本说明书实施例提供应用程序的漏洞检测方法以及装置,其中所述应用程序的漏洞检测方法包括:接收待测试应用程序的漏洞检测请求,其中,所述漏洞检测请求中携带有初始字符串,所述初始字符串携带有漏洞属性信息;对所述初始字符串进行转换,获得待处理对象,并获取所述待处理对象中的至少一个待处理属性;基于所述至少一个待处理属性,在所述待测试应用程序中进行搜索,获得待测试属性集;获取所述待测试属性集对应的测试结果,基于所述测试结果确定所述待测试应用程序的漏洞属性集;不仅可以快速地检测出导致待测试应用程序异常的属性,还可全面地生成测试漏洞属性对应的测试用例,提高待测试应用程序的测试效率以及测试全面性。性。性。
【技术实现步骤摘要】
应用程序的漏洞检测方法以及装置
[0001]本说明书实施例涉及计算机
,特别涉及一种应用程序的漏洞检测方法。
技术介绍
[0002]随着互联网的发展,现在大量的应用程序使用Python沙箱技术来阻止攻击者执行恶意的代码实施攻击。而网络安全测试人员要想测试这些应用程序,只能通过测试人员的经验人工手动构造漏洞测试用例来进行安全测试,各个可能导致沙箱逃逸的漏洞测试用例都是千变万化的,不仅理解起来较为困难,也很难通过人工去遍历所有可能的待测试漏洞属性对应的测试用例,导致对此类应用程序测试的效率低下且不完善。
技术实现思路
[0003]有鉴于此,本说明书实施例提供了一种应用程序的漏洞检测方法。本说明书一个或者多个实施例同时涉及一种应用程序的漏洞检测装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
[0004]根据本说明书实施例的第一方面,提供了一种应用程序的漏洞检测方法,包括:
[0005]接收待测试应用程序的漏洞检测请求,其中,所述漏洞检测请求中携带有初始字符串,所述初始字符串携带有漏洞属性信息;
[0006]对所述初始字符串进行转换,获得待处理对象,并获取所述待处理对象中的至少一个待处理属性;
[0007]基于所述至少一个待处理属性,在所述待测试应用程序中进行搜索,获得待测试属性集;
[0008]获取所述待测试属性集对应的测试结果,基于所述测试结果确定所述待测试应用程序的漏洞属性集。
[0009]根据本说明书实施例的第二方面,提供了一种应用程序的漏洞检测装置,包括:
[0010]请求接收模块,被配置为接收待测试应用程序的漏洞检测请求,其中,所述漏洞检测请求中携带有初始字符串,所述初始字符串携带有漏洞属性信息;
[0011]属性获取模块,被配置为对所述初始字符串进行转换,获得待处理对象,并获取所述待处理对象中的至少一个待处理属性;
[0012]属性搜索模块,被配置为基于所述至少一个待处理属性,在所述待测试应用程序中进行搜索,获得待测试属性集;
[0013]属性确定模块,被配置为获取所述待测试属性集对应的测试结果,基于所述测试结果确定所述待测试应用程序的漏洞属性集。
[0014]根据本说明书实施例的第三方面,提供了一种计算设备,包括:
[0015]存储器和处理器;
[0016]所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述应用程序的漏洞检测方法的步骤。
[0017]根据本说明书实施例的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述应用程序的漏洞检测方法的步骤。
[0018]根据本说明书实施例的第五方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述应用程序的漏洞检测方法的步骤。
[0019]本说明书一个实施例,接收待测试应用程序的漏洞检测请求,其中,所述漏洞检测请求中携带有初始字符串,所述初始字符串携带有漏洞属性信息;对所述初始字符串进行转换,获得待处理对象,并获取所述待处理对象中的至少一个待处理属性;基于所述至少一个待处理属性,在所述待测试应用程序中进行搜索,获得待测试属性集;获取所述待测试属性集对应的测试结果,基于所述测试结果确定所述待测试应用程序的漏洞属性集。
[0020]本实施例中,通过对初始字符串的转换获得待处理对象,并获取待处理对象中的至少一个待处理属性,便于在待测试应用程序中根据待处理属性进行自动化属性搜索,获得待测试属性集,进而,获取待测试属性集在测试过程中的测试结果,判定待测试应用程序中的漏洞属性集;该种搜索漏洞属性的方式,能够全面地在待测试应用程序中搜索出所有可能的漏洞属性,后续在执行测试程序时,不仅可以快速地检测出导致待测试应用程序异常的属性,还可全面地生成测试漏洞属性对应的测试用例,提高待测试应用程序的测试效率以及测试全面性。
附图说明
[0021]图1是本说明书一个实施例提供的一种应用程序的漏洞检测方法的场景示意图;
[0022]图2是本说明书一个实施例提供的一种应用程序的漏洞检测方法的流程图;
[0023]图3是本说明书一个实施例提供的一种应用程序的漏洞检测装置的结构示意图;
[0024]图4是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
[0025]在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
[0026]在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0027]应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0028]首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
[0029]Python:一种开源的编程语言。
[0030]payload:即载荷,一段携带有特定目的的信息。
[0031]沙箱技术:即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
[0032]沙箱逃逸:是在给我们的一个代码执行环境下,脱离种种过滤和限制,最终拿到shell。
[0033]Fuzz:一种基于黑盒的自动化软件模糊测试技术,简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试;实现形式与目的:它可向目标发送随机或精心构造的数据作为计算机输入,来触发非常规反馈以达到检测漏洞的目的。
[0034]插件机制:是在检验漏洞的时候使用的,因为有些漏洞会较为复杂,检验的条件可以通过插件机制,给测试人员进行自定义漏洞条件(判断标准比较复杂),比较灵活。允许用户自定义。
[0035]随着互联网的发展,现在大量的应用使本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用程序的漏洞检测方法,包括:接收待测试应用程序的漏洞检测请求,其中,所述漏洞检测请求中携带有初始字符串,所述初始字符串携带有漏洞属性信息;对所述初始字符串进行转换,获得待处理对象,并获取所述待处理对象中的至少一个待处理属性;基于所述至少一个待处理属性,在所述待测试应用程序中进行搜索,获得待测试属性集;获取所述待测试属性集对应的测试结果,基于所述测试结果确定所述待测试应用程序的漏洞属性集。2.根据权利要求1所述的方法,所述对所述初始字符串进行转换,获得待处理对象,包括:在预设语法规则集中,确定所述初始字符串对应的目标语法规则;基于所述目标语法规则,对所述初始字符串进行转换,获得待处理对象。3.根据权利要求1所述的方法,所述对所述初始字符串进行转换,获得待处理对象,包括:获取自定义语法规则;根据所述自定义语法规则,对所述初始字符串进行转换,获得待处理对象。4.根据权利要求1所述的方法,所述获取所述待处理对象中的至少一个待处理属性,包括:确定所述待处理对象对应的属性提取规则;基于所述属性提取规则,获取所述待处理对象中的至少一个待处理属性。5.根据权利要求1所述的方法,所述基于所述至少一个待处理属性,在所述待测试应用程序中进行搜索,获得待测试属性集,包括:在所述至少一个待处理属性中,确定目标待处理属性;基于所述目标待处理属性的目标属性类型,确定所述目标待处理属性对应的目标搜索规则;基于所述目标搜索规则,在所述待测试应用程序中进行搜索,获得所述目标待处理属性对应的待测试属性子集;根据各个待处理属性对应的待测试属性子集,生成待测试属性集。6.根据权利要求5所述的方法,所述基于所述目标搜索规则,在所述待测试应用程序中进行搜索,获得所述目标待处理属性对应的待测试属性子集,包括:确定所述待测试应用程序对应的属性层级树;基于所述目标搜索规则在所述属性层级树中,搜索所述目标待处理属性对应的至少一个子属性;将所述目标待处理属性和所述至少一个子属性,确定为所述目标待处理属性对应的待测试属性子集。7.根据权利...
【专利技术属性】
技术研发人员:王滨,
申请(专利权)人:浙江网商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。