web应用API安全漏洞扫描系统、扫描方法及设备技术方案

本发明专利技术提供一种web应用API安全漏洞扫描系统、扫描方法及设备，包括：报文建模模块用于将原始的第一请求报文进行降维建模生成键值对列表；漏洞扫描模块集成有互相独立的多个扫描子模块，每个扫描子模块配置有单个不同类型的安全漏洞扫描功能，将键值对列表依次进行多个不同类型的安全漏洞扫描后生成请求报文序列；请求还原模块用于对请求报文序列添加合法的鉴权字段并还原成第二请求报文；请求发送模块用于发送第二请求报文并获取响应报文；漏洞判断模块用于判断API存在的漏洞类型。本发明专利技术集成了多个互相独立的扫描子模块，每个扫描子模块专注于一种类型的安全漏洞扫描，能够精确地判定漏洞存在的类型，确保了扫描的全面性和准确性。

【技术实现步骤摘要】

本专利技术涉及网络安全，特别涉及一种web应用api安全漏洞扫描系统、扫描方法及设备。

技术介绍

1、近年来，随着云原生网关、微服务等先进的应用架构的发展与推广，以及客户端用户的占比提升，大部分企业的web应用都摒弃了传统的服务端渲染模式(server-siderendering，ssr)，即后端数据与前端页面在服务器端混合后一并发送给客户端。转而采用了客户端渲染client-side rendering，csr)的模式。在此模式下，后端服务器不再生成完整的html页面，而是提供api接口供前端页面调用以获取数据。前端页面通过javascript代码异步请求后端的api(application programming interface，应用程序编程接口)，以获取所需数据，并据此完成页面的动态渲染。

2、这样的技术演进使现在的web应用的功能聚焦在了与后端api的交互上，这也使得api的安全性直接决定了web应用的安全性，对api的安全漏洞的自动化发掘也成为了网络安全领域的重要议题之一，比如权威的非盈利性网络安全机构owasp曾发布的api t本文档来自技高网...

【技术保护点】

1.一种web应用API安全漏洞扫描系统，其特征在于，包括：

2.根据权利要求1所述的web应用API安全漏洞扫描系统，其特征在于，每个所述扫描子模块包括：

3.根据权利要求2所述的web应用API安全漏洞扫描系统，其特征在于，所述恶意参数生成规则包括：

4.根据权利要求1所述的web应用API安全漏洞扫描系统，其特征在于，漏洞判断模块包括：

5.根据权利要求4所述的web应用API安全漏洞扫描系统，其特征在于，所述基准响应获取规则包括：

6.根据权利要求4所述的web应用API安全漏洞扫描系统，其特征在于，所述漏洞判断规则包括...

【技术特征摘要】

1.一种web应用api安全漏洞扫描系统，其特征在于，包括：

2.根据权利要求1所述的web应用api安全漏洞扫描系统，其特征在于，每个所述扫描子模块包括：

3.根据权利要求2所述的web应用api安全漏洞扫描系统，其特征在于，所述恶意参数生成规则包括：

4.根据权利要求1所述的web应用api安全漏洞扫描系统，其特征在于，漏洞判断模块包括：

5.根据权利要求4所述的web应用api安全漏洞扫描系统，其特征在于，所述基准响应获取规则包括：

6.根据权利要求4所述的web应用api安全漏洞扫描系统，其特征在于，所述漏洞判断规则包括：

7.根据权利要求1所述的web应用api安全漏洞扫描系统，其特征在于，所述第一http请求报文包括：请求行、请求头和请求体，所述报文建模模块具体用于：

8.根据权利要求1所...

【专利技术属性】
技术研发人员：张宁健，鲍景雨，乔丹，
申请(专利权)人：上海阶跃纪元智能科技有限公司，
类型：发明
国别省市：