【技术实现步骤摘要】
一种漏洞数据获取方法及漏洞验证方法
[0001]本专利技术涉及网络信息安全
,尤其涉及一种漏洞数据获取方法及漏洞验证方法
。
技术介绍
[0002]随着科技的不断发展,许多新兴的互联网信息技术不断涌现,为了方便各类用户进行操作,各种应用系统应运而生
。
在应用系统运行过程中,经常会出现一些漏洞,这些漏洞是在硬件
、
软件
、
协议的具体实现或系统安全策略上存在的缺陷
。
攻击者可以利用这些漏洞在未授权的情况下访问或破坏系统
。
因此,在应用系统投入使用之前,通常需要使用各类安全检测技术来对应用系统的漏洞进行检测,以降低攻击者通过漏洞对系统的破坏概率,提升系统的安全性
。
[0003]常用的应用测试有交互式应用安全测试
(Interactive Application Security Testing
,简称:
IAST)、
动态应用程序安全测试
(Dynamic Applica...
【技术保护点】
【技术特征摘要】
1.
一种漏洞数据获取方法,其特征在于,通过
IAST
和
DAST
关联实现,包括以下步骤:
S1、
通过
IAST
对被测应用插入
IAST
代理,得到已插桩应用,向
DAST
扫描器和所述已插桩应用发送测试请求数据;
S2、
所述
DAST
扫描器接收所述测试请求数据,扫描生成
DAST
漏洞数据,通过转换器发送给所述已插桩应用的
IAST
代理;其中,所述
DAST
漏洞数据带有与所述测试请求数据对应的
DAST
请求
ID
;
S3、
所述
IAST
代理接收所述测试请求数据,根据所述测试请求数据的请求头,在
ISAT
的响应体里增加对应的
IAST
请求
ID
;
S4、
根据所述
IAST
请求
ID、DAST
请求
ID
,将所述
IAST
代理采集的
IAST
漏洞数据,以及所述
DAST
扫描器扫描的
DAST
漏洞数据进行关联,得到总的漏洞数据
。2.
根据权利要求1所述的一种漏洞数据获取方法,其特征在于,步骤
S1
中,通过
DAST
代理向所述
DAST
扫描器
、
已插桩应用发送测试请求数据,所述
DAST
代理配置过程中,在所述测试请求数据的请求头中加入请求标识
。3.
根据权利要求2所述的一种漏洞数据获取方法,其特征在于,步骤
S2
中,所述
DAST
漏洞数据还带有
DAST
标识
。4.
根据权利要求3所述的一种基于
IAST
和
DAST
的漏洞数据获取方法,其特征在于,所述
IAST
代理根据所述请求标识
、DAS...
【专利技术属性】
技术研发人员:冼泽林,程大正,孙堃,邬迪,卢中阳,
申请(专利权)人:北京安全共识科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。