险股份有限公司 地址 200000 上海市徐汇区凯滨路16 6号B 座16楼 (72)发明人 顾天一　董元鹏　郑敏瑞　胡春辉　 陈辰柄　 (74)专利代理 机构 深圳国新 南方知识产权代理 有限公司 4 4374 专利代理师 艾青 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01) (54)发明名称 自动漏洞检测的方法、 装置、 系统、 设备和存 储介质 (57)摘要 本申请提出一种自动漏洞检测的方法、 装 置、 系统、 设备和存储介质， 该方法包括： 获取待 检测系统的登录数据， 其中， 登录数据包括登录 地址、 登录 账号、 登录密码和登录规则； 根据登录 地址模拟访问待检测系统的登录页面； 基于登录 账号和登录密码通过登录规则在登录页面执行 模拟登录操作； 若登录成功， 则获取登录后的授 权信息， 其中， 授权信息用于标识或验证登录账 号； 基于关键信息创建扫描任务， 并执行扫描任 务以对待检测系统进行漏洞检测， 其中， 关键信 息包括版本号、 登录地址和授权信息。 本申请通 过自动化获取授权信息实现了自动化漏洞检测。 权利要求书2页 说明书11页 附图2页 CN 115391784 A 2022.11.25 CN 115391784 A 1.一种自动漏洞检测的方法， 其特 征在于， 所述方法包括： 获取待检测系统的登录数据， 其中， 所述登录数据包括登录地址、 登录账号、 登录密码 和登录规则； 根据所述登录地址模拟访问所述待检测系统的登录页面； 基于所述登录账号和登录密码通过 所述登录规则在所述登录页面执 行模拟登录操作； 若登录成功， 则获取登录后的授权信 息， 其中， 所述授权信 息用于标识或验证所述登录 账号； 基于关键信息创建扫描任务， 并执行所述扫描任务以对所述待检测系统进行漏洞检 测， 其中， 所述关键信息包括所述待检测系统的版本号、 所述登录地址和所述登录账号、 登 录密码及所述授权信息 。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述登录账号和登录密码通过所 述登录规则在所述登录页面执 行模拟登录操作， 包括： 对所述登录页面进行文字识别， 定位所述登录页面的输入框； 将所述登录账号和登录密码分别填入所述登录页面对应的输入框中； 定位所述登录页面中用于指示登录的目标按 钮； 触发所述目标按 钮以请求登录 。 3.根据权利要求2所述的方法， 其特征在于， 在所述定位所述登录页面中用于指示登录 的目标按 钮之前， 所述方法还 包括： 获取所述登录页面的验证方式； 根据所述验证方式从所述登录规则中确定目标验证规则； 根据所述目标验证规则定位并操作所述登录页面中的验证组件， 执 行模拟验证操作。 4.根据权利要求3所述的方法， 其特征在于， 所述根据所述目标验证规则 定位并操作 所 述登录页面中的验证组件， 执 行模拟验证操作， 包括： 若所述验证方式为短信验证， 则 基于短信验证规则 定位所述登录页面中的短信验证组 件， 将短信接 收端的短信填写信息填入所述短信验证组件的短信信息输入框中， 以调用所 述待检测系统的短信验证接口请求获取短信验证码， 从所述短信接收端获取所述待检测系 统提供的短信验证码， 其中， 所述短信验证码是所述待检测系统通过所述短信填写信息发 送给所述短信接 收端的， 将所述短信验证码填入所述短信验证组件的验证码输入框中， 其 中， 所述登录数据还 包括短信填写信息； 若所述验证方式为图形验证码验证， 则 基于图形验证码规则 定位所述登录页面中的图 形验证码图片， 对所述图形验证码图片进行图片文字识别， 将识别到的文字依序填入所述 验证码输入框中； 若所述验证方式为滑块验证， 则基于滑块验证规则调用selenium模拟对滑块的拖动行 为， 以进行滑块验证。 5.根据权利要求3所述的方法， 其特 征在于， 所述获取 所述登录页面的验证方式， 包括： 爬取所述待检测系统的验证接口； 根据所述验证接口 的类型确定所述登录页面的验证方式。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取所述待检测系统的检测状态；权　利　要　求　书 1/2 页 2 CN 115391784 A 2若所述检测状态指示所述扫描任务异常， 则向测试人员发送携带异常信息的异常告 警。 7.一种自动漏洞检测的系统， 其特征在于， 所述自动漏洞检测的系统包括漏洞检测相 关数据提供平台和漏洞检测平台； 所述漏洞检测相关数据提供平台， 用于获取待检测系统 的登录数据， 其中， 所述登录数 据包括登录地址、 登录账号、 登录密码和登录规则， 根据所述登录地址模拟访问所述待检测 系统的登录页面， 基于所述登录账号和登录密码通过所述登录规则在所述登录页面执行模 拟登录操作， 若登录成功， 则获取登录后的授权信息， 其中， 所述授权信息用于标识或验证 所述登录账号， 将所述待检测系统的关键信息提供 给所述漏洞检测平台； 所述漏洞检测平台， 用于基于所述关键信 息创建扫描任务， 调用漏洞检测工具， 利用所 述漏洞检测工具执行所述扫描任务以对所述待检测系统进行漏洞检测， 其中， 所述关键信 息包括所述待检测系统的版本号、 所述登录地址和所述登录账号、 登录密码及所述授权信 息。 8.一种自动漏洞检测的装置， 其特 征在于， 所述装置包括： 第一数据获取模块， 用于获取待检测系统 的登录数据， 其中， 所述登录数据包括登录地 址、 登录账号、 登录密码和登录规则； 页面访问模块， 用于根据所述登录地址模拟访问所述待检测系统的登录页面； 模拟登录模块， 用于基于所述登录账号和登录密码通过所述登录规则在所述登录页面 执行模拟登录操作； 授权信息获取模块， 用于若登录成功， 则获取登录后的授权信息， 其中， 所述授权信息 用于标识或验证所述登录账号； 信息提供模块， 用于基于关键信息创建扫描任务， 并执行所述扫描任务以对所述待检 测系统进 行漏洞检测， 其中， 所述关键信息包括所述待检测系统的版本号、 所述登录地址和 所述登录账号、 登录密码及所述授权信息 。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机可读指 令， 其特征在于， 所述处理器执行所述计算机可读指 令时执行如权利要求 1‑6任 一项所述的自动漏洞检测的方法的步骤。 10.一种计算机可读存储介质， 所述计算机可读存储介质上存储有计算机可读指令， 其 特征在于， 所述计算机可读指 令被处理器执行时， 使 得所述处理器执行如权利要求 1‑6任一 项所述的自动漏洞检测的方法的步骤。权　利　要　求　书 2/2 页 3 CN 115391784 A 3