【技术实现步骤摘要】
快速验证应用程序漏洞状态的方法及系统
本专利技术涉及应用程序漏洞检测
,尤其涉及一种快速验证应用程序漏洞状态的方法及系统。
技术介绍
自软件程序的诞生开始,程序漏洞就应允而生,由于软件开发者开发软件时的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高但漏洞也多,任何一款程序都不可避免地会存在这样或那样的漏洞,从某种程度上可以说,只有暂时未发现漏洞的程序,没有完全安全的程序,即漏洞只能被尽可能多的发现,而不能完全杜绝,鉴于此,每一款程序从开发出来开始直到寿命结束都会涉及到漏洞检测问题,对于用户来说,只有提前检测到存在的漏洞并对其进行处理,才能有效防止安全事故的发生。为了提高漏洞的检测效率,漏洞检测工具也得到不断发展,但是现在的漏洞检测工具的检测目的都是将已存在的安全漏洞给找出来,而不能针对已发现的安全漏洞进行判断其是否已被开发人员修复成功。目前,判断已发现的安全漏洞是否被修复的方法有以下两种:1、安全人员手动测试,重新发送验证请求,人工判断该漏洞是否被验证,耗时长,可能出现遗漏问题;2、基于漏洞扫描工具重新测...
【技术保护点】
1.一种快速验证应用程序漏洞状态的方法,其特征在于,包括:/nS1)、从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;/nS2)、对上述步骤1中显示出来的所述漏洞中的一个或多个所对应的请求进行重放;/nS3)、对上述步骤2中重放的请求进行漏洞检测;/nS4)、根据上述步骤3中的检测结果修改所述漏洞当前对应的漏洞状态,并将修改后的所述漏洞状态更新进所述漏洞原始基础数据中。/n
【技术特征摘要】
1.一种快速验证应用程序漏洞状态的方法,其特征在于,包括:
S1)、从漏洞检测平台数据库中获取其接收并记录到的漏洞原始基础数据,并将所述漏洞信息显示出来,以供用户查看;
S2)、对上述步骤1中显示出来的所述漏洞中的一个或多个所对应的请求进行重放;
S3)、对上述步骤2中重放的请求进行漏洞检测;
S4)、根据上述步骤3中的检测结果修改所述漏洞当前对应的漏洞状态,并将修改后的所述漏洞状态更新进所述漏洞原始基础数据中。
2.根据权利要求1所述的快速验证应用程序漏洞状态的方法,其特征在于,所述漏洞状态包括新发现状态、已确认状态和已关闭状态;
所述新发现状态,是指在请求重放时新发现且未经任何处理时的状态;
所述已确认状态,是指漏洞已被安全人员确认,需要被修复时的状态。
所述已关闭状态,是指经过请求重放和漏洞重新检测之后确认漏洞已经不存在且已被关闭的状态。
3.根据权利要求1所述的快速验证应用程序漏洞状态的方法,其特征在于,对于指定进行重放的请求,动态在所述请求的请求头中添加第一关键字信息,所述第一关键字信息代表该请求存在已被发现的漏洞和漏洞类型。
4.根据权利要求3所述的快速验证应用程序漏洞状态的方法,其特征在于,对于重放的请求,如果检测到新的漏洞,在所述请求的响应头中添加第二关键字信息,所述第二关键字信息代表该请求存在新被发现的漏洞和漏洞类型。
5.根据权利要求1所述的快速验证应用程序漏洞状态的方法,其特征在于,所述步骤3中的漏洞检测方法包括:利用IAST交互式技术插桩用户程序中的代码,动态获取用户请求执行的方法链或请求数据,然后根据相关规则判断是否存在漏洞。
6...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,董燕,李华,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。