本发明专利技术公开了一种漏洞挖掘方法、漏洞修复验证方法、装置及电子设备,该方法包括:根据预设随机种子生成测试报文;将测试报文作为输入对目标协议进行模糊测试,并在测试出目标协议的漏洞时,记录预设随机种子。通过根据预设随机种子生成测试报文,并在测试出目标协议的漏洞时,通过记录一个预设随机种子,间接实现对该次模糊测试的所有测试报文的记录,极大地减少了需要存储的数据量(相对于直接存储所有测试报文),也就降低了对应的存储文件在传输过程中被破坏或者其中的部分数据在传输过程中丢失的可能性,从而降低了后续使用测试出漏洞的报文进行洞修复验证过程中,由于无法获取正确的测试报文而无法准确验证的可能性。
【技术实现步骤摘要】
一种漏洞挖掘方法、漏洞修复验证方法、装置及电子设备
本专利技术涉及网络与信息安全
,尤其涉及到一种漏洞挖掘方法、漏洞修复验证方法、装置及电子设备。
技术介绍
随着网络技术的快速发展,网络普及率的快速提高,网络安全问题日益突出。其中,程序或者系统漏洞的挖掘是网络安全的核心之一,也是最根本问题的所在。目前,主要是通过人工分析与模糊测试工具(Fuzz)相结合的方式进行漏洞挖掘。具体的,在通过Fuzz工具进行模糊测试之前,需要用户手动配置Fuzz参数,使得Fuzz工具能够依据配置的Fuzz参数对目标程序或者系统进行模糊测试,并将随机产生的测试报文输入目标程序或者系统,从而根据输出结果是否异常来判断其是否存在漏洞,以使目标程序或者系统的漏洞能够被及时发现、修复,减少漏洞暴露时间。由于漏洞挖掘的最终目的是为了修复漏洞,完善目标系统,而在完成了后续漏洞修复时,需要使用测试出漏洞的报文验证漏洞修复是否成功,但是,由于进行一次模糊测试的测试报文一般为多条,且各条测试报文被输入目标程序或者系统的速度很快,在测试出漏洞时,模糊测试工具本身很难定位测试出漏洞的报文为一次模糊测试的测试报文中的哪一条或者哪几条,因此,一般在漏洞挖掘的过程中,会将用于进行一次模糊测试的所有测试报文均保存起来,导致存储文件较大,从而使该存储文件在传输过程中被破坏以及其中的数据丢失的风险较大,后续漏洞修复时无法准确验证漏洞是否被成功修复的可能性也较大。
技术实现思路
有鉴于此,本专利技术实施例提供了一种漏洞挖掘方法、漏洞修复验证方法、装置及电子设备,以解决现有存储有漏洞挖掘的模糊测试报文的文件较大,在传输过程中被破坏以及丢失的风险较大,使后续漏洞修复时无法准确验证漏洞是否被成功修复的可能性也较大的问题。根据第一方面,本专利技术实施例提供了一种漏洞挖掘方法,包括如下步骤:根据预设随机种子生成测试报文;将测试报文作为输入对目标协议进行模糊测试,并在测试出目标协议的漏洞时,记录预设随机种子。通过根据预设随机种子生成测试报文,并在测试出目标协议的漏洞时,通过记录一个预设随机种子,间接实现对该次模糊测试的所有测试报文的记录,极大地减少了需要存储的数据量(相对于直接存储所有测试报文),也就降低了对应的存储文件在传输过程中被破坏或者其中的部分数据在传输过程中丢失的可能性,从而降低了后续需要使用测试出漏洞的报文验证漏洞修复是否成功的漏洞修复验证过程中,由于无法获取正确的测试报文而无法准确验证的可能性。结合第一方面,在第一方面第一实施方式中,根据预设随机种子生成测试报文的步骤,包括:根据预设随机种子生成随机序列;按照预定顺序提取随机序列中的随机数作为字段,生成符合目标协议的测试报文。结合第一方面第一实施方式,在第一方面第二实施方式中,根据预设随机种子生成随机序列的步骤,包括:使用RANDOM类根据预设随机种子生成随机序列。根据第二方面,本专利技术实施例提供了一种漏洞修复验证方法,包括如下步骤:提取漏洞对应的随机种子;漏洞对应的随机种子是指,对目标协议进行模糊测试时,测试出漏洞的报文所对应的随机种子;根据随机种子生成验证报文;验证报文与测试出漏洞的报文相同;使用验证报文对修复了漏洞的目标协议进行验证,得到是否修复成功的验证结果。通过获取对目标协议进行模糊测试时,测试出漏洞的报文对应的随机种子,并根据该随机种子生成与测试出漏洞的报文相同的验证报文,实现了根据进行漏洞挖掘过程中记录的随机种子还原出漏洞测试报文(也即验证报文),而通过使用验证报文对修复了漏洞的目标协议进行验证,得到是否修复成功的验证结果,提供了一种能够基于随机种子进行漏洞修复验证的方法,从而能够解决直接根据记录的测试报文进行验证时,由于测试报文的存储文件较大,其在传输过程中被破坏以及其中的数据丢失的风险较大,而使无法进行准确的漏洞修复验证的可能性较大的问题。结合第二方面,在第二方面第一实施方式中,所述根据所述随机种子生成验证报文的步骤,包括:根据所述随机种子生成随机序列;按照预定顺序提取所述随机序列中的随机数作为字段,生成符合所述目标协议的验证报文。结合第二方面第一实施方式,在第二方面第二实施方式中,根据随机种子生成随机序列的步骤,包括:使用RANDOM类根据随机种子生成随机序列。根据第三方面,本专利技术实施例提供了一种漏洞挖掘装置,包括:报文生成模块,用于根据预设随机种子生成测试报文;漏洞挖掘模块,用于将测试报文作为输入对目标协议进行模糊测试,并在测试出目标协议的漏洞时,记录对应的随机种子。根据第四方面,本专利技术实施例提供了一种漏洞修复验证装置,包括:种子提取模块,用于提取漏洞对应的随机种子;漏洞对应的随机种子是指,对目标协议进行模糊测试时,测试出漏洞的报文所对应的随机种子;验证报文生成模块,用于根据随机种子生成验证报文;验证报文与测试出漏洞的报文相同;修复验证模块,用于使用验证报文对修复了漏洞的目标协议进行验证,得到是否修复成功的验证结果。根据第五方面,本专利技术实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或者第一方面的任意一种实施方式或者第二方面或者第二方面的任意一种实施方式中所述的方法。根据第六方面,本专利技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式或者第二方面或者第二方面的任意一种实施方式中所述的方法。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种漏洞挖掘方法的一种方法流程图;图2为本专利技术实施例提供的一种漏洞修复验证方法的一种方法流程图;图3为本专利技术实施例提供的一种漏洞挖掘装置的原理框图;图4为本专利技术实施例提供的一种漏洞修复验证装置的原理框图;图5为本专利技术实施例提供的一种电子设备的硬件结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。在本专利技术的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。实施例1本专利技术实施例提供的漏洞挖掘方法,可以应用于具有目标协议(也即目标程序)的终端,该终端使用模糊测试工具对目标协议进行模糊测试,测试目标协议是否具有漏洞。图1示出了本专利技术实施例的漏洞挖掘方法的流程图,如图1所示,该方法可以包括如下步骤:S101:根据预设随机种子生成测试报文。在这里,可以使用预定变异策略对预设随机种子进行变异,得到变异数,并将一次变异得到的变异数作为下一次变异的种子,从而进行多次(具体次数可以根据预设随机种本文档来自技高网...
【技术保护点】
1.一种漏洞挖掘方法,其特征在于,包括如下步骤:根据预设随机种子生成测试报文;将所述测试报文作为输入对目标协议进行模糊测试,并在测试出所述目标协议的漏洞时,记录所述预设随机种子。
【技术特征摘要】
1.一种漏洞挖掘方法,其特征在于,包括如下步骤:根据预设随机种子生成测试报文;将所述测试报文作为输入对目标协议进行模糊测试,并在测试出所述目标协议的漏洞时,记录所述预设随机种子。2.根据权利要求1所述的漏洞挖掘方法,其特征在于,所述根据预设随机种子生成测试报文的步骤,包括:根据所述预设随机种子生成随机序列;按照预定顺序提取所述随机序列中的随机数作为字段,生成符合所述目标协议的测试报文。3.根据权利要求2所述的漏洞挖掘方法,其特征在于,所述根据所述预设随机种子生成随机序列的步骤,包括:使用RANDOM类根据所述预设随机种子生成所述随机序列。4.一种漏洞修复验证方法,其特征在于,包括如下步骤:提取所述漏洞对应的随机种子;所述漏洞对应的随机种子是指,对目标协议进行模糊测试时,测试出所述漏洞的报文所对应的随机种子;根据所述随机种子生成验证报文;所述验证报文与测试出所述漏洞的报文相同;使用所述验证报文对修复了所述漏洞的目标协议进行验证,得到是否修复成功的验证结果。5.根据权利要求4所述的漏洞修复验证方法,其特征在于,所述根据所述随机种子生成验证报文的步骤,包括:根据所述随机种子生成随机序列;按照预定顺序提取所述随机序列中的随机数作为字段,生成符合所述目标协议的验证报...
【专利技术属性】
技术研发人员:韩鸿亮,龙国东,黄敏,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。