【技术实现步骤摘要】
一种漏洞检测方法及系统
[0001]本专利技术涉及网络安全
,特别地涉及一种漏洞检测方法及系统。
技术介绍
[0002]在信息时代,网络信息安全始终是企业和个人关心的头等大事。无论是硬件、软件还是协议,当其存在缺陷或系统安全策略不足时,则形成漏洞,攻击者利用漏洞在未经授权时即可访问或破坏系统,导致信息系统受到木马、蠕虫病毒的攻击或控制、数据泄露、数据被篡改、删除等等,从而给个人和企业带来不可估量的损失,尤其是一些互联网企业,为了保证线上业务的正常运行,保护用户信息的安全,通常配有安全工程师对线上业务进行漏洞的安全检测,以发现漏洞,并及时通知相关部门进行修复。目前,大部分的安全工程师采用风险扫描器,基于安全测试项目文档进行人工测试。但是这种安全检测模式面临以下问题:
[0003]第一、人为因素影响大。由于安全工程师的工作状态、安全知识储备、对于测试项目的理解等因素,无法保证安全测试策略得到很好地执行以及待检测业务功能的全量覆盖。另外,不同业务可能采用不同开发框架,如原生PHP模式、基于MVC框架的自编写模式、第三方框架模式等等,不同开发框架具有不同的测试策略,因而需要安全工程师针对项目的开发框架加载对应的测试策略,但是在实际操作过程中,安全工程师不一定会对此进行关注,导致安全测试策略加载错误进行无效检测。
[0004]第二、检测工具的效能有待提高。目前安全测试流程中常用的自动化应用风险扫描器如Appscan、绿盟极光等仅能覆盖一些简单的基于请求响应模型的安全风险,无法覆盖权限类安全漏洞及需要交互如 ...
【技术保护点】
【技术特征摘要】
1.一种漏洞检测方法,其中需要检测的多种漏洞分为初始化漏洞组和运行态漏洞组,运行态漏洞组根据校验类型分为多个不同的漏洞组,各个漏洞组对应相应的检测策略,所述方法包括:获取测试端浏览器发送给测试目标的请求对功能点进行测试的镜像数据包;解析所述镜像数据包,获取到本次请求的去除参数的URL、参数及参数值;基于所述镜像数据包,依次对初始化漏洞组中的每个漏洞按照对应的检测策略进行初始化漏洞检测;以及依据每一运行态漏洞组的校验类型,基于所述镜像数据包及其解析结果构造自动测试请求数据包,对该漏洞组中的一个或多个漏洞按序执行粗粒度检测;在粗粒度检测出现疑似风险时,依据对应的检测策略进行细粒度检测或结果校验,以对疑似风险进行确认或排除。2.根据权利要求1所述的方法,其中运行态漏洞组的校验类型包括请求响应校验型、替换请求响应校验型、登录凭证替换校验型、响应内容校验型和请求重放校验型中的一种或多种;其中,当漏洞组的校验类型为响应内容校验型和请求重放校验型时,以原始镜像数据包作为所述自动测试请求数据包;当漏洞组的校验类型为请求响应校验型时,在镜像数据包中增加1
‑
5个测试用例以构成所述自动测试请求数据包;当漏洞组的校验类型为替换请求响应校验型时,将镜像数据包中的参数值替换为1
‑
5个测试用例以构成所述自动测试请求数据包;当漏洞组的校验类型为登录凭证替换校验型时,将镜像数据包中的用户认证凭证分别替换为不同级别用户的认证凭证以构成多个所述自动测试请求数据包。3.根据权利要求1所述的方法,其中在粗粒度检测出现疑似风险时,查询所述漏洞的检测策略,响应于所述检测策略中设置的测试条件没有限制进行细粒度检测;响应于所述检测策略中设置的测试条件及校验机制执行相应的结果校验。4.根据权利要求3所述的方法,其中所述的细粒度检测包括:变更自动测试请求数据包中的测试用例,基于新的自动测试请求数据包按照对应校验类型的检测策略进行一次或多次检测。5.根据权利要求3所述的方法,所述校验机制包括依据功能点URL标识字段中相应标识内容的标记状态进行校验;其中所述URL标记字段中的标识内容包括对账户权限、信息存储、上传功能、敏感功能和用户私有功能,标记状态为“是”或“否”。6.根据权利要求5所述的方法,其中在进行结果校验时,对于权限类漏洞,响应于URL标记字段中的账户权限的标记为“否”时,排除所述疑似风险。7.根据权利要求6所述的方法,其中在进行结果校验时,对于未授权访问漏洞,开启爬虫引擎使用未登录帐户抓取所述功能点链接,对于垂直越权漏洞开启爬虫引擎使用普通帐户抓取所述功能点链接;以及在抓取到所述功能点链接时,排除所述疑似风险。8.根据权利要求7所述的方法,进一步包括:响应于爬虫引擎抓取到所述功能点链接,且所述功能点URL标记字段中的账户权限未标记,将所述功能点URL标记字段中的账户权限标记为“否”。
9.根据权利要求6所述的方法,其中在进行结果校验时,对于水平越权漏洞,响应于URL标记字段中的账户权限的标记为“是”,查询用户私有功能的标记;以及响应于用户私有功能的标记为“是”确认所述疑似风险,响应于用户私有功能的标记为“否”排除所述疑似风险。10.根据权利要求5所述的方法...
【专利技术属性】
技术研发人员:马弘煜,周世芹,杨向勇,
申请(专利权)人:前锦网络信息技术上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。