【技术实现步骤摘要】
web应用程序的漏洞检测方法、设备及计算机可读存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种web应用程序的漏洞检测方法、设备及计算机可读存储介质。
技术介绍
[0002]相关技术中,web应用程序的安全测试技术一般包括DAST(Dynamic Application Security Testing,动态应用程序安全测试)技术、SAST(Static Application Security Testing,静态应用程序安全测试)技术以及IAST(Interactive Application Security Testing,交互式应用程序安全测试)技术。在IAST技术中,对待测web应用程序进行漏洞检测时,通常会对污点数据以及相应的函数流进行跟踪;其中,污点数据是指位于待测web应用程序的前端由用户所输入的数据。在跟踪过程中,由于污点数据以及相应的函数流都会被存储在当前的线程变量内,从而使得在多线程切换时,容易出现由对污点数据以及相应的函数流的跟踪丢失所引起的漏洞漏检的现象,进而导致对待测web应用程序进行漏洞检测时的全面性和准确性均较低。
[0003]因此,有必要对上述web应用程序的漏洞检测方法进行改进。
技术实现思路
[0004]本专利技术提供了一种web应用程序的漏洞检测方法、设备及计算机可读存储介质,旨在解决相关技术中对待测web应用程序进行漏洞检测时的全面性和准确性均较低的问题。
[0005]为了解决上述技术问题,本专利技术实施例第一方面 ...
【技术保护点】
【技术特征摘要】
1.一种web应用程序的漏洞检测方法,其特征在于,包括:通过输入函数获取待测web应用程序的请求数据;所述请求数据与用户在所述待测web应用程序的前端的操作相关;通过n个传播函数对所述请求数据进行传播,得到n条新请求数据;其中,n为大于1的正整数;第一个所述传播函数的输入为所述请求数据,第n个所述传播函数的输入为第n
‑
1个所述传播函数的输出,且每一个所述传播函数的输出均为一条所述新请求数据,每一条所述新请求数据的数据类型均与所述请求数据不同;第n个所述传播函数对第n
‑
1个所述传播函数输出的所述新请求数据进行获取前,将n
‑
1个所述传播函数以及相应输出的所述新请求数据从当前线程变量复制到全局变量,且当第n个所述传播函数获取不到第n
‑
1个所述传播函数输出的所述新请求数据时,从所述全局变量中获取第n
‑
1个所述传播函数输出的所述新请求数据;通过执行函数获取执行参数;所述执行函数用于基于所述执行参数执行关键动作,所述关键动作与所述用户在所述待测web应用程序的前端的操作相关;根据所述执行参数、所述请求数据以及各所述新请求数据,判断所述待测web应用程序是否存在漏洞。2.如权利要求1所述的web应用程序的漏洞检测方法,其特征在于,所述根据所述执行参数、所述请求数据以及各所述新请求数据,判断所述待测web应用程序是否存在漏洞之后,还包括:以当前线程结束的时刻作为参考时刻,对所述全局变量中的所述传播函数以及相应输出的所述新请求数据进行删除。3.如权利要求1所述的web应用程序的漏洞检测方法,其特征在于,所述根据所述执行参数、所述请求数据以及各所述新请求数据,判断所述待测web应用程序是否存在漏洞,包括:判断所述执行参数中是否存在漏洞攻击代码;若不存在,则确认所述待测web应用程序不存在漏洞;若存在,则参考所述执行参数与所述请求数据的第一相关性评价指标,以及所述执行参数与各所述新请求数据的第二相关性评价指标,判断所述待测web应用程序是否存在漏洞;其中,若所述第一相关性评价指标大于或等于第一相关性阈值,以及各所述第二相关性评价指标均大于或等于第二相关性阈值,则确认所述待测web应用程序存在漏洞。4.如权利要求3所述的web应用程序的漏洞检测方法,其特征在于,所述根据所述执行参数、所述请求数据...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。