亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法及安全檢測(cè)裝置制造方法

文檔序號(hào):7811461閱讀:314來(lái)源:國(guó)知局
一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法及安全檢測(cè)裝置制造方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法和安全檢測(cè)裝置,其目的在于提供一種通過(guò)本地檢測(cè)和云端檢測(cè)的雙重檢測(cè)且安全性能高的Web應(yīng)用系統(tǒng)的安全檢測(cè)方法和安全檢測(cè)裝置,屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】。該檢測(cè)方法包括本地安全檢測(cè)、云端安全檢測(cè)和滲透測(cè)試三個(gè)步驟對(duì)Web應(yīng)用系統(tǒng)進(jìn)行安全檢測(cè)。本發(fā)明用于Web應(yīng)用系統(tǒng)的安全檢測(cè)。
【專(zhuān)利說(shuō)明】—種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法及安全檢測(cè)裝置

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法及檢測(cè)裝置,用于Web應(yīng)用系統(tǒng)的安全檢測(cè),屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】。

【背景技術(shù)】
[0002]在Internet大眾化及Web技術(shù)飛速發(fā)展的今天,Web已經(jīng)對(duì)商業(yè)、教育、政府和娛樂(lè)及我們的工作和生活產(chǎn)生了深遠(yuǎn)影響,相應(yīng)地,基于Web的應(yīng)用程序已經(jīng)有了很大的市場(chǎng)。伴隨著信息化建設(shè)的不斷深入,Web應(yīng)用系統(tǒng)已日益成熟,Web應(yīng)用系統(tǒng)平臺(tái)已經(jīng)在電子政務(wù)、電子商務(wù)等領(lǐng)域得到廣泛的應(yīng)用,以協(xié)同工作環(huán)境、社會(huì)性網(wǎng)絡(luò)服務(wù)以及托管應(yīng)用程序?yàn)榇淼腤eb技術(shù),在很大程度上改變了人們溝通、交流和工作的方式。但由于目前程序員的安全性普遍比較差,編程入門(mén)門(mén)檻低,程序員的疏忽等問(wèn)題,造成了編寫(xiě)的代碼存在大量的安全漏洞,因而這些新技術(shù)在給商業(yè)活動(dòng)的發(fā)展帶來(lái)便利的同時(shí),也帶來(lái)了前所未有的巨大安全風(fēng)險(xiǎn)。伴隨著在線(xiàn)信息和服務(wù)的可用性的提升,以及對(duì)Web應(yīng)用系統(tǒng)的攻擊和破壞頻率的增長(zhǎng),安全風(fēng)險(xiǎn)達(dá)到了前所未有的高度。
[0003]由于Web應(yīng)用系統(tǒng)的重要性及其所面臨的安全威脅的嚴(yán)峻形勢(shì),為了提高Web應(yīng)用系統(tǒng)的安全性,采用技術(shù)手段對(duì)Web應(yīng)用系統(tǒng)進(jìn)行安全檢測(cè)是必須的。安全檢測(cè)可以發(fā)現(xiàn)Web應(yīng)用系統(tǒng)中的安全問(wèn)題和潛在的安全威脅,提高Web應(yīng)用系統(tǒng)的安全性,為國(guó)家、企業(yè)、個(gè)人等Web應(yīng)用系統(tǒng)的使用者提供安全保障。基于Web應(yīng)用系統(tǒng)的系統(tǒng)測(cè)試與傳統(tǒng)的軟件測(cè)試既有相同之處,也有不同的地方,對(duì)軟件測(cè)試提出了新的挑戰(zhàn)?;赪eb應(yīng)用系統(tǒng)的系統(tǒng)測(cè)試不但需要檢查和驗(yàn)證該應(yīng)用是否按照設(shè)計(jì)的要求運(yùn)行,而且還要評(píng)價(jià)系統(tǒng)在不同用戶(hù)的終端(瀏覽器)的顯示是否合適。重要的是,還要從最終用戶(hù)的角度進(jìn)行安全性和可用性的測(cè)試。
[0004]目前Web應(yīng)用系統(tǒng)常用的安全檢測(cè)有白盒測(cè)試和黑盒測(cè)試。白盒檢測(cè)技術(shù)經(jīng)過(guò)多年的發(fā)展,眾多基于該技術(shù)的檢測(cè)工具被應(yīng)用于Web應(yīng)用系統(tǒng)的白盒檢測(cè)工作中,如fortify、CodeSecure、Ounce Security、Analyst等;黑盒檢測(cè)技術(shù)直接對(duì)接口進(jìn)行功能性測(cè)試,其測(cè)試結(jié)果具有較高的準(zhǔn)確度,可以在很大程度上輔助研究人員對(duì)Web應(yīng)用系統(tǒng)的安全問(wèn)題進(jìn)行分析和確定,從而提高Web應(yīng)用系統(tǒng)的安全性。目前,很多基于黑盒檢測(cè)技術(shù)的工具、系統(tǒng)被應(yīng)用于Web應(yīng)用系統(tǒng)的安全檢測(cè)中,包括IBM的AppScan、HP的ffeblnspect, OffASP的開(kāi)源項(xiàng)目WebScrab等。如申請(qǐng)?zhí)枮?01310028848.0的發(fā)明專(zhuān)利申請(qǐng)就公開(kāi)了一種白黑盒結(jié)合的Web應(yīng)用系統(tǒng)安全檢測(cè)方法,該申請(qǐng)的步驟為:對(duì)Web應(yīng)用系統(tǒng)進(jìn)行白盒測(cè)試;對(duì)胃必應(yīng)用系統(tǒng)進(jìn)行黑盒測(cè)試;通過(guò)K進(jìn)行文件關(guān)聯(lián);通過(guò)S進(jìn)行文件查找;整體結(jié)合測(cè)試。通過(guò)一定的測(cè)試流程,并引入文件關(guān)聯(lián)匹配技術(shù)K,實(shí)現(xiàn)Web應(yīng)用系統(tǒng)白黑盒測(cè)試結(jié)合。該發(fā)明專(zhuān)利申請(qǐng)雖解決了對(duì)Web應(yīng)用系統(tǒng)進(jìn)行白盒測(cè)試的高誤報(bào)率和黑盒測(cè)試的無(wú)法定位漏洞源代碼位置的問(wèn)題,但經(jīng)安全檢測(cè)后的Web應(yīng)用系統(tǒng)的安全性仍較低。


【發(fā)明內(nèi)容】

[0005]為解決上述技術(shù)問(wèn)題,本發(fā)明的目的在于提供一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法和檢測(cè)裝置,通過(guò)本地檢測(cè)和云端檢測(cè)的雙重檢測(cè),提高Web應(yīng)用系統(tǒng)的安全性能。
[0006]為實(shí)現(xiàn)上述目的,本發(fā)明的技術(shù)方案為:
[0007]一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其步驟包括:
[0008]步驟1、本地安全檢測(cè),先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,其次利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的代碼漏洞進(jìn)行警告標(biāo)記;
[0009]步驟2、云端安全檢測(cè),將Web應(yīng)用系統(tǒng)代碼的樣本上傳至云端服務(wù)器,Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比檢測(cè),檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記;
[0010]步驟3、滲透測(cè)試,采用滲透測(cè)試工具對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬攻擊,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,給出安全評(píng)估?艮告。
[0011]進(jìn)一步地,步驟I中所述代碼分析的過(guò)程包括先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行危險(xiǎn)函數(shù)檢測(cè),再對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行參數(shù)過(guò)濾檢查和身份驗(yàn)證檢查。
[0012]進(jìn)一步地,步驟I中所述代碼分析采用源代碼分析技術(shù),所述源代碼分析技術(shù)主要包括如下三步驟:
[0013]步驟3-1、先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行詞法分析和語(yǔ)法分析;
[0014]步驟3-2、然后采用數(shù)據(jù)流分析、狀態(tài)機(jī)系統(tǒng)、邊界檢測(cè)、數(shù)據(jù)類(lèi)型驗(yàn)證和控制流分析對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行模型分析;
[0015]步驟3-3、最后在各個(gè)接收點(diǎn)之間建立相應(yīng)的依賴(lài)關(guān)系圖,并根據(jù)該依賴(lài)關(guān)系圖判斷Web應(yīng)用系統(tǒng)代碼是否具有代碼漏洞。
[0016]進(jìn)一步地,云端安全檢測(cè)中Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行hash對(duì)比,檢測(cè)云端服務(wù)器是否存在與Web應(yīng)用系統(tǒng)代碼的樣本的基本塊相同的漏洞代碼。
[0017]進(jìn)一步地,步驟3 中滲透測(cè)試工具為 sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark中的一種或幾種的組合。
[0018]進(jìn)一步地,利用sqlmap工具對(duì)Web應(yīng)用系統(tǒng)中存在的檢測(cè)點(diǎn)進(jìn)行sql注入檢測(cè)并根據(jù)檢測(cè)結(jié)果發(fā)現(xiàn)Web應(yīng)用系統(tǒng)是否存在注入漏洞;利用xss-proxy工具或X-scan工具對(duì)Web應(yīng)用系統(tǒng)中易出現(xiàn)xss漏洞的模塊進(jìn)行xss漏洞檢測(cè)并根據(jù)檢測(cè)結(jié)果發(fā)現(xiàn)Web應(yīng)用系統(tǒng)是否存在xss漏洞。
[0019]一種Web應(yīng)用系統(tǒng)的安全檢測(cè)裝置,其特征在于:包括
[0020]本地安全檢測(cè)模塊,用于對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的代碼漏洞進(jìn)行警告標(biāo)記;
[0021]云端安全檢測(cè)模塊,用于將Web應(yīng)用系統(tǒng)代碼的樣本上傳至云端服務(wù)器,Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比檢測(cè),檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記;
[0022]滲透測(cè)試模塊,用于采用滲透測(cè)試工具對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬攻擊,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,給出安全評(píng)估報(bào)告。
[0023]進(jìn)一步地,滲透測(cè)試工具為sqlmap、xss-proxy、Nessus、 X-scan、Nmapλ Wireshark中的一種或幾種的組合。
[0024]進(jìn)一步地,還設(shè)有更新模塊,所述更新模塊用于更新預(yù)存在云端服務(wù)器上的缺陷基本塊、安全模塊和滲透測(cè)試工具。
[0025]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果在于:
[0026]1、本發(fā)明的安全檢測(cè)方法及安全檢測(cè)裝置通過(guò)本地安全檢測(cè)、云端安全檢測(cè)和滲透測(cè)試對(duì)Web應(yīng)用系統(tǒng)進(jìn)行多重檢測(cè),通過(guò)云端安全檢測(cè)將Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比,查找出Web應(yīng)用系統(tǒng)代碼的樣本中與缺陷基本塊相同的漏洞代碼,并進(jìn)行標(biāo)記,從而提高Web應(yīng)用系統(tǒng)代碼的漏洞,加強(qiáng)系統(tǒng)的安全性,減少系統(tǒng)被黑客成功攻擊的可能性,且易于對(duì)web漏洞進(jìn)行匯總和分析,并增強(qiáng)程序員的代碼安全意識(shí),引導(dǎo)程序員編寫(xiě)出更加安全的Web應(yīng)用代碼。
[0027]2、本發(fā)明的安全檢測(cè)方法及安全檢測(cè)裝置采用源代碼分析技術(shù)對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,可有效提高對(duì)Web應(yīng)用系統(tǒng)代碼的檢測(cè)效率和檢測(cè)效果,降低Web應(yīng)用系統(tǒng)代碼的漏洞缺陷。
[0028]3、利用滲透測(cè)試工具模擬黑客對(duì)web應(yīng)用進(jìn)行攻擊,在滲透測(cè)試過(guò)程中,WEB應(yīng)用程序可能會(huì)泄露一些不應(yīng)該被最終用戶(hù)看到的信息,并測(cè)試出相關(guān)的漏洞,從而提高Web應(yīng)用系統(tǒng)代碼的漏洞,加強(qiáng)系統(tǒng)的安全性,減少系統(tǒng)被黑客成功攻擊的可能性,且有助于提高程序員的代碼安全意識(shí)。

【專(zhuān)利附圖】

【附圖說(shuō)明】
[0029]圖1為本發(fā)明的檢測(cè)流程圖;
[0030]圖2為本發(fā)明中滲透測(cè)試流程圖。

【具體實(shí)施方式】
[0031]下面結(jié)合附圖,對(duì)本發(fā)明做進(jìn)一步說(shuō)明:
[0032]實(shí)施例一
[0033]一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其步驟包括:
[0034]步驟1、本地安全檢測(cè)
[0035]本地安全檢測(cè)主要對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記;
[0036]所述代碼分析的過(guò)程為先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行危險(xiǎn)函數(shù)檢測(cè),再對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行參數(shù)過(guò)濾檢查和身份驗(yàn)證檢查。
[0037]所述代碼分析中采用了源代碼分析技術(shù),所述源代碼分析技術(shù)主要包括如下三步驟:
[0038]步驟3-1、先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行詞法分析和語(yǔ)法分析(例如,對(duì)Web應(yīng)用系統(tǒng)代碼的邏輯結(jié)構(gòu)進(jìn)行數(shù)學(xué)建模);
[0039]步驟3-2、然后采用數(shù)據(jù)流分析、狀態(tài)機(jī)系統(tǒng)、邊界檢測(cè)、數(shù)據(jù)類(lèi)型驗(yàn)證和控制流分析對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行模型分析,從而發(fā)現(xiàn)軟件系統(tǒng)屮的安全問(wèn)題和安全缺陷;
[0040]步驟3-3、最后在各個(gè)接收點(diǎn)之間建立相應(yīng)的依賴(lài)關(guān)系圖,并根據(jù)該依賴(lài)關(guān)系圖判斷Web應(yīng)用系統(tǒng)代碼是否具有代碼漏洞。依據(jù)源碼之間的聯(lián)系,一段源代碼能夠拆分成各個(gè)不同的基本塊,各個(gè)基本塊是源代碼有序運(yùn)行的語(yǔ)句。數(shù)據(jù)流分析是搜集源代碼里的變量,判斷其在源代碼中的傳送和修改的運(yùn)用狀況,還有它在基本塊中的使用過(guò)程。
[0041]檢測(cè)運(yùn)行Web應(yīng)用系統(tǒng)代碼時(shí),數(shù)據(jù)是在條件語(yǔ)句的轉(zhuǎn)移下進(jìn)行轉(zhuǎn)移。所以,構(gòu)建控制流圖才能更好的應(yīng)用數(shù)據(jù)流分析??刂屏鲌D定義為:一有向圖G = (N, E, into, out).其中,N是節(jié)點(diǎn)的集合,程序中的每段代碼都匹配圖中的某一節(jié)點(diǎn);邊集E= {〈p,q>|p,q屬于N并在P運(yùn)行之后,將會(huì)馬上運(yùn)行q} ;into與out是代碼的進(jìn)入點(diǎn)與結(jié)束點(diǎn)。
[0042]本發(fā)明中控制流圖的生成規(guī)則為:如若在一個(gè)有序代碼中,基本塊J2跟隨在Jl后面運(yùn)行,那么產(chǎn)生了一個(gè)由Jl指向J2有向邊。即如果:
[0043]1.存在跳轉(zhuǎn)點(diǎn),能夠存在條件或是不存在條件,這個(gè)點(diǎn)從Jl的結(jié)束點(diǎn)跳轉(zhuǎn)至J2的開(kāi)始點(diǎn);
[0044]2.在有序代碼里,J2跟隨在Jl之后,而且Jl的結(jié)束點(diǎn)不是不存在條件的跳轉(zhuǎn)語(yǔ)句在以上兩種情況下,Jl為J2的前驅(qū),J2是Jl的后繼。
[0045]經(jīng)源代碼分析技術(shù)檢測(cè)后,利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,并在模擬使用中檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,其步驟為:
[0046]1.爬取易產(chǎn)生sql注入的頁(yè)面
[0047]爬蟲(chóng)攜帶敏感參數(shù)(1rl = 1,I’or ‘ I’=‘I等)對(duì)本地易產(chǎn)生sql注入的頁(yè)面(如登錄頁(yè)面、信息查詢(xún)頁(yè)面)進(jìn)行頁(yè)面爬取,并根據(jù)爬取結(jié)果是否含有敏感信息判斷該頁(yè)面是否存在sql注入漏洞。
[0048]2.爬取易產(chǎn)生xss漏洞頁(yè)面
[0049]爬蟲(chóng)在url中或者post數(shù)據(jù)中攜帶(alert⑴,’ ;onclick = ’ alert⑴等)對(duì)本地易產(chǎn)生XSS漏洞的頁(yè)面(如搜索模塊、留言模塊)進(jìn)行頁(yè)面執(zhí)行,并根據(jù)頁(yè)面執(zhí)行結(jié)果判斷該頁(yè)面是否存在XSS漏洞。
[0050]步驟2、云端安全檢測(cè)
[0051]將Web應(yīng)用系統(tǒng)代碼的樣本上傳至云端服務(wù)器,Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比,對(duì)經(jīng)對(duì)比產(chǎn)生的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記。所述缺陷基本塊是指預(yù)存在云端服務(wù)器上的存在缺陷的代碼模塊。
[0052]Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行hash對(duì)比,檢測(cè)云端服務(wù)器是否存在與Web應(yīng)用系統(tǒng)代碼的樣本的基本塊相同的漏洞代碼,若有,則Web應(yīng)用系統(tǒng)代碼的樣本中存在代碼漏洞;若沒(méi)有,則Web應(yīng)用系統(tǒng)代碼的樣本中可能不存在代碼漏洞。此外,還對(duì)Web應(yīng)用系統(tǒng)代碼的樣本進(jìn)行危險(xiǎn)函數(shù)掃描、錯(cuò)誤邏輯掃描。
[0053]步驟3、滲透測(cè)試
[0054]接收來(lái)自Web應(yīng)用系統(tǒng)的請(qǐng)求,采用滲透測(cè)試工具模擬黑客對(duì)Web應(yīng)用系統(tǒng)進(jìn)行攻擊,對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,并給出安全評(píng)估報(bào)告。
[0055]所述滲透測(cè)試是對(duì)Web應(yīng)用系統(tǒng)進(jìn)行自動(dòng)初級(jí)滲透測(cè)試,滲透測(cè)試時(shí)采用的滲透測(cè)試工具為 sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark 中的一種或幾種的組合。利用滲透測(cè)試工具模擬黑客對(duì)web應(yīng)用進(jìn)行攻擊的過(guò)程中,Web應(yīng)用系統(tǒng)可能會(huì)泄露一些不應(yīng)該被最終用戶(hù)看到的信息。測(cè)試人員根據(jù)諸如錯(cuò)誤代碼之類(lèi)的信息可以推測(cè)出應(yīng)用所使用的技術(shù)和產(chǎn)品。在不當(dāng)?shù)漠惓L幚碓O(shè)計(jì)與編碼的情況下,錯(cuò)誤代碼可以通過(guò)專(zhuān)門(mén)技能或工具就可以很容易地去調(diào)用它。顯然,只注重于WEB應(yīng)用不可能達(dá)到詳盡的測(cè)試,它達(dá)不到通過(guò)更廣泛地基礎(chǔ)分析收集到的信息后對(duì)被測(cè)應(yīng)用的理解程度。利用上述滲透測(cè)試工具實(shí)現(xiàn)對(duì)Web應(yīng)用系統(tǒng)的初步探索并給出簡(jiǎn)易的安全評(píng)估報(bào)告,讓編程人員對(duì)自身系統(tǒng)的安全級(jí)別有大概的認(rèn)識(shí)。
[0056]上述諸多工具中,利用sqlmap工具對(duì)Web應(yīng)用系統(tǒng)中存在的檢測(cè)點(diǎn)進(jìn)行sql注入檢測(cè)并根據(jù)檢測(cè)結(jié)果發(fā)現(xiàn)Web應(yīng)用系統(tǒng)是否存在注入漏洞;利用xss-proxy工具或X-scan工具對(duì)Web應(yīng)用系統(tǒng)中易出現(xiàn)xss漏洞的模塊進(jìn)行xss漏洞檢測(cè)并根據(jù)檢測(cè)結(jié)果發(fā)現(xiàn)Web應(yīng)用系統(tǒng)是否存在xss漏洞;利用Nessus工具對(duì)Web應(yīng)用系統(tǒng)進(jìn)行系統(tǒng)漏洞掃描和軟件分析;利用Nmap工具對(duì)Web應(yīng)用系統(tǒng)的端口進(jìn)行端口掃描;利用Wireshark工具擷取Web應(yīng)用系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包,并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)數(shù)據(jù)包資料。
[0057]實(shí)施例二
[0058]一種Web應(yīng)用系統(tǒng)的安全檢測(cè)裝置,包括本地安全檢測(cè)模塊、云端安全檢測(cè)模塊和滲透測(cè)試模塊。
[0059]所述本地安全檢測(cè)模塊用于采用源代碼分析技術(shù)對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記。該本地安全檢測(cè)模塊采用了上述實(shí)施例一中的本地安全檢測(cè)方法。
[0060]所述云端安全檢測(cè)模塊用于將Web應(yīng)用系統(tǒng)代碼的樣本上傳至云端服務(wù)器,Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比,對(duì)經(jīng)對(duì)比產(chǎn)生的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記。該云端安全檢測(cè)模塊采用了上述實(shí)施例一中的云端安全檢測(cè)方法。
[0061]所述滲透測(cè)試模塊用于接收來(lái)自Web應(yīng)用系統(tǒng)的請(qǐng)求,采用滲透測(cè)試工具模擬黑客對(duì)Web應(yīng)用系統(tǒng)進(jìn)行攻擊,對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,并給出安全評(píng)估報(bào)告。該滲透測(cè)試模塊采用了上述實(shí)施例一中的滲透測(cè)試方法。
[0062]所述滲透測(cè)試工具為sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark 中的一種或幾種的組合。
[0063]實(shí)施例三
[0064]在實(shí)施例二的基礎(chǔ)上,還設(shè)有更新模塊。所述更新模塊用于更新預(yù)存在云端服務(wù)器上的缺陷基本塊、安全模塊和滲透測(cè)試工具。
【權(quán)利要求】
1.一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其步驟包括: 步驟1、本地安全檢測(cè),先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,再利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的代碼漏洞進(jìn)行警告標(biāo)記; 步驟2、云端安全檢測(cè),將Web應(yīng)用系統(tǒng)代碼的樣本上傳至云端服務(wù)器,Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比檢測(cè),檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記; 步驟3、滲透測(cè)試,采用滲透測(cè)試工具對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬攻擊,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,給出安全評(píng)估報(bào)生口 ο
2.如權(quán)利要求1所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其特征在于:步驟I中所述代碼分析的過(guò)程包括先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行危險(xiǎn)函數(shù)檢測(cè),再對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行參數(shù)過(guò)濾檢查和身份驗(yàn)證檢查。
3.如權(quán)利要求1所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其特征在于:步驟I中所述代碼分析采用源代碼分析技術(shù),所述源代碼分析技術(shù)包括如下三步驟: 步驟3-1、先對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行詞法分析和語(yǔ)法分析; 步驟3-2、然后采用數(shù)據(jù)流分析、狀態(tài)機(jī)系統(tǒng)、邊界檢測(cè)、數(shù)據(jù)類(lèi)型驗(yàn)證和控制流分析對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行模型分析; 步驟3-3、最后在各個(gè)接收點(diǎn)之間建立相應(yīng)的依賴(lài)關(guān)系圖,并根據(jù)該依賴(lài)關(guān)系圖判斷Web應(yīng)用系統(tǒng)代碼是否具有代碼漏洞。
4.如權(quán)利要求1所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其特征在于:云端安全檢測(cè)中Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行hash對(duì)比,檢測(cè)云端服務(wù)器是否存在與Web應(yīng)用系統(tǒng)代碼的樣本的基本塊相同的漏洞代碼。
5.如權(quán)利要求1所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其特征在于:步驟3中滲透測(cè)試工具為 sqlmap、xss-proxy、Nessus、X-scan、Nmap、Wireshark 中的一種或幾種的組口 O
6.如權(quán)利要求5所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)方法,其特征在于:利用sqlmap工具對(duì)Web應(yīng)用系統(tǒng)中存在的檢測(cè)點(diǎn)進(jìn)行sql注入檢測(cè)并根據(jù)檢測(cè)結(jié)果發(fā)現(xiàn)Web應(yīng)用系統(tǒng)是否存在注入漏洞;利用xss-proxy工具或X-scan工具對(duì)Web應(yīng)用系統(tǒng)中易出現(xiàn)xss漏洞的模塊進(jìn)行xss漏洞檢測(cè)并根據(jù)檢測(cè)結(jié)果發(fā)現(xiàn)Web應(yīng)用系統(tǒng)是否存在xss漏洞。
7.一種Web應(yīng)用系統(tǒng)的安全檢測(cè)裝置,其特征在于:包括 本地安全檢測(cè)模塊,用于對(duì)Web應(yīng)用系統(tǒng)代碼進(jìn)行代碼分析,利用爬蟲(chóng)技術(shù)對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬使用,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的代碼漏洞進(jìn)行警告標(biāo)記; 云端安全檢測(cè)模塊,用于將Web應(yīng)用系統(tǒng)代碼的樣本上傳至云端服務(wù)器,Web應(yīng)用系統(tǒng)代碼的樣本的每個(gè)基本塊與預(yù)存在云端服務(wù)器上的缺陷基本塊進(jìn)行對(duì)比檢測(cè),檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記; 滲透測(cè)試模塊,用于采用滲透測(cè)試工具對(duì)Web應(yīng)用系統(tǒng)進(jìn)行模擬攻擊,檢測(cè)Web應(yīng)用系統(tǒng)是否存在代碼漏洞并對(duì)檢測(cè)出的Web應(yīng)用系統(tǒng)代碼漏洞進(jìn)行警告標(biāo)記,給出安全評(píng)估報(bào)生口 ο
8.如權(quán)利要求7所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)裝置,其特征在于:滲透測(cè)試工具為 sqlmap、xss-proxy、Nessus、X-scan、Nmap> Wireshark 中的一種或幾種的組合。
9.如權(quán)利要求7所述的一種Web應(yīng)用系統(tǒng)的安全檢測(cè)裝置,其特征在于:還設(shè)有更新模塊,所述更新模塊用于更新預(yù)存在云端服務(wù)器上的缺陷基本塊、安全模塊和滲透測(cè)試工具。
【文檔編號(hào)】H04L29/08GK104184728SQ201410398508
【公開(kāi)日】2014年12月3日 申請(qǐng)日期:2014年8月14日 優(yōu)先權(quán)日:2014年8月14日
【發(fā)明者】張小松, 陳瑞東, 吳安彬, 牛偉納, 王東, 徐浩然, 孫恩博, 柯明敏, 楊高明, 張藝峰 申請(qǐng)人:電子科技大學(xué)
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1