一種網(wǎng)頁漏洞的檢測方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域�,尤其涉及一種網(wǎng)頁漏洞的檢測方法和系統(tǒng)���。
【背景技術(shù)】
[0002]目前互聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到日常生活的方方面面����,為生產(chǎn)生活帶來了極大的便利���。與此同時,網(wǎng)絡(luò)安全也得到越來越多的關(guān)注����,尤其是其中的網(wǎng)頁(WEB)應(yīng)用面臨如下安全問題:1.計算機軟件的設(shè)計與實現(xiàn)漏洞;2.傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP���,Transmiss1n Control Protocol/Internet Protocol)協(xié)議設(shè)計時未充分考慮其安全性���;
3.系統(tǒng)和網(wǎng)絡(luò)使用過程中的錯誤配置于操作����。
[0003]漏洞��,也稱脆弱性�,是計算機系統(tǒng)在硬件、軟件和協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足�,非法用戶可利用系統(tǒng)安全漏洞獲得計算機系統(tǒng)的額外權(quán)限,在未經(jīng)授權(quán)的情況下進行訪問或提高其訪問權(quán)限���,破壞系統(tǒng)���,危害計算機安全。
[0004]現(xiàn)有的防御手段�����,如網(wǎng)絡(luò)掃描器����,是一類有網(wǎng)絡(luò)爬蟲、發(fā)送超文本傳送協(xié)議(HTTP���,Hypertext transfer protocol)請求和正則匹配功能的程序�。掃描器事先構(gòu)造好攻擊載荷,通過爬蟲遍歷出網(wǎng)站所有的通用網(wǎng)關(guān)接口(CGI,Common Gateway Interface)文件和參數(shù)����,掃描器將攻擊載荷依次添加到每個CGI的每個參數(shù),然后向網(wǎng)站發(fā)送HTTP請求并根據(jù)網(wǎng)站返回的結(jié)果是否包含指定的特征來判斷是否存在漏洞���。
[0005]但網(wǎng)絡(luò)掃描器具有如下缺點:(I)掃描方法漏報率高��;掃描器的網(wǎng)絡(luò)爬蟲無法爬到所有的CGI和參數(shù)�,掃描����,部分漏洞入口未檢查從而導(dǎo)致漏報。(2)影響網(wǎng)站正常服務(wù)�����;掃描器會發(fā)送大量的HTTP請求占用網(wǎng)站的帶寬導(dǎo)致速度變慢�����,掃描器發(fā)送的攻擊載荷不可控���,在某些場景下會導(dǎo)致網(wǎng)站癱瘓甚至數(shù)據(jù)丟失���。(3)成本高昂;開發(fā)掃描器周期長�����,難度大����;除了高額的開發(fā)成本外,掃描器的攻擊載荷庫還需要后續(xù)長期的持續(xù)維護運營����。
【發(fā)明內(nèi)容】
[0006]有鑒于此,本發(fā)明的目的在于提供一種網(wǎng)頁漏洞的檢測方法和系統(tǒng)����,可以解決現(xiàn)有的網(wǎng)絡(luò)掃描器漏報率高、占用過多帶寬���、以及維護成本高昂等問題�。
[0007]為解決上述技術(shù)問題����,本發(fā)明實施例提供以下技術(shù)方案:
[0008]一種網(wǎng)頁漏洞的檢測方法��,包括:
[0009]接收用戶請求���,并從所述用戶請求中動態(tài)獲取執(zhí)行函數(shù)名、參數(shù)結(jié)構(gòu)�、和執(zhí)行內(nèi)容;
[0010]將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與預(yù)置的漏洞規(guī)則庫中的漏洞規(guī)則進行匹配��,其中所述漏洞規(guī)則包括漏洞函數(shù)名�����、各執(zhí)行函數(shù)名及其對應(yīng)的一個或多個漏洞參數(shù)結(jié)構(gòu)��;以及
[0011]若所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功和/或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功��,則發(fā)送所述執(zhí)行內(nèi)容的風(fēng)險警示信息�����。
[0012]為解決上述技術(shù)問題����,本發(fā)明實施例提供以下技術(shù)方案:
[0013]一種網(wǎng)頁漏洞的檢測系統(tǒng)���,包括:
[0014]預(yù)處理模塊����,用于接收用戶請求,并從所述用戶請求中動態(tài)獲取網(wǎng)頁中的執(zhí)行函數(shù)名���、參數(shù)結(jié)構(gòu)���、和執(zhí)行內(nèi)容;
[0015]匹配模塊����,用于將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與預(yù)置的漏洞規(guī)則庫中的漏洞規(guī)則進行匹配,其中所述漏洞規(guī)則包括漏洞函數(shù)名����、各執(zhí)行函數(shù)名及其對應(yīng)的一個或多個漏洞參數(shù)結(jié)構(gòu);以及
[0016]風(fēng)險警示模塊���,用于當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功和/或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功時���,發(fā)送所述執(zhí)行內(nèi)容的風(fēng)險警示信息。
[0017]為解決上述技術(shù)問題,本發(fā)明實施例提供以下技術(shù)方案:
[0018]一種網(wǎng)頁漏洞的檢測系統(tǒng)����,包括:漏洞分析部分和數(shù)據(jù)支持部分,其中�����,
[0019]所述漏洞分析部分����,包括:
[0020]漏洞規(guī)則存儲模塊,用于存儲漏洞規(guī)則�,其中所述漏洞規(guī)則包括漏洞函數(shù)名、各執(zhí)行函數(shù)名及其對應(yīng)的一個或多個漏洞參數(shù)結(jié)構(gòu)�����;
[0021]預(yù)處理模塊����,用于接收用戶請求,并從所述用戶請求中動態(tài)獲取網(wǎng)頁中的執(zhí)行函數(shù)名���、參數(shù)結(jié)構(gòu)、和執(zhí)行內(nèi)容;
[0022]匹配模塊�����,用于將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與所述漏洞規(guī)則存儲模塊中的漏洞規(guī)則進行匹配�,其中所述漏洞規(guī)則包括漏洞函數(shù)名、各執(zhí)行函數(shù)名及其對應(yīng)的一個或多個漏洞參數(shù)結(jié)構(gòu)�����;以及
[0023]風(fēng)險警示模塊�,用于當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功和/或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功時,發(fā)送執(zhí)行內(nèi)容的風(fēng)險警示信息�����;
[0024]所述數(shù)據(jù)支持部分�����,包括:
[0025]分析子模塊��,用于分析漏洞的場景行為和/或攻擊特征����,得到分析結(jié)果�;以及
[0026]生成子模塊�,用于將所述分析結(jié)果生成基于執(zhí)行函數(shù)名和所述參數(shù)結(jié)構(gòu)的所述漏洞規(guī)則。
[0027]相對于現(xiàn)有技術(shù)����,本發(fā)明中的網(wǎng)頁漏洞的檢測方法和系統(tǒng),通過動態(tài)獲取執(zhí)行函數(shù)名和參數(shù)結(jié)構(gòu)�����,與漏洞規(guī)則進行匹配����,并發(fā)送對應(yīng)的風(fēng)險警示信息。具有快速識別��、可擴展度高�、防范性強的特點,同時漏報率低��、占用帶寬少�、以及維護成本低廉。
【附圖說明】
[0028]圖1是本發(fā)明實施例提供的網(wǎng)頁漏洞的檢測方法和系統(tǒng)應(yīng)用環(huán)境示意圖�。
[0029]圖2是本發(fā)明實施例一提供的網(wǎng)頁漏洞的檢測方法的流程示意圖。
[0030]圖3是本發(fā)明實施例二提供的網(wǎng)頁漏洞的檢測系統(tǒng)的模塊示意圖���。
[0031]圖4是本發(fā)明實施例三提供的網(wǎng)頁漏洞的檢測系統(tǒng)的防御框架示意圖��。
[0032]圖5是本發(fā)明實施例四提供的網(wǎng)頁漏洞的檢測系統(tǒng)的泳道示意圖���。
【具體實施方式】
[0033]請參照附圖中的圖式,其中相同的組件符號代表相同的組件�����,本發(fā)明的原理是以實施在一適當(dāng)?shù)倪\算環(huán)境中來舉例說明�����。以下的說明是基于所示例的本發(fā)明的具體實施例����,其不應(yīng)被視為限制本發(fā)明未在此詳述的其它具體實施例。
[0034]在以下的說明中�,本發(fā)明的具體實施例將參考由一部或多部計算機所執(zhí)行的步驟及符號來說明,除非另有述明��。因此���,這些步驟及操作將有數(shù)次提到由計算機執(zhí)行��,本文所指的計算機執(zhí)行包括了由代表了以一結(jié)構(gòu)化型式中的數(shù)據(jù)的電子信號的計算機處理單元的操作����。此操作轉(zhuǎn)換該數(shù)據(jù)或?qū)⑵渚S持在該計算機的內(nèi)存系統(tǒng)中的位置處,其可重新配置或另外以本領(lǐng)域測試人員所熟知的方式來改變該計算機的運作���。該數(shù)據(jù)所維持的數(shù)據(jù)結(jié)構(gòu)為該內(nèi)存的實體位置����,其具有由該數(shù)據(jù)格式所定義的特定特性�。但是,本發(fā)明原理以上述文字來說明�����,其并不代表為一種限制��,本領(lǐng)域測試人員將可了解到以下所述的多種步驟及操作亦可實施在硬件當(dāng)中���。
[0035]本發(fā)明的原理使用許多其它泛用性或特定目的運算���、通信環(huán)境或組態(tài)來進行操作。所熟知的適合用于本發(fā)明的運算系統(tǒng)����、環(huán)境與組態(tài)的范例可包括(但不限于)手持電話�、個人計算機���、服務(wù)器��、多處理器系統(tǒng)、微電腦為主的系統(tǒng)��、主架構(gòu)型計算機��、及分布式運算環(huán)境����,其中包括了任何的上述系統(tǒng)或裝置。
[0036]本文所使用的術(shù)語「模塊」可看作為在該運算系統(tǒng)上執(zhí)行的軟件對象����。本文所述的不同組件、模塊����、引擎及服務(wù)可看作為在該運算系統(tǒng)上的實施對象。而本文所述的裝置及方法優(yōu)選的以軟件的方式進行實施���,當(dāng)然也可在硬件上進行實施��,均在本發(fā)明保護范圍之內(nèi)����。
[0037]請參閱圖1,為本發(fā)明中提供的網(wǎng)頁漏洞的檢測方法和系統(tǒng)的應(yīng)用環(huán)境示意圖���,包括客戶端10���、攻擊者20、服務(wù)器30��、以及通信網(wǎng)絡(luò)50�。
[0038]其中,客戶端10通過網(wǎng)頁發(fā)送各類用戶請求��。
[0039]同時�,攻擊者20通過對所述網(wǎng)頁進行漏洞掃描,模擬用戶的請求進行攻擊�����。
[0040]服務(wù)器30接收用戶請求,檢測所請求的網(wǎng)頁中是否存在漏洞��,并向客戶端10發(fā)送風(fēng)險警示信息���。
[0041]可以理解的是:所述服務(wù)器30可以是云服務(wù)平臺��,如包括:分析服務(wù)器31����、云存儲服務(wù)器32��、以及數(shù)據(jù)支持服務(wù)器33����。其中�����,服務(wù)服務(wù)器31用于執(zhí)行對漏洞的檢測和警示�����,云存儲服務(wù)器32���,包括漏洞規(guī)則庫����,用于存儲漏洞規(guī)則;數(shù)據(jù)支持服務(wù)器33用于發(fā)現(xiàn)漏洞或利用已知漏洞��,總結(jié)和創(chuàng)建漏洞規(guī)則���,并將所述漏洞規(guī)則發(fā)送并存儲至云存儲服務(wù)器32的漏洞規(guī)則庫中��。其他實施方式中�����,所述分析服務(wù)器31��、云存儲服務(wù)器32����、以及數(shù)據(jù)支持服務(wù)器33也可以整合在同一臺服務(wù)器主機中���。
[0042]通信網(wǎng)絡(luò)50�����,包括無線網(wǎng)絡(luò)及有線網(wǎng)絡(luò)�����。其中無線網(wǎng)絡(luò)包括無線廣域網(wǎng)(WirelessWide Area Network, WWAN)�����、無線局域網(wǎng)(Wireless Local Area Network, WLAN)���、無線城域網(wǎng)(Wireless Metropolitan Area Network, WMAN)����、以及無線個人網(wǎng)(Wireless PersonalArea Network, WPAN)��。
[0043]基本原理:網(wǎng)頁(WEB)漏洞的產(chǎn)生的原因����,是由于某些函數(shù)或其參數(shù)