【技术实现步骤摘要】
一种Web应用安全漏洞的检测方法及系统
[0001]本专利技术涉及安全漏洞检测
,具体涉及一种Web应用安全漏洞的检测方法及系统。
技术介绍
[0002]漏洞扫描,是一种计算机程序,旨在评估和发现计算机、网络或应用程序的已知弱点以及识别和检测防火墙、路由器、网络服务器、应用服务器等中由于错误配置或有缺陷的程序所产生的漏洞。此外漏洞扫描器还会扫描电脑上已安装的软件、开放的端口、证书和其他主机信息并给出漏洞报告以及有关操作系统和已安装软件的详细而准确的信息,例如配置问题和系统所缺少的安全补丁。模糊测试(fuzztesting,fuzzing)是一种软件测试技术。其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常,如崩溃、断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。
[0003]传统的Web漏洞扫描,特别是静态代码扫描会产生大量的误报,并且由于测试用例库的有限性,产生杀虫剂悖论,在测试软件运行一段时间后,很难再监测出新的bug。目前的模糊测试技术对javaweb程序进行测...
【技术保护点】
【技术特征摘要】
1.一种Web应用安全漏洞的检测方法,其特征在于,所述方法包括:fuzz客户端根据用户测试指令调用AFL工具并指定一个具体的待测程序URL路径进行fuzz测试,AFL工具利用指定的突变器对待测程序的URL进行参数突变,其中根据污点跟踪收集的待测程序的关键信息作为辅助突变的特征值对URL进行定向突变,将突变结果整合成http请求并发送至fuzz服务器;所述fuzz服务器对获取到的http请求进行解析,基于解析得到的突变结果作为输入对待测程序进行安全漏洞检测并进行覆盖率分析,通过调用污点跟踪模块获取测试结果,确定待测程序可能存在安全问题的URL以及检测出的web安全漏洞,并将测试结果返回给fuzz客户端。2.根据权利要求1所述的一种Web应用安全漏洞的检测方法,其特征在于,所述方法还包括:所述fuzz客户端调用fuzz验证模块对获取到的测试结果中发现的web安全漏洞启动验证,通过验证去除误报信息得到最终的检测结果。3.根据权利要求1所述的一种Web应用安全漏洞的检测方法,其特征在于,所述方法还包括:用户通过操作SDK向fuzz客户端发出测试指令,包括启动、停止指令。4.根据权利要求1所述的一种Web应用安全漏洞的检测方法,其特征在于,所述方法还包括:fuzz服务器响应于fuzz客户端的请求获取待测程序的URL列表并返回给fuzz客户端,以便所述fuzz客户端启动对对待测程序的URL进行fuzz测试;其中,获取待测程序的url信息的方式包括记录调用过的url、解析框架中的url。5.根据权利要求1所述的一种Web应用安全漏洞的检测方法,其特征在于,根据污点跟踪收集的待测程序的关键信息作为辅助突变的特征值对URL进行定向突变,具体包括:fuzz服务器响应于fuzz客户端的请求将污点跟踪模块收集的待测程序的关键信息作为突变特征值返回给fuzz客户端;fuzz客户端将获取的突变特征值通过指定的突变器将URL中的...
【专利技术属性】
技术研发人员:崔延彬,白易元,
申请(专利权)人:北京水木羽林科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。