一种Web应用程序漏洞检测方法、装置及存储介质制造方法及图纸

根据本申请方案所提供的Web应用程序漏洞检测方法、装置及存储介质，根据PHP扩展创建框架核心类库；其中，PHP扩展为PHP程序漏洞检测的探针；根据Web应用请求的请求数据所处数据处理阶段，调用框架核心类库中相应实现类对请求数据进行处理；根据处理结果检测请求数据中是否存在Web应用程序漏洞。通过本申请方案的实施，在Web应用请求的请求数据在处理阶段时，通过调用PHP扩展创建的框架核心类库中相应的实现类对请求数据进行处理，判断请求数据中是否存在Web应用程序漏洞，只需要PHP语言就可以灵活添加新的漏洞类型和开发各种漏洞检测方法，使Web应用程序漏洞的检测更加灵活，更加准确。确。确。

【技术实现步骤摘要】
一种Web应用程序漏洞检测方法、装置及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种Web应用程序漏洞检测方法、装置及存储介质。

技术介绍

[0002]自PHP诞生以来，凭借着快速开发，使用门槛低，逐渐发展为主流的Web应用程序开发语言之一，常年占据着很高的市场份额，期间诞生了很多知名的开源项目和框架，同时也面临着日趋严重的网络安全挑战。目前来看市面上已经有一些针对PHP项目的安全检测方法，从PHP语言扩展入手，对应用程序的数据流进行捕获分析，但目前还没有一个高效易用的框架来弹性扩展我们对Web应用程序探测的需要，即我们可以通过PHP语言去编写我们的漏洞检测方法，而不再是通过扩展去编写实现。这样我们探测的灵活度和易用性更高，相对于更多的PHP开发者来说，门槛也更低。通过对市面上已经有的PHP漏洞检测方法分析，我们发现存在以下问题：
[0003]通过PHP扩展实现漏洞的检测逻辑较为复杂，能支持的漏洞数量有限，修改起来麻烦；
[0004]需要技术人员懂得PHP扩展的编写(了解C语言或C++语言)，增加了漏洞检测方法实现的难度；
[0005]扩展本身对PHP的很多函数和类支持并不全面，没法动态的添加和修改；
[0006]扩展没有灵活的参数配置，可以通过开关对实际业务中的一些漏洞类型检测进行控制；

技术实现思路

[0007]本申请实施例提供了一种Web应用程序漏洞检测方法、装置及存储介质，至少能够解决相关技术中检测人员需要了解PHP扩展的开发，通过扩展新增的漏洞检测方法复杂不易实现以及扩展实现的检测方法不能灵活修改漏洞检测逻辑，扩展的修改都需要重新编译安装，没有通过PHP语言实现来得简单便捷的问题。
[0008]本申请实施例第一方面提供了一种Web应用程序漏洞检测方法，包括：
[0009]根据PHP扩展创建框架核心类库；其中，所述PHP扩展为PHP程序漏洞检测的探针；所述框架核心类库包括对所述Web应用请求的请求数据中字符串变量进行污点标记的第一实现类，和，对处理所述字符串变量的PHP函数、类以及opcode进行Hook的第二实现类；
[0010]根据所述Web应用请求的所述请求数据所处数据处理阶段，调用所述框架核心类库中相应所述实现类对所述请求数据进行处理；其中，数据处理阶段包括输入阶段、传输阶段；
[0011]根据处理结果检测所述请求数据中是否存在Web应用程序漏洞。
[0012]本申请实施例第二方面提供了一种Web应用程序漏洞检测装置，包括：
[0013]创建模块，用于根据PHP扩展创建框架核心类库；
[0014]处理模块，用于根据所述Web应用请求的所述请求数据所处数据处理阶段，调用所述框架核心类库中相应所述实现类对所述请求数据进行处理；其中，数据处理阶段包括输入阶段、传输阶段；
[0015]检测模块，用于根据处理结果检测所述请求数据中是否存在Web应用程序漏洞。
[0016]本申请实施例第三方面提供了一种电子装置，包括：存储器、处理器及总线，所述总线用于实现所述存储器、处理器之间的连接通讯；所述处理器用于执行存储在所述存储器上的计算机程序，所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的Web应用程序漏洞检测方法中的各步骤。
[0017]本申请实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现上述本申请实施例第一方面提供的Web应用程序漏洞检测方法中的各步骤。
[0018]由上可见，根据本申请方案所提供的Web应用程序漏洞检测方法、装置及存储介质，根据PHP扩展创建框架核心类库；其中，所述PHP扩展为PHP程序漏洞检测的探针；所述框架核心类库包括对所述Web应用请求的请求数据中字符串变量进行污点标记的第一实现类，和，对处理所述字符串变量的PHP函数、类以及opcode进行Hook的第二实现类；根据所述Web应用请求的所述请求数据所处数据处理阶段，调用所述框架核心类库中相应所述实现类对所述请求数据进行处理；根据处理结果检测所述请求数据中是否存在Web应用程序漏洞。通过本申请方案的实施，在Web应用请求的请求数据在处理阶段时，通过调用PHP扩展创建的框架核心类库中相应的实现类对请求数据进行处理，判断请求数据中是否存在Web应用程序漏洞，只需要PHP语言就可以灵活添加新的漏洞类型和开发各种漏洞检测方法，使Web应用程序漏洞的检测更加灵活，更加准确。
附图说明
[0019]图1为本申请第一实施例提供的Web应用程序漏洞检测方法的基本流程示意图；
[0020]图2为本申请第二实施例提供的Web应用程序漏洞检测方法的细化流程示意图；
[0021]图3为本申请第三实施例提供的Web应用程序漏洞检测装置的程序模块示意图；
[0022]图4为本申请第四实施例提供的电子装置的结构示意图。
[0023]具体实施内容
[0024]为使得本申请的专利技术目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0025]为了解决相关技术中检测人员需要了解PHP扩展的开发，通过扩展新增的漏洞检测方法复杂不易实现以及扩展实现的检测方法不能灵活修改漏洞检测逻辑，扩展的修改都需要重新编译安装，没有通过PHP语言实现来得简单便捷的问题，本申请第一实施例提供了Web应用程序漏洞检测方法。
[0026]如图1为本实施例提供的Web应用程序漏洞检测方法的基本流程图，该Web应用程序漏洞检测方法包括以下的步骤：
[0027]步骤101、根据PHP扩展创建框架核心类库。
[0028]具体的，本实施例中PHP扩展为PHP程序漏洞检测的探针，可以实现PHP程序运行时的漏洞检测；框架核心类库包括对Web应用请求的请求数据中字符串变量进行污点标记的第一实现类，和，对处理传入的字符串变量的PHP函数、类以及opcode进行Hook的第二实现类。在实际应用中，目前市面上已经有一些针对PHP项目的安全检测方法，从PHP语言扩展入手，对应用程序的数据流进行捕获分析，但目前还没有一个高效易用的框架来弹性扩展对Web应用程序探测的需要，在本实施例中，通过PHP语言去编写PHP扩展，根据PHP扩展创建框架核心类库，使用户可以根据PHP语言对框架核心类库进行修改，拥有更高的灵活度和易用性。
[0029]在本实施例一种可选的实施方式中，根据PHP扩展创建框架核心类库的步骤之后，还包括：获取针对漏洞探测框架修改的漏洞检测逻辑代码；根据漏洞检测逻辑代码，控制漏洞探测框架对漏洞检测逻辑进行相应修改。
[0030]具体的，在实际应用中，扩展本身对PHP的很多函数和类支持并不全面，无法动态的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Web应用程序漏洞检测方法，其特征在于，包括：根据PHP扩展创建框架核心类库；其中，所述PHP扩展为PHP程序漏洞检测的探针；所述框架核心类库包括对所述Web应用请求的请求数据中字符串变量进行污点标记的第一实现类，和，对处理传入的所述字符串变量的PHP函数、类以及opcode进行Hook的第二实现类；根据所述Web应用请求的所述请求数据所处数据处理阶段，调用所述框架核心类库中相应所述实现类对所述请求数据进行处理；其中，数据处理阶段包括输入阶段、传输阶段；根据处理结果检测所述请求数据中是否存在Web应用程序漏洞。2.根据权利要求1所述的Web应用程序漏洞检测方法，其特征在于，所述根据所述Web应用请求的所述请求数据所处数据处理阶段，调用所述框架核心类库中相应所述实现类对所述请求数据进行处理的步骤，包括：当所述Web应用请求的所述请求数据处于输入阶段时，调用所述框架核心类库中所述第一实现类，对所述请求数据中字符串变量进行污点标记；当所述Web应用请求的所述请求数据处于传输阶段时，调用所述框架核心类库中所述第二实现类，对所述请求数据中处理传入的所述字符串变量的PHP函数、类以及opcode在漏洞探测框架中进行Hook。3.根据权利要求2所述的Web应用程序漏洞检测方法，其特征在于，所述根据处理结果检测所述请求数据中是否存在Web应用程序漏洞的步骤之后，还包括：当所述Web应用请求的所述请求数据处于输出阶段时，检测所述字符串变量是否存在污点标记；当所述字符串变量存在所述污点标记时，确定所述请求数据中存在所述Web应用程序漏洞。4.根据权利要求2所述的Web应用程序漏洞检测方法，其特征在于，所述数据处理阶段为传输阶段；所述根据处理结果检测所述请求数据中是否存在Web应用程序漏洞步骤，包括：根据所述漏洞探测框架检测所述PHP函数、类以及opcode在处理传入的所述字符串变量时是否存在所述Web应用程序漏洞；所述根据处理结果检测所述请求数据中是否存在Web应用程序漏洞的步骤之后，还包括：若检测到所述PHP函数、类以及opcode在处理传入的所述字符串变量...

【专利技术属性】
技术研发人员：万振华，
申请(专利权)人：深圳市九州安域科技有限公司，
类型：发明
国别省市：