【技术实现步骤摘要】
web应用的漏洞检测方法、设备及计算机可读存储介质
[0001]本申请涉及计算机
,尤其涉及一种web应用的漏洞检测方法、设备及计算机可读存储介质。
技术介绍
[0002]相关技术中,web应用的漏洞检测通常基于单一的安全测试技术实现,比如DAST(Dynamic Application Security Testing,动态应用程序安全测试)技术、SAST(Static Application Security Testing,静态应用程序安全测试)技术和IAST(Interactive Application Security Testing,交互式应用程序安全测试)技术等。这些安全测试技术只能在web应用的测试和开发阶段使用,无法在产线上对web应用进行实时地防护;而且,类似于SAST技术,还需要web应用的源码,这将为web应用的隐私(比如知识产权的代码等)带来极大地泄露风险。
[0003]为此,RASP(Runtime Application Self
‑
Protection...
【技术保护点】
【技术特征摘要】
1.一种web应用的漏洞检测方法,其特征在于,包括:在web容器中加载漏洞检测探针;通过所述漏洞检测探针,从多种漏洞信息源中分别获取多个相互之间具备异质性的安全漏洞信息;根据所述安全漏洞信息,判断待测web应用是否存在安全漏洞。2.如权利要求1所述的web应用的漏洞检测方法,其特征在于,所述漏洞信息源包括:CVE漏洞库、CNNVD漏洞库、第一漏洞库、第二漏洞库和第三漏洞库中的至少两种;其中,所述第一漏洞库为利用IAST技术对web应用进行漏洞检测时,所检测到的安全漏洞的集合;所述第二漏洞库为利用SAST技术对web应用进行漏洞检测时,所检测到的安全漏洞的集合;所述第三漏洞库为利用DAST技术对web应用进行漏洞检测时,所检测到的安全漏洞的集合。3.如权利要求1所述的web应用的漏洞检测方法,其特征在于,所述根据所述安全漏洞信息,判断待测web应用是否存在安全漏洞,包括:获取待测web应用中的信息流;将多个所述安全漏洞信息分别与所述信息流进行对比,得到第一对比结果;根据所述第一对比结果,判断所述待测web应用是否存在安全漏洞;其中,若所述第一对比结果为多个所述安全漏洞信息中的至少一个与所述信息流一致,则确认所述待测web应用存在安全漏洞。4.如权利要求3所述的web应用的漏洞检测方法,其特征在于,所述根据所述第一对比结果,判断所述待测web应用是否存在安全漏洞之后,还包括:若所述第一对比结果为多个所述安全漏洞信息与所述信息流均不一致,则对多个所述安全漏洞信息进行随机结合,得到多个随机安全漏洞信息;将多个所述随机安全漏洞信息分别与所述信息流进行对比,得到第二对比结果;根据所述第二对比结果,判断所述待测web应用是否存在安全漏洞;其中,若所述第二对比结果为多个所述随机安全漏洞信息中的至少一个与所述信息流一致,则确认所述待测web应用存在安全漏洞。5.如权利要求1所述的web应用的漏洞检测方法,其特征在于,所述根据所述安全漏洞信息,判断待测web应用是否存在安全漏洞,包括:获取待测web应用中的信息流;将多个所述安全漏洞信息分别与所述信息流进行对比,得到各所...
【专利技术属性】
技术研发人员:李华,万振华,王颉,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。