【技术实现步骤摘要】
基于智能探针的漏洞验证方法及相关IAST方法、系统
本公开的实施例主要涉及计算机软件安全测试领域,并且更具体地,涉及一种基于智能探针的漏洞验证方法及相关IAST方法、系统。
技术介绍
随着数字时代的到来,基于B/S的Web应用技术被广泛用于政企业务数字化转型中。然而,随之而来的应用安全威胁也显著增加。相关研究显示,越来越多的安全漏洞发生在应用程序层,而非我们以往认知的网络层。为了确保应用程序在交付部署后能够安全稳定的提供服务,通常都会在交付前通过应用安全测试发现和修复其中的薄弱点和漏洞,以防止相关应用程序被黑客及非法人员利用而造成安全危害。然而,由于攻击侧技术的发展和开源组件应用给防守侧带来的安全挑战,加之在出于市场竞争等因素迫使开发者实体/个人开始转向能够满足频繁更新、快速发版的开发模式的大前提下,无益都给相关软件产品在交付前的应用安全测试提出了新的课题和要求。此时,面对上述情形,如何提供一种更为高效且可靠的应用安全测试以满足赋能开发测试人员快速完成相关应用业务代码交付上线前安全测试,成为一个技术难题。
技术实现思路
根据本公开的示例实施例,提供一种基于智能探针的漏洞验证方案,以及基于此进一步提供一种IAST灰盒安全测试方案。在本公开的第一方面中,提供一种基于智能探针的漏洞验证方法。该方法基于Agent技术,具体包括:在服务端,对目标程序中的目标关键函数插桩相应的智能探针;其中,目标关键函数,是指相对于目标类型漏洞的关键函数;对应目标类型漏洞,在目标程序中包括至少一个的目标关键函数;所述 ...
【技术保护点】
1.一种基于智能探针的漏洞验证方法,其特征在于,该方法基于Agent技术,包括:/n在服务端,对目标程序中的目标关键函数插桩相应的智能探针;对应目标类型漏洞,在目标程序中包括至少一个的目标关键函数;/n所述智能探针,被配置为接收相应的模拟攻击测试的报文的有效报文内容,和在所述模拟攻击测试的数据流执行到所述智能探针的插桩点时获取有效运行时数据,以及根据所述有效运行时数据和其对应的被插桩目标关键函数信息,及接收的所述模拟攻击测试报文有效报文内容,判断该被插桩目标关键函数在受到所述模拟攻击时是否异常执行,进而确定目标程序中是否潜藏目标类型漏洞;/n其中,所述模拟攻击测试,是指基于模拟攻击用于检测是否存在目标类型漏洞的测试;所述模拟攻击测试报文,应携带有能够触发目标类型漏洞的有效载荷。/n
【技术特征摘要】
1.一种基于智能探针的漏洞验证方法,其特征在于,该方法基于Agent技术,包括:
在服务端,对目标程序中的目标关键函数插桩相应的智能探针;对应目标类型漏洞,在目标程序中包括至少一个的目标关键函数;
所述智能探针,被配置为接收相应的模拟攻击测试的报文的有效报文内容,和在所述模拟攻击测试的数据流执行到所述智能探针的插桩点时获取有效运行时数据,以及根据所述有效运行时数据和其对应的被插桩目标关键函数信息,及接收的所述模拟攻击测试报文有效报文内容,判断该被插桩目标关键函数在受到所述模拟攻击时是否异常执行,进而确定目标程序中是否潜藏目标类型漏洞;
其中,所述模拟攻击测试,是指基于模拟攻击用于检测是否存在目标类型漏洞的测试;所述模拟攻击测试报文,应携带有能够触发目标类型漏洞的有效载荷。
2.根据权利要求1所述的方法,其特征在于,
所述智能探针判断其所插桩的目标关键函数在受到针对性的模拟攻击时是否异常执行的过程,包括:
D1:判断所述模拟攻击测试报文的有效报文内容中是否包括能够触发目标类型漏洞的有效载荷参数;若是,则继而,D2:根据所述模拟攻击测试报文中的有效载荷参数内容,和所述有效运行时数据、目标关键函数信息,判断所述有效运行时数据中是否包括经无害化处理的所述模拟攻击测试报文的有效载荷参数内容;若否,则判定目标关键函数异常执行;
或包括:
配置得使所述智能探针接收的所述模拟攻击测试报文的有效报文内容中还应包括请求参数值;D1:判断所述模拟攻击测试报文的有效报文内容中是否包括能够触发目标类型漏洞的有效载荷参数;若是,则继而,D2:根据所述模拟攻击测试报文中的有效载荷参数内容,和所述有效运行时数据、目标关键函数信息,判断所述有效运行时数据中是否包括经无害化处理的所述模拟攻击测试报文的有效载荷参数内容;以及,D3:判断所述有效运行时数据中是否包括所述请求参数值;若D2为否且D3为是,则判定目标关键函数异常执行。
3.根据权利要求1所述的方法,其特征在于,
对于目标类型漏洞,对目标程序插入的智能探针,能够独立地用于确定目标程序中是否潜藏了目标类型漏洞;
和/或,
对目标程序插桩相应的辅助探针;其中的辅助探针,被用于获取提供给智能探针的模拟攻击测试报文有效报文内容,和/或,被用于获取目标程序返回给测试端的响应报文;
其中,所述的响应报文,用于目标类型漏洞验证的辅助分析。
4.根据权利要求3所述的方法,其特征在于,
所述的辅助探针,能够被复用于不同类型漏洞的验证过程中的有着相同获取位点、符合相同内容格式要求的模拟攻击测试报文有效报文内容或响应报文的获取,和为不同的智能探针提供相应的模拟攻击测...
【专利技术属性】
技术研发人员:张涛,宁戈,牛伟颖,刘恩炙,
申请(专利权)人:北京安普诺信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。