一种攻击载荷生成方法、装置及计算机可读存储介质制造方法及图纸

根据本申请方案所提供的攻击载荷生成方法、装置及计算机可读存储介质，监听用户输入数据的数据流转过程；当用户输入数据流转到各数据流转节点对应的目标函数时，确定目标函数对用户输入数据的函数处理方式；判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法；针对能生成函数绕过方法的所有数据流转节点，根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷。通过本申请方案的实施，根据用户输入数据在数据流转时确定的函数处理方法，生成对应的函数绕过方法，再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷，有效提高漏洞扫描效率以及扫描准确率，降低部署服务器的配置要求。降低部署服务器的配置要求。降低部署服务器的配置要求。

An attack payload generation method, device and computer readable storage medium

【技术实现步骤摘要】
一种攻击载荷生成方法、装置及计算机可读存储介质


[0001]本申请涉及网络安全
，尤其涉及一种攻击载荷生成方法、装置及计算机可读存储介质。

技术介绍

[0002]随着开发人员网络安全意识的提升，开发的应用对各种请求的数据进行了过滤和校验。但是目前黑盒扫描技术还停留在使用不同的攻击载荷进行尝试，根据响应结果来生成新的攻击载荷继续攻击尝试，直到不能再生成攻击载荷(安全)或生成有效攻击载荷完成攻击(有漏洞)，这样就导致需要更多的攻击载荷才能完成漏洞的扫描覆盖。所以传统的黑盒扫描就会存在以下问题：随着防护技术的增强，需要越来越多的攻击载荷来完整覆盖漏洞检测；攻击载荷的增多，会导致对部署服务器的配置要求越来越高，同时也降低了扫描效率；攻击载荷的增加还是不能覆盖漏洞漏报的问题。

技术实现思路

[0003]本申请实施例提供了一种攻击载荷生成方法、装置及计算机可读存储介质，至少能够解决相关技术中攻击载荷的增多导致对部署服务器的配置要求越来越高，降低了扫描效率以及不能覆盖漏洞漏报的问题。
[0004]本申请实施例第一方面提供了一种攻击载荷生成方法，包括：
[0005]监听用户输入数据的数据流转过程；
[0006]当所述用户输入数据流转到各数据流转节点对应的目标函数时，确定所述目标函数对所述用户输入数据的函数处理方式；
[0007]判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法；其中，所述函数绕过方法为绕过所述函数处理方式的攻击方法；
[0008]针对能生成所述函数绕过方法的所有所述数据流转节点，根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷；其中，所述节点有效载荷为所述函数绕过方法的有效攻击代码。
[0009]本申请实施例第二方面提供了一种攻击载荷生成装置，包括：
[0010]监听模块，用于监听用户输入数据的数据流转过程；
[0011]确定模块，用于当所述用户输入数据流转到各数据流转节点对应的目标函数时，确定所述目标函数对所述用户输入数据的函数处理方式；
[0012]判断模块，用于判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法；其中，所述函数绕过方法为绕过所述函数处理方式的攻击方法；
[0013]生成模块，用于针对能生成所述函数绕过方法的所有所述数据流转节点，根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷；其中，所述节点有效载荷为所述函数绕过方法的有效攻击代码。
[0014]本申请实施例第三方面提供了一种电子设备，其特征在于，包括存储器及处理器，
其中，所述处理器用于执行存储在所述存储器上的计算机程序，所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的攻击载荷生成方法中的各步骤。
[0015]本申请实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，实现上述本申请实施例第一方面提供的攻击载荷生成方法中的各步骤。
[0016]由上可见，根据本申请方案所提供的攻击载荷生成方法、装置及计算机可读存储介质，监听用户输入数据的数据流转过程；当所述用户输入数据流转到各数据流转节点对应的目标函数时，确定所述目标函数对所述用户输入数据的函数处理方式；判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法；针对能生成所述函数绕过方法的所有所述数据流转节点，根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷。通过本申请方案的实施，根据用户输入数据在数据流转时确定的函数处理方法，生成对应的函数绕过方法，再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷，有效提高漏洞扫描效率以及扫描准确率，降低部署服务器的配置要求。
附图说明
[0017]图1为本申请第一实施例提供的攻击载荷生成方法的基本流程示意图；
[0018]图2为本申请第一实施例提供的DAST攻击载荷生成示意图；
[0019]图3为本申请第二实施例提供的攻击载荷生成方法的细化流程示意图；
[0020]图4为本申请第三实施例提供的攻击载荷生成装置的程序模块示意图；
[0021]图5为本申请第四实施例提供的电子装置的结构示意图。
[0022]具体实施内容
[0023]为使得本申请的专利技术目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0024]为了解决相关技术中攻击载荷的增多导致对部署服务器的配置要求越来越高，降低了扫描效率以及不能覆盖漏洞漏报的问题，本申请第一实施例提供了一种攻击载荷生成方法，如图1为本实施例提供的攻击载荷生成方法的基本流程图，该攻击载荷生成方法包括以下步骤：
[0025]步骤101、监听用户输入数据的数据流转过程。
[0026]具体的，在本实施例中，如图2为本实施例所提供的DAST攻击载荷生成示意图，通过IAST(Interactive application security testing，交互式应用程序安全测试)来监听用户输入数据的数据流转过程。IAST方法指基于请求、代码数据流/控制流来综合分析应用程序的安全风险，通过该技术可以获取到请求、代码数据流/控制流的上下文信息。
[0027]在本实施例一种可选的实施方式中，监听用户输入数据的数据流转过程的步骤，包括：获取用户输入数据；对用户输入数据添加污点标记；根据污点标记对用户输入数据的数据流转过程进行监听。
[0028]具体的，在实际应用中，现有的DAST(Dynamic Application Security Testing，动态应用程序安全测试)难以实时对用户输入数据的流转过程进行跟踪监听，所以难以及
时的在数据流转时做出反应，在本实施例中，在获取到用户输入数据时，对用于输入数据添加污点标记，根据对污点标记的跟踪对用户输入数据的数据流转过程进行实时监听，有效提高漏洞扫描效率以及扫描准确率。
[0029]步骤102、当用户输入数据流转到各数据流转节点对应的目标函数时，确定目标函数对用户输入数据的函数处理方式。
[0030]具体的，在实际应用中，当用户输入数据流转到目标函数时，目标函数会对用户输入数据进行响应，通过相应的函数处理方式对用户输入数据中相应的函数进行处理，但无法确定具体的函数处理方式，在本实施例中，如图2所示，通过SAST(Static Application Security Testing，静态应用程序安全测试)方法确定各数据流转节点对应的目标函数针对用户输入数据生成的对应的函数处理方式，SAST是一种在开发阶段对源代码进行安全测试发现安全漏洞的测试方法，也是一种白盒测试方法，在SAS本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击载荷生成方法，其特征在于，包括：监听用户输入数据的数据流转过程；当所述用户输入数据流转到各数据流转节点对应的目标函数时，确定所述目标函数对所述用户输入数据的函数处理方式；判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法；其中，所述函数绕过方法为绕过所述函数处理方式的攻击方法；针对能生成所述函数绕过方法的所有所述数据流转节点，根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷；其中，所述节点有效载荷为所述函数绕过方法的有效攻击代码。2.根据权利要求1所述的攻击载荷生成方法，其特征在于，所述确定所述目标函数对所述用户输入数据的函数处理方式的步骤之前，还包括：对所述用户输入数据进行代码审计；根据代码审计结果判断所述用户输入数据中是否存在危险函数；所述确定所述目标函数对所述用户输入数据的函数处理方式的步骤，包括：当所述用户输入数据存在所述危险函数时，确定所述目标函数对所述用户输入数据中所述危险函数的函数处理方式。3.根据权利要求1所述的攻击载荷生成方法，其特征在于，所述根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷的步骤，包括：确定所生成的所有所述函数绕过方法相应的所有节点有效载荷；根据所述目标函数的重要性评估指标确定所述函数绕过方法的危险性评估指标；根据所述所有所述函数绕过方法的危险性评估指标确定所有所述节点有效载荷的代码拼接顺序；根据所述代码拼接顺序对所有所述节点有效载荷进行拼接，生成攻击载荷。4.根据权利要求3所述的攻击载荷生成方法，其特征在于，所述根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷的步骤之后，还包括：控制所述攻击载荷按照所述代码拼接顺序，依次向存在所述函数绕过方法的目标函数发送攻击请求；获取存在所述函数绕过方法的目标函数对所述攻击载荷的响应信息；根据所述响应信息确定所述攻击载荷的攻击是否成功；若所述攻击载荷对存在所述函数绕过方法的目标函数攻击成功，则根据所述攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。5.根据权利要求4所述的攻击载荷生成...

【专利技术属性】
技术研发人员：王先成，万振华，王颉，李华，董燕，刘海涛，
申请(专利权)人：深圳市九州安域科技有限公司，
类型：发明
国别省市：