一种无代码的流程可视化漏洞检测方法和系统技术方案

本发明专利技术公开了一种无代码的流程可视化漏洞检测方法和系统，针对现有技术中存在的需要人工编写脚本代码或者编制扫描规则配置文件；以及编写扫描规则配置文件也需要基于固定模板，编制流程和逻辑规则，还需要学习和手工插入引擎中的自定义函数，学习特定的流程和语法规范的问题，本发明专利技术的技术方案包括：首先程序自动完成测试流程封装操作；用户创建漏洞检测方法时，程序自动完成系统变量初始化，同时保证不同检测方法的变量互不影响；然后用户可自定义全局变量在后续操作中引用；随后新建测试流程，可在流程中引用之前创建的全局变量和系统变量，并将结果绑定到未使用的系统变量；最后添加判断规则集合，并进行逻辑综合判断是否存在漏洞。存在漏洞。存在漏洞。

【技术实现步骤摘要】
一种无代码的流程可视化漏洞检测方法和系统


[0001]本专利技术属于系统安全
，具体涉及一种无代码的流程可视化漏洞检测方法和系统。

技术介绍

[0002]随着网络技术的发展，信息安全也越来越受到人们的重视。如果网站或者服务器的应用程序存在安全漏洞，不仅会对功能的正常使用造成影响，严重的话造成数据与机密的泄露。造成严重的经济损失和危害。因此对漏洞的检测显得尤为重要。
[0003]现有技术中，通常通过漏洞扫描仪对漏洞进行检测。漏洞扫描器的相关产品中，在漏洞扫描规则的处理上，通常有三种形式：第一种是将漏洞扫描和判断机制硬编码在扫描引擎中；第二种是将扫描引擎和扫描脚本分开，扫描脚本以可执行的脚本文件加载到扫描引擎中执行；第三种是将扫描引擎和扫描规则分开，扫描规则以配置文件的形式加载到漏洞扫描引擎中解析执行。
[0004]现有技术中存在以下技术问题：第二种和第三种方式更便于漏洞扫描器扫描规则的扩展，但是这两种方式需要人工编写脚本代码或者编制扫描规则配置文件。编写脚本代码需要熟悉特定的脚本编程语言，如python、ruby等等，还需要熟悉和了解在扫描引擎中封装的自定义函数。编写扫描规则配置文件也需要基于固定模板，编制流程和逻辑规则，还需要学习和手工插入引擎中的自定义函数，学习特定的流程和语法规范。并且这些方式，对编写规则的人来说要较高的编程基础，较强的逻辑和分析、调试能力，调试和执行过程也无法可视化，出现问题调试也较为麻烦。

技术实现思路

[0005]针对现有技术中存在的需要人工编写脚本代码或者编制扫描规则配置文件；以及编写扫描规则配置文件也需要基于固定模板，编制流程和逻辑规则，还需要学习和手工插入引擎中的自定义函数，学习特定的流程和语法规范的问题，本专利技术提出了一种无代码的流程可视化漏洞检测方法和系统，其目的为：通过可视化界面，在不编写代码的情况下，通过新建流程和填写表单的形式，实现复杂的漏洞扫描流程的定制化开发。
[0006]为实现上述目的本专利技术所采用的技术方案是：提供一种无代码的流程可视化漏洞检测方法，包括：S1：首先对漏洞扫描中的各类测试的测试流程进行抽象封装成接口，并针对不同的测试流程，内置不同的系统变量，用于绑定测试流程的结果数据和下一个测试流程及逻辑判断中；S2：通过可视化表单创建测试流程，支持创建多个测试流程，对多个测试流程进行排序和衔接，生成测试流程列表；S3：不同的测试流程进行执行产生不同的结果数据，将所述结果数据绑定到对应
的系统变量中；S4：根据各个测试流程的执行结果设置综合逻辑判断关系，根据所述综合逻辑判断关系来进行逻辑运算，以最终的逻辑运算结果判断漏洞是否存在。
[0007]较优的，本专利技术S1中，测试流程包括：发送HTTP请求、延迟等待指定时间、识别提取验证码、从响应中提取数据、对数据进行处理。
[0008]较优的，本专利技术S1中还包括设置全局变量：用户通过可视化表单创建全局变量，并为全局变量赋值，支持对全局变量添加处理规则，所述处理规则包括：前缀、后缀、反转、截取、编码字符串和解码字符串。所述处理规则在全局变量引用前生效。
[0009]较优的，本专利技术S2中，创建的测试流程包括：a．发送HTTP请求：输入请求数据包，支持通过可视化界面插入全局变量或系统变量，执行该测试流程时将全局变量或系统变量替换为真实数据；b．延迟等待指定时间：用于发送请求间隔，避免频繁请求被测试服务器封禁，使用毫秒为单位。
[0010]c．识别并提取验证码：输入获取验证码图片的数据包，对复杂的验证码图片进行识别，内置了多个AI识别引擎，同时支持对识别结果的误差字符进行人工矫正；d.从响应中提取数据：根据用户自定义规则，从其他的测试流程结果绑定的变量中的属性提取数据并绑定到全局变量或系统变量；e．对数据进行处理：根据用户自定义的规则，对全局变量或其他测试流程结果绑定的变量进行处理，内置多种数据处理规则，包括：前缀、后缀、反转、截取、编码字符串、解码字符串、大小写转换。
[0011]较优的，本专利技术S3具体包括：绑定发送HTTP请求结果的R类型变量；绑定识别并提取验证码结果的Y类型变量；绑定从响应中提取数据结果的E类型变量；绑定对数据进行处理结果的P类型变量；绑定DNS带外工具箱接口数据的T类型变量。
[0012]较优的，本专利技术S4具体包括：设置综合逻辑判断关系，然后实例化测试流程列表，对其进行综合测试，最后进行逻辑综合判断，若综合逻辑判断为正确，则测试通过；若逻辑判断为空或错误,则测试未通过，根据执行时输出的错误信息或者查看操作流程日志详情，定位不符合预期的测试流程，进行调试、修正和改进；测试过程中各测试流程根据测试流程列表的顺序依次执行，动态展示执行状态，执行结果通过可视化界面展示；若执行失败，可查看执行的调试输出信息，跟踪测试流程的数据和对象、系统变量的变化情况，定位异常位置。
[0013]本专利技术还提出一种无代码的流程可视化漏洞检测系统，包括：测试流程预处理模块：对漏洞扫描中的各类测试的测试流程进行抽象封装成接口，并针对不同的测试流程，内置不同的系统变量，用于绑定测试流程的结果数据和下一个测试流程及逻辑判断中；创建测试流程模块：通过可视化表单创建测试流程，支持创建多个测试流程，对多个测试流程进行排序和衔接，生成测试流程列表；测试流程执行结果绑定模块：不同的测试流程进行执行产生不同的结果数据，将所述结果数据绑定到对应的系统变量中；综合逻辑判断模块：根据各个测试流程的执行结果设置综合逻辑判断关系，根据
所述综合逻辑判断关系来进行逻辑运算，以最终的逻辑运算结果判断漏洞是否存在。
[0014]较优的，本专利技术测试流程预处理模块中，还包括设置全局变量：用户通过可视化表单创建全局变量，并为全局变量赋值，支持对全局变量添加处理规则，所述处理规则包括：前缀、后缀、反转、截取、编码字符串和解码字符串。所述处理规则在全局变量引用前生效。
[0015]较优的，本专利技术创建测试流程模块中，创建的测试流程包括：a．发送HTTP请求：输入请求数据包，支持通过可视化界面插入全局变量或系统变量，执行该测试流程时将全局变量或系统变量替换为真实数据；b．延迟等待指定时间：用于发送请求间隔，避免频繁请求被测试服务器封禁，使用毫秒为单位。
[0016]c．识别并提取验证码：输入获取验证码图片的数据包，对复杂的验证码图片进行识别，内置了多个AI识别引擎，同时支持对识别结果的误差字符进行人工矫正；d.从响应中提取数据：根据用户自定义规则，从其他的测试流程结果绑定的变量中的属性提取数据并绑定到全局变量或系统变量；e．对数据进行处理：根据用户自定义的规则，对全局变量或其他测试流程结果绑定的变量进行处理，内置多种数据处理规则，包括：前缀、后缀、反转、截取、编码字符串、解码字符串、大小写转换。
[0017]较优的，本专利技术综合逻辑判断模块具体包括：设置综合逻辑判断关系，然后实例化测试流程列表，对其进行综合测试，最后进行逻辑综合判断，若综合逻辑判断为正确，则测试通过；若逻辑判断为空本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种无代码的流程可视化漏洞检测方法，其特征在于，包括：S1：首先对漏洞扫描中的各类测试的测试流程进行抽象封装成接口，并针对不同的测试流程，内置不同的系统变量，用于绑定测试流程的结果数据和下一个测试流程及逻辑判断中；S2：通过可视化表单创建测试流程，支持创建多个测试流程，对多个测试流程进行排序和衔接，生成测试流程列表；S3：不同的测试流程进行执行产生不同的结果数据，将所述结果数据绑定到对应的系统变量中；S4：根据各个测试流程的执行结果设置综合逻辑判断关系，根据所述综合逻辑判断关系来进行逻辑运算，以最终的逻辑运算结果判断漏洞是否存在。2.根据权利要求1所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S1中，测试流程包括：发送HTTP请求、延迟等待指定时间、识别提取验证码、从响应中提取数据、对数据进行处理。3.根据权利要求1所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S1中还包括设置全局变量：用户通过可视化表单创建全局变量，并为全局变量赋值，支持对全局变量添加处理规则，所述处理规则包括：前缀、后缀、反转、截取、编码字符串和解码字符串；所述处理规则在全局变量引用前生效。4.根据权利要求3所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S2中，创建的测试流程包括：a．发送HTTP请求：输入请求数据包，支持通过可视化界面插入全局变量或系统变量，执行该测试流程时将全局变量或系统变量替换为真实数据；b．延迟等待指定时间：用于发送请求间隔，避免频繁请求被测试服务器封禁，使用毫秒为单位；c．识别并提取验证码：输入获取验证码图片的数据包，对复杂的验证码图片进行识别，内置了多个AI识别引擎，同时支持对识别结果的误差字符进行人工矫正；d.从响应中提取数据：根据用户自定义规则，从其他的测试流程结果绑定的变量中的属性提取数据并绑定到全局变量或系统变量；e．对数据进行处理：根据用户自定义的规则，对全局变量或其他测试流程结果绑定的变量进行处理，内置多种数据处理规则，包括：前缀、后缀、反转、截取、编码字符串、解码字符串、大小写转换。5.根据权利要求1所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S3具体包括：绑定发送HTTP请求结果的R类型变量；绑定识别并提取验证码结果的Y类型变量；绑定从响应中提取数据结果的E类型变量；绑定对数据进行处理结果的P类型变量；绑定DNS带外工具箱接口数据的T类型变量。6.根据权利要求1所述的一种无代码的流程可视化漏洞检测方法，其特征在于，S4具体包括：设置综合逻辑判断关系，然后实例化测试流程列表，对其进行综合测试，最后进行逻辑综合判断，若综合逻辑判断为正确，则测试通过；若逻辑判断为空或错误,则测试未通过，根据执行时输出的错误信息或者查看操作流程日志详情，定位不符合预期的测试流程，进行调试、修正和改进；
测试过程中各测...

【专利技术属性】
技术研发人员：李维，张瑞冬，童永鳌，朱鹏，
申请(专利权)人：成都无糖信息技术有限公司，
类型：发明
国别省市：