【技术实现步骤摘要】
一种web漏洞确认方法以及装置
本申请涉及通信
,尤其涉及一种web漏洞确认方法以及装置。
技术介绍
web漏洞的种类较多,包括跨站脚本(CrossSiteScripting,XSS)、SQL注入、命令注入、文件包含等等。这些web漏洞危害大,给网站的安全带来了较高的风险。如何保证网站的安全成为一个急需解决的问题。现有技术中,针对web漏洞的检测方法主要是使用源代码扫描产品对软件进行代码扫描。一方面可以找出潜在的风险,提高代码的安全性,另一方面也可以进一步提高代码的质量。但代码扫描为静态分析工具,扫描速度较慢,效率较低。
技术实现思路
本申请提供了一种web漏洞确认方法以及装置,以解决现有技术中,检测web漏洞的速度较慢,效率较低的问题。第一方面,本专利技术提供了一种web漏洞确认方法,包括:遍历目标程序,获得遍历结果;根据所述遍历结果,对所述目标程序中的目标污点来源函数内的参数进行标记,以获得目标污点参数;检测所述目标程序中的目标危险函数是否包含所述目标污点...
【技术保护点】
1.一种web漏洞确认方法,其特征在于,包括:/n遍历目标程序,获得遍历结果;/n根据所述遍历结果,对所述目标程序中的目标污点来源函数内的参数进行标记,以获得目标污点参数;/n检测所述目标程序中的目标危险函数是否包含所述目标污点参数和/或所述目标污点参数的结果参数;/n在检测到所述目标危险函数包含所述目标污点参数和/或所述目标污点参数的结果参数的情况下,确定所述目标程序中存在web漏洞;/n在检测到所述目标危险函数未包含所述目标污点参数和/或所述目标污点参数的结果参数的情况下,确定所述目标程序中不存在web漏洞。/n
【技术特征摘要】
1.一种web漏洞确认方法,其特征在于,包括:
遍历目标程序,获得遍历结果;
根据所述遍历结果,对所述目标程序中的目标污点来源函数内的参数进行标记,以获得目标污点参数;
检测所述目标程序中的目标危险函数是否包含所述目标污点参数和/或所述目标污点参数的结果参数;
在检测到所述目标危险函数包含所述目标污点参数和/或所述目标污点参数的结果参数的情况下,确定所述目标程序中存在web漏洞;
在检测到所述目标危险函数未包含所述目标污点参数和/或所述目标污点参数的结果参数的情况下,确定所述目标程序中不存在web漏洞。
2.如权利要求1所述的方法,其特征在于,在所述检测所述目标程序中的目标危险函数是否包含所述目标污点参数和/或所述目标污点参数的结果参数的步骤之前,所述方法还包括:
判断所述目标污点参数是否经过污点处理函数进行处理;
在判断出所述目标污点参数经过所述污点处理函数进行处理的情况下,确定所述目标污点参数被转换为安全参数;
在判断出所述目标污点参数未经过所述污点处理函数进行处理的情况下,对所述目标污点参数的结果参数进行标记,其中,所述目标污点参数的结果参数为对所述目标污点参数进行运算所获得的。
3.如权利要求2所述的方法,其特征在于,在检测到所述目标危险函数包含所述目标污点参数和/或所述目标污点参数的结果参数的情况下,确定所述目标程序中存在web漏洞的步骤之后,所述方法还包括:
将所述目标污点来源函数内的参数替换为目标字符串;
检测所述目标危险函数内是否包含所述目标字符串;
根据检测结果验证所述目标程序中是否存在所述web漏洞。
4.如权利要求3所述的方法,其特征在于,所述根据检测结果验证所述目标程序中是否存在所述web漏洞,包括:
在检测出所述目标危险函数内包含所述目标字符串的情况下,确定所述目标程序中不存在所述目标字符串对应的自定义污点处理函数,并确定所述目标程序中存在所...
【专利技术属性】
技术研发人员:牛彬,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。