一種網(wǎng)頁(yè)漏洞的檢測(cè)方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域��,尤其涉及一種網(wǎng)頁(yè)漏洞的檢測(cè)方法和系統(tǒng)�����。
【背景技術(shù)】
[0002]目前互聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到日常生活的方方面面�,為生產(chǎn)生活帶來(lái)了極大的便利��。與此同時(shí)���,網(wǎng)絡(luò)安全也得到越來(lái)越多的關(guān)注���,尤其是其中的網(wǎng)頁(yè)(WEB)應(yīng)用面臨如下安全問(wèn)題:1.計(jì)算機(jī)軟件的設(shè)計(jì)與實(shí)現(xiàn)漏洞;2.傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP�,Transmiss1n Control Protocol/Internet Protocol)協(xié)議設(shè)計(jì)時(shí)未充分考慮其安全性;
3.系統(tǒng)和網(wǎng)絡(luò)使用過(guò)程中的錯(cuò)誤配置于操作�����。
[0003]漏洞,也稱(chēng)脆弱性����,是計(jì)算機(jī)系統(tǒng)在硬件、軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足����,非法用戶(hù)可利用系統(tǒng)安全漏洞獲得計(jì)算機(jī)系統(tǒng)的額外權(quán)限,在未經(jīng)授權(quán)的情況下進(jìn)行訪問(wèn)或提高其訪問(wèn)權(quán)限�����,破壞系統(tǒng)�����,危害計(jì)算機(jī)安全���。
[0004]現(xiàn)有的防御手段,如網(wǎng)絡(luò)掃描器��,是一類(lèi)有網(wǎng)絡(luò)爬蟲(chóng)����、發(fā)送超文本傳送協(xié)議(HTTP���,Hypertext transfer protocol)請(qǐng)求和正則匹配功能的程序。掃描器事先構(gòu)造好攻擊載荷�,通過(guò)爬蟲(chóng)遍歷出網(wǎng)站所有的通用網(wǎng)關(guān)接口(CGI,Common Gateway Interface)文件和參數(shù),掃描器將攻擊載荷依次添加到每個(gè)CGI的每個(gè)參數(shù)�����,然后向網(wǎng)站發(fā)送HTTP請(qǐng)求并根據(jù)網(wǎng)站返回的結(jié)果是否包含指定的特征來(lái)判斷是否存在漏洞���。
[0005]但網(wǎng)絡(luò)掃描器具有如下缺點(diǎn):(I)掃描方法漏報(bào)率高�;掃描器的網(wǎng)絡(luò)爬蟲(chóng)無(wú)法爬到所有的CGI和參數(shù)�,掃描,部分漏洞入口未檢查從而導(dǎo)致漏報(bào)���。(2)影響網(wǎng)站正常服務(wù)��;掃描器會(huì)發(fā)送大量的HTTP請(qǐng)求占用網(wǎng)站的帶寬導(dǎo)致速度變慢���,掃描器發(fā)送的攻擊載荷不可控,在某些場(chǎng)景下會(huì)導(dǎo)致網(wǎng)站癱瘓甚至數(shù)據(jù)丟失��。(3)成本高昂;開(kāi)發(fā)掃描器周期長(zhǎng)�����,難度大�����;除了高額的開(kāi)發(fā)成本外�����,掃描器的攻擊載荷庫(kù)還需要后續(xù)長(zhǎng)期的持續(xù)維護(hù)運(yùn)營(yíng)�。
【發(fā)明內(nèi)容】
[0006]有鑒于此,本發(fā)明的目的在于提供一種網(wǎng)頁(yè)漏洞的檢測(cè)方法和系統(tǒng)��,可以解決現(xiàn)有的網(wǎng)絡(luò)掃描器漏報(bào)率高����、占用過(guò)多帶寬�、以及維護(hù)成本高昂等問(wèn)題。
[0007]為解決上述技術(shù)問(wèn)題�����,本發(fā)明實(shí)施例提供以下技術(shù)方案:
[0008]一種網(wǎng)頁(yè)漏洞的檢測(cè)方法,包括:
[0009]接收用戶(hù)請(qǐng)求���,并從所述用戶(hù)請(qǐng)求中動(dòng)態(tài)獲取執(zhí)行函數(shù)名�、參數(shù)結(jié)構(gòu)�����、和執(zhí)行內(nèi)容��;
[0010]將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與預(yù)置的漏洞規(guī)則庫(kù)中的漏洞規(guī)則進(jìn)行匹配�����,其中所述漏洞規(guī)則包括漏洞函數(shù)名�����、各執(zhí)行函數(shù)名及其對(duì)應(yīng)的一個(gè)或多個(gè)漏洞參數(shù)結(jié)構(gòu)���;以及
[0011]若所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功和/或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功��,則發(fā)送所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)警示信息�。
[0012]為解決上述技術(shù)問(wèn)題,本發(fā)明實(shí)施例提供以下技術(shù)方案:
[0013]一種網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)����,包括:
[0014]預(yù)處理模塊,用于接收用戶(hù)請(qǐng)求���,并從所述用戶(hù)請(qǐng)求中動(dòng)態(tài)獲取網(wǎng)頁(yè)中的執(zhí)行函數(shù)名����、參數(shù)結(jié)構(gòu)���、和執(zhí)行內(nèi)容����;
[0015]匹配模塊�����,用于將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與預(yù)置的漏洞規(guī)則庫(kù)中的漏洞規(guī)則進(jìn)行匹配����,其中所述漏洞規(guī)則包括漏洞函數(shù)名����、各執(zhí)行函數(shù)名及其對(duì)應(yīng)的一個(gè)或多個(gè)漏洞參數(shù)結(jié)構(gòu)���;以及
[0016]風(fēng)險(xiǎn)警示模塊,用于當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功和/或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功時(shí)�,發(fā)送所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)警示信息。
[0017]為解決上述技術(shù)問(wèn)題����,本發(fā)明實(shí)施例提供以下技術(shù)方案:
[0018]一種網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng),包括:漏洞分析部分和數(shù)據(jù)支持部分�,其中,
[0019]所述漏洞分析部分��,包括:
[0020]漏洞規(guī)則存儲(chǔ)模塊�,用于存儲(chǔ)漏洞規(guī)則,其中所述漏洞規(guī)則包括漏洞函數(shù)名���、各執(zhí)行函數(shù)名及其對(duì)應(yīng)的一個(gè)或多個(gè)漏洞參數(shù)結(jié)構(gòu)�;
[0021]預(yù)處理模塊���,用于接收用戶(hù)請(qǐng)求��,并從所述用戶(hù)請(qǐng)求中動(dòng)態(tài)獲取網(wǎng)頁(yè)中的執(zhí)行函數(shù)名�����、參數(shù)結(jié)構(gòu)��、和執(zhí)行內(nèi)容�����;
[0022]匹配模塊��,用于將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與所述漏洞規(guī)則存儲(chǔ)模塊中的漏洞規(guī)則進(jìn)行匹配����,其中所述漏洞規(guī)則包括漏洞函數(shù)名、各執(zhí)行函數(shù)名及其對(duì)應(yīng)的一個(gè)或多個(gè)漏洞參數(shù)結(jié)構(gòu)�;以及
[0023]風(fēng)險(xiǎn)警示模塊,用于當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功和/或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功時(shí)�,發(fā)送執(zhí)行內(nèi)容的風(fēng)險(xiǎn)警示信息;
[0024]所述數(shù)據(jù)支持部分�����,包括:
[0025]分析子模塊�,用于分析漏洞的場(chǎng)景行為和/或攻擊特征,得到分析結(jié)果���;以及
[0026]生成子模塊���,用于將所述分析結(jié)果生成基于執(zhí)行函數(shù)名和所述參數(shù)結(jié)構(gòu)的所述漏洞規(guī)則。
[0027]相對(duì)于現(xiàn)有技術(shù)��,本發(fā)明中的網(wǎng)頁(yè)漏洞的檢測(cè)方法和系統(tǒng)����,通過(guò)動(dòng)態(tài)獲取執(zhí)行函數(shù)名和參數(shù)結(jié)構(gòu),與漏洞規(guī)則進(jìn)行匹配��,并發(fā)送對(duì)應(yīng)的風(fēng)險(xiǎn)警示信息�。具有快速識(shí)別、可擴(kuò)展度高�����、防范性強(qiáng)的特點(diǎn)����,同時(shí)漏報(bào)率低、占用帶寬少�、以及維護(hù)成本低廉。
【附圖說(shuō)明】
[0028]圖1是本發(fā)明實(shí)施例提供的網(wǎng)頁(yè)漏洞的檢測(cè)方法和系統(tǒng)應(yīng)用環(huán)境示意圖���。
[0029]圖2是本發(fā)明實(shí)施例一提供的網(wǎng)頁(yè)漏洞的檢測(cè)方法的流程示意圖�。
[0030]圖3是本發(fā)明實(shí)施例二提供的網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)的模塊示意圖。
[0031]圖4是本發(fā)明實(shí)施例三提供的網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)的防御框架示意圖���。
[0032]圖5是本發(fā)明實(shí)施例四提供的網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)的泳道示意圖�����。
【具體實(shí)施方式】
[0033]請(qǐng)參照附圖中的圖式���,其中相同的組件符號(hào)代表相同的組件,本發(fā)明的原理是以實(shí)施在一適當(dāng)?shù)倪\(yùn)算環(huán)境中來(lái)舉例說(shuō)明�����。以下的說(shuō)明是基于所示例的本發(fā)明的具體實(shí)施例�,其不應(yīng)被視為限制本發(fā)明未在此詳述的其它具體實(shí)施例。
[0034]在以下的說(shuō)明中����,本發(fā)明的具體實(shí)施例將參考由一部或多部計(jì)算機(jī)所執(zhí)行的步驟及符號(hào)來(lái)說(shuō)明,除非另有述明�。因此,這些步驟及操作將有數(shù)次提到由計(jì)算機(jī)執(zhí)行����,本文所指的計(jì)算機(jī)執(zhí)行包括了由代表了以一結(jié)構(gòu)化型式中的數(shù)據(jù)的電子信號(hào)的計(jì)算機(jī)處理單元的操作���。此操作轉(zhuǎn)換該數(shù)據(jù)或?qū)⑵渚S持在該計(jì)算機(jī)的內(nèi)存系統(tǒng)中的位置處,其可重新配置或另外以本領(lǐng)域測(cè)試人員所熟知的方式來(lái)改變?cè)撚?jì)算機(jī)的運(yùn)作�。該數(shù)據(jù)所維持的數(shù)據(jù)結(jié)構(gòu)為該內(nèi)存的實(shí)體位置��,其具有由該數(shù)據(jù)格式所定義的特定特性����。但是,本發(fā)明原理以上述文字來(lái)說(shuō)明�����,其并不代表為一種限制���,本領(lǐng)域測(cè)試人員將可了解到以下所述的多種步驟及操作亦可實(shí)施在硬件當(dāng)中����。
[0035]本發(fā)明的原理使用許多其它泛用性或特定目的運(yùn)算�、通信環(huán)境或組態(tài)來(lái)進(jìn)行操作。所熟知的適合用于本發(fā)明的運(yùn)算系統(tǒng)���、環(huán)境與組態(tài)的范例可包括(但不限于)手持電話���、個(gè)人計(jì)算機(jī)�、服務(wù)器�、多處理器系統(tǒng)、微電腦為主的系統(tǒng)��、主架構(gòu)型計(jì)算機(jī)��、及分布式運(yùn)算環(huán)境��,其中包括了任何的上述系統(tǒng)或裝置�。
[0036]本文所使用的術(shù)語(yǔ)「模塊」可看作為在該運(yùn)算系統(tǒng)上執(zhí)行的軟件對(duì)象。本文所述的不同組件���、模塊�、引擎及服務(wù)可看作為在該運(yùn)算系統(tǒng)上的實(shí)施對(duì)象��。而本文所述的裝置及方法優(yōu)選的以軟件的方式進(jìn)行實(shí)施�,當(dāng)然也可在硬件上進(jìn)行實(shí)施,均在本發(fā)明保護(hù)范圍之內(nèi)��。
[0037]請(qǐng)參閱圖1���,為本發(fā)明中提供的網(wǎng)頁(yè)漏洞的檢測(cè)方法和系統(tǒng)的應(yīng)用環(huán)境示意圖����,包括客戶(hù)端10、攻擊者20�、服務(wù)器30、以及通信網(wǎng)絡(luò)50���。
[0038]其中,客戶(hù)端10通過(guò)網(wǎng)頁(yè)發(fā)送各類(lèi)用戶(hù)請(qǐng)求��。
[0039]同時(shí)��,攻擊者20通過(guò)對(duì)所述網(wǎng)頁(yè)進(jìn)行漏洞掃描��,模擬用戶(hù)的請(qǐng)求進(jìn)行攻擊�����。
[0040]服務(wù)器30接收用戶(hù)請(qǐng)求�,檢測(cè)所請(qǐng)求的網(wǎng)頁(yè)中是否存在漏洞,并向客戶(hù)端10發(fā)送風(fēng)險(xiǎn)警示信息���。
[0041]可以理解的是:所述服務(wù)器30可以是云服務(wù)平臺(tái)���,如包括:分析服務(wù)器31�、云存儲(chǔ)服務(wù)器32���、以及數(shù)據(jù)支持服務(wù)器33�。其中���,服務(wù)服務(wù)器31用于執(zhí)行對(duì)漏洞的檢測(cè)和警示�����,云存儲(chǔ)服務(wù)器32�,包括漏洞規(guī)則庫(kù)���,用于存儲(chǔ)漏洞規(guī)則�����;數(shù)據(jù)支持服務(wù)器33用于發(fā)現(xiàn)漏洞或利用已知漏洞���,總結(jié)和創(chuàng)建漏洞規(guī)則,并將所述漏洞規(guī)則發(fā)送并存儲(chǔ)至云存儲(chǔ)服務(wù)器32的漏洞規(guī)則庫(kù)中。其他實(shí)施方式中�,所述分析服務(wù)器31、云存儲(chǔ)服務(wù)器32��、以及數(shù)據(jù)支持服務(wù)器33也可以整合在同一臺(tái)服務(wù)器主機(jī)中��。
[0042]通信網(wǎng)絡(luò)50��,包括無(wú)線網(wǎng)絡(luò)及有線網(wǎng)絡(luò)�����。其中無(wú)線網(wǎng)絡(luò)包括無(wú)線廣域網(wǎng)(WirelessWide Area Network, WWAN)���、無(wú)線局域網(wǎng)(Wireless Local Area Network, WLAN)、無(wú)線城域網(wǎng)(Wireless Metropolitan Area Network, WMAN)�����、以及無(wú)線個(gè)人網(wǎng)(Wireless PersonalArea Network, WPAN)��。
[0043]基本原理:網(wǎng)頁(yè)(WEB)漏洞的產(chǎn)生的原因�����,是由于某些函數(shù)或其參數(shù)