The invention discloses a method for identifying program vulnerabilities for vulnerability detection of programs based on client and server architectures. The method includes: ascertaining an upstream protocol and downstream protocol with corresponding relationship and meeting test object conditions according to the upstream data sent by the client and downstream data sent by the server; and associating the upstream protocol with the upstream protocol. The test data is transmitted to the client for execution, and the vulnerability is determined based on the return data associated with the downlink protocol from the server. Based on ascertaining the corresponding upstream and downstream protocols, this scheme can automatically detect and identify program vulnerabilities by sending test data to the client and analyzing the response of the server, thus improving the testing efficiency.
【技术实现步骤摘要】
识别程序漏洞的方法、装置、存储介质和电子设备
本专利技术涉及计算机
,特别涉及一种识别程序漏洞的方法和装置、计算机可读存储介质以及电子设备。
技术介绍
随着互联网技术特别是移动网络的飞速发展,越来越多的软件服务提供方采用服务器配合客户端的形式来提供服务。以社交软件为例,用户与客户端程序交互中产生的一些重要数据(例如鉴权、支付等信息),都需要发送给服务器端进行后续处理。又以游戏软件为例,用户在客户端程序的一些关键操作(例如登陆、内购等),都由服务器端进行相应处理后反馈给客户端。客户端服务器(CS,Client-Server)架构的程序在出现漏洞时,由于会影响到服务器的安全,乃至会影响所有用户的信息安全和使用体验,因此其与仅在单机运行的程序相比,程序漏洞的识别显得尤为重要。目前对于CS架构程序的漏洞测试,完全依赖人工分析风险,通过手动构造测试数据由客户端发送至服务器端,进而基于观察客户端和服务器的表现,来判断是否存在相应的漏洞。这种漏洞识别手段的成功率,完全依赖于测试人员的技能和经验,因此可靠性难以保证,漏洞挖掘的效率、广度和深度都比较低。
技术实现思路
为了解决相关技术中完全依赖测试人员手动操作识别程序漏洞的问题,本专利技术提供了一种识别程序漏洞的方法和装置、计算机可读存储介质以及电子设备。根据本专利技术的实施例,提供一种识别程序漏洞的方法,用于对基于客户端和服务器架构的程序进行漏洞检测,所述方法包括:根据所述客户端发送的上行数据和所述服务器发送的下行数据,确定存在对应关系并符合测试对象条件的上行协议和下行协议;将与所述上行协议关联的测试数据传送至所述客户 ...
【技术保护点】
1.一种识别程序漏洞的方法,用于对基于客户端和服务器架构的程序进行漏洞检测,其特征在于,所述方法包括:根据所述客户端发送的上行数据和所述服务器发送的下行数据,确定存在对应关系并符合测试对象条件的上行协议和下行协议;将与所述上行协议关联的测试数据传送至所述客户端执行;以及基于来自所述服务器的与所述下行协议关联的返回数据确定是否存在漏洞。
【技术特征摘要】
1.一种识别程序漏洞的方法,用于对基于客户端和服务器架构的程序进行漏洞检测,其特征在于,所述方法包括:根据所述客户端发送的上行数据和所述服务器发送的下行数据,确定存在对应关系并符合测试对象条件的上行协议和下行协议;将与所述上行协议关联的测试数据传送至所述客户端执行;以及基于来自所述服务器的与所述下行协议关联的返回数据确定是否存在漏洞。2.如权利要求1所述的方法,其特征在于,所述的确定存在对应关系并符合测试对象条件的上行协议和下行协议,包括:基于所述上行协议和所述下行协议的协议名称和时间戳中的至少一种,确定存在所述对应关系的上行协议和下行协议。3.如权利要求2所述的方法,其特征在于,所述的基于所述上行协议和所述下行协议的协议名称确定存在所述对应关系的上行协议和下行协议,包括:对所述协议名称进行分词和过滤处理,分别得到所述上行协议和所述下行协议的名称核心词;在所述上行协议的名称核心词与所述下行协议的名称核心词满足完全匹配、相似度高于阈值、加权后的相似度高于另一阈值中的至少一个条件时,确定所述上行协议和所述下行协议存在所述对应关系。4.如权利要求1所述的方法,其特征在于,所述的确定存在对应关系并符合测试对象条件的上行协议和下行协议,包括:基于所述上行协议和所述下行协议的协议名称和协议字段中的至少一种,确定符合所述测试对象条件的上行协议和下行协议。5.如权利要求4所述的方法,其特征在于,所述的基于所述上行协议和所述下行协议的协议名称确定符合所述测试对象条件的上行协议和下行协议,包括:对所述协议名称进行分词和过滤处理,分别得到所述上行协议和所述下行协议的名称核心词;在所述名称核心词满足包括来自第一关键词集合的任意关键词和包括来自第二关键词集合的多个关键词的组合中的至少一种条件时,确定所述上行协议和所述下行协议符合所述测试对象条件。6.如权利要求4所述的方法,其特征在于,所述的基于所述上行协议和所述下行协议的协议字段确定符合所述测试对象条件的上行协议和下行协议,包括:在所述协议字段的命名满足包括来自第一关键词集合的任意关键词和包括来自第二关键词集合的多个关键词的组合中的至少一种条件时,确定所述上行协议和所述下行协议符合所述测试对象条件。7.如权利要求1所述的方法,其特征在于,所述的基于来自所述服务器的与所述下行协议关联的返回数据确定是否存在漏洞,包括以下任意步骤:当所述返回数据不符合所述下行协议的数据结构时,则...
【专利技术属性】
技术研发人员:罗德志,王枭,王建行,李建颖,周洪斌,魏学峰,严明,
申请(专利权)人:深圳市腾讯网络信息技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。