本发明专利技术公开了一种漏洞修复方法,包括以下步骤:S1、根据污点跟踪技术发现漏洞并得到该漏洞的传播路径、校验及过滤方法;S2、标记步骤S1中漏洞的参数校验和过滤方法,并使用相应的payload重放该参数校验和过滤方法,若重放失败,则判断步骤S1中的漏洞不存在,若重放成功,则进行步骤S3;S3、在漏洞的触发点加入payload检测拦截功能,并将步骤S1中的漏洞进行拦截。以上技术方案能够准确判断漏洞是否有效存在,减轻了漏洞修复的工作压力,减少了没有意义的漏洞修复。
A method of bug repair
【技术实现步骤摘要】
一种漏洞修复方法
本专利技术涉及web服务器的安全防护
,尤其是涉及一种漏洞修复方法。
技术介绍
如今,计算机已经进入千家万户,成为了人们生活中不可或缺的一部分,同时软件系统安全性也成为了一个备受关注的技术问题。软件漏洞是指操作系统或者软件中的安全缺陷,会使得攻击者能够在未授权的情况下访问或破坏系统,导致整个安全体系被轻易攻破,整个系统的控制权彻底丧失。为了解决上述问题,传统的解决方案一般采用rasp技术,rasp技术存在以下不足之处:rasp技术拦截所有的漏洞,包含了很多外界无法控制输入的漏洞执行方法,这种拦截是无意义的,增加性能消耗和影响某些内部正常调用。
技术实现思路
本专利技术的目的在于解决现有技术的不足,提供一种漏洞修复方法。本专利技术解决上述技术问题采用的技术方案是:一种漏洞修复方法,包括以下步骤:S1、根据污点跟踪技术发现漏洞并得到该漏洞的传播路径、校验及过滤方法;S2、标记步骤S1中漏洞的参数校验和过滤方法,并使用相应的payload重放该参数校验和过滤方法,若重放失败,则判断步骤S1中的漏洞不存在,若重放成功,则进行步骤S3;S3、在漏洞的触发点加入payload检测拦截功能,并将步骤S1中的漏洞进行拦截。以上技术方案中,使用相应的payload重放漏洞的攻击参数,从而能够进一步判断该漏洞的有效性,若payload重放成功则该漏洞有效存在并对漏洞进行漏洞修复,若payload重放失败则认为该漏洞无效且不存在,从而进一步地判断了漏洞的有效存在性以及减轻了漏洞修复的工作压力,减少了没有意义的漏洞修复。漏洞的参数校验和过滤方法是漏洞的重要攻击参数,使用payload重放漏洞的参数校验和过滤方法,能够准确判断漏洞是否有效存在。进一步地,步骤S1还包括根据污点跟踪技术发现漏洞并得到该漏洞的http报文,步骤S2还包括根据漏洞的http报文使用相应的payload重放该http请求,若重放成功,则进一步确认该漏洞存在,若重放失败,则表明该漏洞不存在,从而进一步判断该漏洞的有效存在性。作为优选,步骤S2中,根据步骤S1中的漏洞的数据传播路径,解析漏洞的参数校验插桩点及过滤特征,并得到参数检验特征及过滤方法,从而标记步骤S1中漏洞的参数校验和过滤方法。作为优选,步骤S2中,根据漏洞的参数检验特征及过滤方法,在payload库中查找与该漏洞相应的payload。以上技术方案中,payload库中存在各个payload,根据漏洞的参数检验特征及过滤方法即可在库中查找出相应的payload。作为优选,步骤S1中,污点跟踪技术包括以下步骤:S11、利用JavaAgent插桩技术对关键类的关键方法进行插桩,将插桩点分为污染源、传播者、漏洞触发点;S12、在插桩切面,将污染源点的参数加入污迹池,传播者会去污迹池查找其传播的对象是否在污迹池,如果在,则将传播对象也加入污迹池并进行步骤S13,如果不在则终止;S13、如果最后漏洞触发点发现自己操作的对象也在污迹池,则触发漏洞。以上技术方案中,使用污点跟踪技术能够初步找出漏洞,然后对此漏洞进行标记其参数校验和过滤方法,再使用相应的payload重放漏洞的参数校验和过滤方法,即可能够准确判断漏洞是否有效存在,并漏洞的触发点加入payload检测拦截功能将漏洞拦截。作为优选,污染源包括客户端输入数据的插桩点。以上技术方案中,客户输入数据作为外部输入,是借助漏洞攻击系统的主要来源。作为优选,传播者包括具有能将数据传播至另一个对象功能的插桩点。作为优选,漏洞触发点包括具有执行安全漏洞攻击的插桩点。作为优选,污迹池包括污染数据集合。以上技术方案中,污迹池是自定义的一个全局的数据集合,规定任何加入该集合的数据都为污染数据。本专利技术具有的有益效果是:本专利技术的漏洞修复方法通过使用相应的payload重放漏洞的攻击参数,从而能够进一步判断该漏洞的有效性,若payload重放成功则该漏洞有效存在并对漏洞进行漏洞拦截,即进行了漏洞修复,若payload重放失败则认为该漏洞无效且不存在,从而进一步地判断了漏洞的有效存在性以及减轻了漏洞修复的工作压力,减少了没有意义的漏洞修复。附图说明图1是本专利技术的漏洞修复方法的实施例一的流程示意框图;图2是本专利技术的漏洞修复方法的实施例二的流程示意框图。具体实施方式以下结合附图和实施方式对本专利技术作进一步的说明。实施例一:如图1所示,本实施例的一种漏洞修复方法包括以下步骤:S1、根据污点跟踪技术发现漏洞并得到该漏洞的传播路径、校验及过滤方法;S2、标记步骤S1中漏洞的参数校验和过滤方法,并使用相应的payload重放该参数校验和过滤方法,若重放失败,则判断步骤S1中的漏洞不存在,若重放成功,则进行步骤S3;S3、在漏洞的触发点加入payload检测拦截功能,并将步骤S1中的漏洞修复。本实施例中,步骤S2中,根据S1中的漏洞的数据传播路径,解析漏洞的参数校验插桩点及过滤特征,并得到参数检验特征及过滤方法,从而标记步骤S1中漏洞的参数校验和过滤方法。本实施例中,步骤S2中,根据漏洞的参数检验特征及过滤方法,在payload库中查找与该漏洞相应的payload。本实施例中,步骤S1中,污点跟踪技术包括以下步骤:S11、利用JavaAgent插桩技术对关键类的关键方法进行插桩,将插桩点分为污染源、传播者、漏洞触发点;S12、在插桩切面,将污染源点的参数加入污迹池,传播者会去污迹池查找其传播的对象是否在污迹池,如果在,则将传播对象也加入污迹池并进行步骤S13,如果不在则终止;S13、如果最后漏洞触发点发现自己操作的对象也在污迹池,则触发漏洞。本实施例中,污染源包括客户端输入数据的插桩点。本实施例中,传播者包括具有能将数据传播至另一个对象功能的插桩点。本实施例中,漏洞触发点包括具有执行安全漏洞攻击的插桩点。本实施例中,污迹池包括污染数据集合。实施例二:如图2所示,本实施例的一种漏洞修复方法与实施例一不同之处在于:步骤S1还包括根据污点跟踪技术发现漏洞并得到该漏洞的http报文,步骤S2还包括根据漏洞的http报文使用相应的payload重放该http请求。标记步骤S1中漏洞的参数校验和过滤方法,并使用相应的payload重放该参数校验和过滤方法,若重放失败,则判断步骤S1中的漏洞不存在,若重放成功,则根据漏洞的http报文使用相应的payload重放该http请求,若重放成功,则进一步确认该漏洞存在,并进行步骤S3,若重放失败,则表明该漏洞不存在,从而进一步判断该漏洞的有效存在性。在本专利技术的描述中,需要说明的是,如出现术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等,其所指示的方位或位置关系为基于附图所示的方位或位本文档来自技高网...
【技术保护点】
1.一种漏洞修复方法,其特征在于,包括以下步骤:/nS1、根据污点跟踪技术发现漏洞并得到该漏洞的传播路径、校验及过滤方法;/nS2、标记步骤S1中漏洞的参数校验和过滤方法,并使用相应的payload重放该参数校验和过滤方法,若重放失败,则判断步骤S1中的漏洞不存在,若重放成功,则进行步骤S3;/nS3、在漏洞的触发点加入payload检测拦截功能,并将S1中的漏洞进行拦截。/n
【技术特征摘要】
1.一种漏洞修复方法,其特征在于,包括以下步骤:
S1、根据污点跟踪技术发现漏洞并得到该漏洞的传播路径、校验及过滤方法;
S2、标记步骤S1中漏洞的参数校验和过滤方法,并使用相应的payload重放该参数校验和过滤方法,若重放失败,则判断步骤S1中的漏洞不存在,若重放成功,则进行步骤S3;
S3、在漏洞的触发点加入payload检测拦截功能,并将S1中的漏洞进行拦截。
2.根据权利要求1所述的一种漏洞修复方法,其特征在于,步骤S2中,根据S1中的漏洞的数据传播路径,解析漏洞的参数校验插桩点及过滤特征,并得到参数检验特征及过滤方法,从而标记步骤S1中漏洞的参数校验和过滤方法。
3.根据权利要求1或2所述的一种漏洞修复方法,其特征在于,步骤S2中,根据漏洞的参数检验特征及过滤方法,在payload库中查找与该漏洞相应的payload。
4.根据权利要求3所述的一种漏洞修复方法,其特征在于,步骤...
【专利技术属性】
技术研发人员:徐锋,熊奎,
申请(专利权)人:杭州孝道科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。