【技术实现步骤摘要】
大型企业内部自开发信息系统代码的安全测评方法及系统
[0001]本专利技术涉及自开发信息系统代码的安全
,具体来讲,涉及大型企业内部自开发信息系统代码的安全测评方法及系统。
技术介绍
[0002]在云计算、大数据等技术颠覆性趋势继续在应用经济下发挥作用的同时,业务快速迭代等需求已经在业务决策中不可或缺。在今天应用驱动、云计算、移动化的大环境下,业务快速迭代将助力业务增值。
[0003]考虑到业务快速迭代的需求,传统安全流程中的很多环节已经成为障碍,这些障碍必须消除,遗憾的是很多企业并没有意识到这些问题。传统安全的运营是基于系统发布之后,再由安全人员确认系统的安全风险。使用这种方式设计的流程只适用于瀑布模式的业务活动。不幸的是,随着迭代的引入,这样运营安全的方式是有缺陷的,并且在系统内带来了内在风险,因为业务决策需要平衡内联,并且跟上业务的速度。
[0004]随着业务决策的快速变化,传统安全不再是一种选择。在开发周期中,它的位置太靠后,而与迭代设计和系统发布相协作时,它又不够迅速,传统安全在业务快速迭代的...
【技术保护点】
【技术特征摘要】
1.一种大型企业内部自开发信息系统代码的安全测评方法,所述安全测评方法包括以下步骤:步骤一,在对信息系统进行常规功能测试时,流量采集模块以对于用户而言完全透明的方式自动抓取http/https的流量,最终采集的所有流量都保存至存储中心数据库;步骤二,通过流量分析模块分析存储中心数据库中的请求流量、数据流量,分析出目标站点的请求方式,接口URL和请求体,最后结构化存储至存储中心数据库,以供后续模块调用;步骤三,调用爬虫模块,根据分布式消息队列中提取的目标网站域名或地址,尝试向目标地址发起HTTP请求进行HTML文本爬取,然后解析响应的HTML文本中的URI端点,同时将爬虫的请求和响应的HTML文本与URI端点存入存储中心数据库,以供后续模块调用;步骤四,漏洞检测引擎从存储中心数据库取出已经识别到的信息系统URL,对该信息系统所有URL进行多线程扫描,并将扫描结果插入可视化集成管理平台数据库;步骤五,分析存储中心数据库存储的代码安全漏洞扫描结果数据,进行漏洞分析和图表展示。2.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述流量采集的模块包括代理模块、插桩模块、流量嗅探模块、以及日志导入模块。3.根据权利要求2所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述插桩模块能够支持通用漏洞、业务逻辑漏洞以及第三方组件的风险检测,还能够覆盖加密、验证码的一次性接口场景;插桩模块无需重放请求、无脏数据,能够直接定位到代码位置、代码内容以及数据流信息,完整地展现漏洞从输入、传播到最终执行的全过程。4.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述流量分析模块能够分析HTTP协议流量,在功能性测试中,采集请求和响应数据,解析HTTP请求协议包和HTTP响应协议包。5.根据权利要求4所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述HTTP响应协议包含有请求行中的方法、协议版本和资源URI,请求头中的协议字段和字段值,请求体中的参数和参数值。6.根据权利要求4所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述HTTP响应协议包含有响应行中返回的协议版本和状态码,响应头中的参数和参数值,响应体中的HTML文本。7.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述爬虫模块的工作流程如下:1)爬虫模块从分布式消息队列系统中获取信息系统的URL地址字符串,通过正则匹配将URL地址字符串进行分割,然后得到独立的协议类型字符串以及地址和参数信息,以完成URL地址的识别和分割;2)通过加入Header请求头和请求参数,构造一个Request请求对象,然后对分割出来的目标地址发起标准的HTTP方法调用,目标服务器响应标准的HTML文本,从而完成获取目标站点HTML文本的步骤;3)将HTML文本转换为DOM树,通过对应的HTML标签获取到对应标签内容以及属性和属性值,然后通过匹配筛选将与目标地址相关的URI端点进行提取并保存进存储中心数据库,
从而完成HTML文本解析和提取URI端点的步骤。8.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述漏洞检测引擎通过检测...
【专利技术属性】
技术研发人员:梁泰崧,冷炜镧,王雷,武文斌,程翀,刘亚奇,江涛,刘炯,
申请(专利权)人:中国石油集团川庆钻探工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。