行函數(shù)名和/或所述參數(shù)結(jié)構(gòu)與所述漏洞規(guī)則匹配成功時(shí)��,發(fā)送所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)警示信息��。具體包括:
[0087]當(dāng)所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)之一者與所述漏洞規(guī)則庫(kù)匹配成功時(shí)����,確定所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)評(píng)級(jí)為警告,并發(fā)送攜帶風(fēng)險(xiǎn)評(píng)級(jí)為警告的風(fēng)險(xiǎn)警示信息�;
[0088]當(dāng)所述執(zhí)行函數(shù)名和所述參數(shù)結(jié)構(gòu)皆與所述漏洞規(guī)則庫(kù)匹配成功時(shí),確定所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)評(píng)級(jí)為危險(xiǎn)���,并發(fā)送攜帶風(fēng)險(xiǎn)評(píng)級(jí)為危險(xiǎn)的風(fēng)險(xiǎn)警示信息以及
[0089]所述執(zhí)行函數(shù)名和所述參數(shù)結(jié)構(gòu)皆與所述漏洞規(guī)則匹配不成功時(shí)����,發(fā)送表示安全的提示信息���。
[0090]相對(duì)于現(xiàn)有技術(shù),本發(fā)明中的網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)����,通過(guò)動(dòng)態(tài)獲取執(zhí)行函數(shù)名和參數(shù)結(jié)構(gòu),與漏洞規(guī)則進(jìn)行匹配,并發(fā)送對(duì)應(yīng)的風(fēng)險(xiǎn)警示信息��。具有快速識(shí)別����、可擴(kuò)展度高、防范性強(qiáng)的特點(diǎn)�����,同時(shí)漏報(bào)率低����、占用帶寬少、以及維護(hù)成本低廉����。
[0091]實(shí)施例三
[0092]請(qǐng)參閱圖4,所示為本發(fā)明的網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)的防御框架示意圖����。從防御架構(gòu)的角度對(duì)網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)進(jìn)行闡釋。
[0093]一種網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)���,包括漏洞分析部分41和數(shù)據(jù)支持部分42����。
[0094]可以理解的是:所述漏洞分析部分41 一般位于圖1的分析服務(wù)器31上,而漏洞規(guī)則生成部分可以位于分析服務(wù)器31上���,也可以位于圖1的數(shù)據(jù)支持服務(wù)器33上�。
[0095]所述漏洞分析部分41��,用于接收用戶請(qǐng)求�,分析是否存在網(wǎng)頁(yè)漏洞,并據(jù)此發(fā)送風(fēng)險(xiǎn)警示信息����。具體而言,所述所述漏洞分析部分包括:預(yù)處理模塊411�����、匹配模塊412���、風(fēng)險(xiǎn)警示模塊413�����、以及預(yù)置的漏洞規(guī)則存儲(chǔ)模塊414�。
[0096]預(yù)處理模塊411�,用于接收用戶請(qǐng)求,并從所述用戶請(qǐng)求中動(dòng)態(tài)獲取網(wǎng)頁(yè)中的執(zhí)行函數(shù)名����、參數(shù)結(jié)構(gòu)、和執(zhí)行內(nèi)容��。
[0097]匹配模塊412��,用于將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與預(yù)置的漏洞規(guī)則庫(kù)中的漏洞規(guī)則進(jìn)行匹配��,其中所述漏洞規(guī)則包括漏洞函數(shù)名���、各執(zhí)行函數(shù)名及其對(duì)應(yīng)的一個(gè)或多個(gè)漏洞參數(shù)結(jié)構(gòu)�����。
[0098]風(fēng)險(xiǎn)警示模塊413�����,用于當(dāng)所述執(zhí)行函數(shù)名和/或所述參數(shù)結(jié)構(gòu)與所述漏洞規(guī)則匹配成功時(shí)�����,發(fā)送所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)警示信息��。具體包括:
[0099]當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功��、或所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)匹配成功時(shí)����,確定所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)評(píng)級(jí)為警告,并發(fā)送攜帶風(fēng)險(xiǎn)評(píng)級(jí)為警告的風(fēng)險(xiǎn)警示信息�;
[0100]當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配成功、且所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)也匹配成功時(shí)�,確定所述執(zhí)行內(nèi)容的風(fēng)險(xiǎn)評(píng)級(jí)為危險(xiǎn),并發(fā)送攜帶風(fēng)險(xiǎn)評(píng)級(jí)為危險(xiǎn)的風(fēng)險(xiǎn)警示信息�;以及
[0101]當(dāng)所述執(zhí)行函數(shù)名與所述漏洞函數(shù)名匹配不成功、且所述參數(shù)結(jié)構(gòu)與所述漏洞參數(shù)結(jié)構(gòu)也匹配不成功時(shí)�����,發(fā)送表示安全的提示信息����。
[0102]所述數(shù)據(jù)支持部分42,用于對(duì)預(yù)置的漏洞規(guī)則存儲(chǔ)模塊413中的漏洞規(guī)則進(jìn)行創(chuàng)建和更新和存儲(chǔ)����。具體包括:分析子模塊421���、生成子模塊422���。
[0103]分析子模塊421�����,用于分析漏洞的場(chǎng)景行為和/或攻擊特征����,得到分析結(jié)果���。
[0104]生成子模塊422�,用于將所述分析結(jié)果生成基于執(zhí)行函數(shù)名和所述參數(shù)結(jié)構(gòu)的漏洞規(guī)則�����。
[0105]可以理解的是:所述生成子模塊312的生成壟斷規(guī)則的過(guò)程包括但不限于:(I)對(duì)腳本語(yǔ)言���、數(shù)據(jù)庫(kù)特性���、攻擊掃描工具�、攻擊方式之一者或其組合進(jìn)行分析����;(2)建立攻擊模型,所述攻擊模型通過(guò)執(zhí)行函數(shù)名�、參數(shù)結(jié)構(gòu)進(jìn)行表述;(3)對(duì)所述攻擊模型進(jìn)行攻防測(cè)試�,形成適格的漏洞規(guī)則。
[0106]相對(duì)于現(xiàn)有技術(shù)�,本發(fā)明中的網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng),通過(guò)動(dòng)態(tài)獲取執(zhí)行函數(shù)名和參數(shù)結(jié)構(gòu)����,與漏洞規(guī)則進(jìn)行匹配,并發(fā)送對(duì)應(yīng)的風(fēng)險(xiǎn)警示信息�。具有快速識(shí)別、可擴(kuò)展度高�、防范性強(qiáng)的特點(diǎn),同時(shí)漏報(bào)率低��、占用帶寬少����、以及維護(hù)成本低廉。
[0107]實(shí)施例四
[0108]請(qǐng)參閱圖5,所示為本發(fā)明中網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)的泳道流程示意圖��。所述網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)�����,包括:
[0109]在步驟A中���,客戶端發(fā)送用戶請(qǐng)求。
[0110]在步驟B中�����,攻擊者將攻擊偽裝成用戶請(qǐng)求進(jìn)行發(fā)送��。
[0111]在步驟C中���,網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)接收用戶請(qǐng)求��。其中���,所述用戶請(qǐng)求可能來(lái)源于客戶,也可能來(lái)源于攻擊者���。
[0112]在步驟D中�����,網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)從所述用戶請(qǐng)求中動(dòng)態(tài)獲取執(zhí)行函數(shù)名���、參數(shù)結(jié)構(gòu)����、和執(zhí)行內(nèi)容�����。
[0113]可以理解的是:所述動(dòng)態(tài)獲取所述執(zhí)行函數(shù)名����、所述參數(shù)結(jié)構(gòu)、和所述執(zhí)行內(nèi)容���,可以通過(guò)HOOK PHP的函數(shù)來(lái)實(shí)現(xiàn)�����。具體而言�,通過(guò)調(diào)用PHP接口或其他Trick。在本步驟中�,由于本發(fā)明的網(wǎng)頁(yè)漏洞的檢測(cè)方法僅需要從用戶請(qǐng)求中獲取執(zhí)行函獲取所述執(zhí)行函數(shù)名、所述參數(shù)結(jié)構(gòu)��、和所述執(zhí)行內(nèi)容��,而無(wú)需提取網(wǎng)頁(yè)的URL信息進(jìn)行分析�,因此,可快速識(shí)另U�����、且占用帶寬少�����。
[0114]在步驟E中��,網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)將所述執(zhí)行函數(shù)名或所述參數(shù)結(jié)構(gòu)與預(yù)置的漏洞規(guī)則庫(kù)中的漏洞規(guī)則進(jìn)行匹配����,其中所述漏洞規(guī)則包括漏洞函數(shù)名����、各執(zhí)行函數(shù)名及其對(duì)應(yīng)的一個(gè)或多個(gè)漏洞參數(shù)結(jié)構(gòu)。
[0115]可以理解的是:所述預(yù)置的漏洞規(guī)則庫(kù)是根據(jù)已知的漏洞進(jìn)行分析而生成的。舉例如下:
[0116]上傳漏洞規(guī)則一:函數(shù)名move_uploaded_file,參數(shù)匹配正則*.php$則存在上傳漏洞�;
[0117]SQL注入規(guī)則一:函數(shù)名等于mysql_query,參數(shù)匹配正則andl = 2#則存在sql注入漏洞。
[0118]在本步驟中���,由于本發(fā)明的網(wǎng)頁(yè)漏洞檢測(cè)方法僅需對(duì)漏洞規(guī)則庫(kù)中的漏洞規(guī)則進(jìn)行匹配�����,因此具有快速識(shí)別�、防范性強(qiáng)的特點(diǎn)����,且漏洞規(guī)則的可擴(kuò)展度高,方便統(tǒng)一維護(hù)和更新�����,維護(hù)的成本低廉����。
[0119]在步驟F中,網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)若判斷所述執(zhí)行函數(shù)名和/或所述參數(shù)結(jié)構(gòu)與所述漏洞規(guī)則部分或全部匹配成功����,則發(fā)送所述執(zhí)行內(nèi)容為警告或危險(xiǎn)風(fēng)險(xiǎn)警示信息����。
[0120]在步驟G中����,網(wǎng)頁(yè)漏洞的檢測(cè)系統(tǒng)若判斷所述執(zhí)行函數(shù)名和/或所述參數(shù)結(jié)構(gòu)與所述漏洞規(guī)則全部匹配不成功,則發(fā)送所述執(zhí)行內(nèi)容為安全的風(fēng)險(xiǎn)警示信息�����。
[0121]相對(duì)于現(xiàn)有技術(shù)��,本發(fā)明中的網(wǎng)頁(yè)漏洞的檢測(cè)方法����,通過(guò)動(dòng)態(tài)獲取執(zhí)行函數(shù)名和參數(shù)結(jié)構(gòu)�����,與漏洞規(guī)則進(jìn)行匹配��,并發(fā)送對(duì)應(yīng)的風(fēng)險(xiǎn)警示信息�。具有快速識(shí)別、可擴(kuò)展度高��、防范性強(qiáng)的特點(diǎn),同時(shí)漏報(bào)率低�、占用帶寬少、以及維護(hù)成本低廉���。
[0122]同時(shí)�����,需要說(shuō)明的是:本發(fā)明中獲取的執(zhí)行函數(shù)名以及參數(shù)結(jié)構(gòu)�����,是對(duì)用戶的請(qǐng)求進(jìn)行分析��,而不是對(duì)所請(qǐng)求的網(wǎng)頁(yè)進(jìn)行分析�����,不同于現(xiàn)有網(wǎng)頁(yè)漏洞檢測(cè)方法中提取并分析網(wǎng)頁(yè)的URL及其所指向的地址的做法����。因?yàn)橐粋€(gè)攻擊手法可以攻擊多個(gè)網(wǎng)站�,因此,可以理解����,分析攻擊手法必然比分析攻擊的網(wǎng)站的運(yùn)算數(shù)量級(jí)要小得多�,因此��,在對(duì)網(wǎng)頁(yè)漏洞進(jìn)行檢測(cè)時(shí)���,無(wú)論是檢測(cè)的響應(yīng)速度��、響應(yīng)時(shí)間��、還是準(zhǔn)確率都會(huì)有很大的改善���。
[0123]可以理解的是:本文所使用的詞語(yǔ)“優(yōu)選的”意指用作實(shí)例、示例或例證�����。奉文描述為“優(yōu)選的”任意方面或設(shè)計(jì)不必被解釋為比其他方面或設(shè)計(jì)更有利�����。相反���,詞語(yǔ)“優(yōu)選的”的使用旨在以具體方式提出概念��。如本申請(qǐng)中所使用的術(shù)語(yǔ)“或”旨在意指包含的“或”而非排除的“或”����。即����,除非另外指定或從上下文中清楚,“X使用A或B”意指自然包括排列的任意一個(gè)���。即���,如果X使用A ;X使用B ;或X使用A和B 二者����,則“X使用A或B”在前述任一示例中得到滿足。
[0124]而且�����,盡管已經(jīng)相對(duì)于一個(gè)或多個(gè)實(shí)現(xiàn)方式示出并描述了本公開����,但是本領(lǐng)域技術(shù)人員基于對(duì)本說(shuō)明書和附圖的閱讀和理解將會(huì)想到等價(jià)變型和修改��。本公開包括所有這樣的修改和變型����,并且僅由所附權(quán)利要求的范圍限制�。特別地關(guān)于由上述模塊(例如元件、資源等)執(zhí)行的各種功能��,用于描述這樣的模塊的術(shù)語(yǔ)旨在對(duì)應(yīng)于執(zhí)行所述模塊的指定功能(例如其在功能上是等價(jià)的)的任意模塊(除非另外指示)���,即使在結(jié)構(gòu)上與執(zhí)行本文所示的本公開的示范性實(shí)現(xiàn)方式中的功能的公開結(jié)構(gòu)不等同�。此外�����,盡管本公開的特定特征已經(jīng)相對(duì)于若干實(shí)現(xiàn)方式中的僅一個(gè)被公開����,但是這種特征可以與如可以對(duì)給定或特定應(yīng)用而言是期望和有利的其他實(shí)現(xiàn)方式的一個(gè)或多個(gè)其他特征組合。而且���,就術(shù)語(yǔ)“包括”、“具有”����、“含有”或其變形被用在【具體實(shí)施方式】或權(quán)利要求中而言����,這樣的術(shù)語(yǔ)旨在以與術(shù)語(yǔ)“包含”相似的方式包括�����。
[0125]本文提供了實(shí)施例的各種操作�����。在一個(gè)實(shí)施例中���,所述的一個(gè)或多個(gè)操作可以構(gòu)成一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的計(jì)算機(jī)可讀指令����,其在被服務(wù)器執(zhí)行時(shí)將使得計(jì)算設(shè)備執(zhí)行所述操作��。描述一些或所有操作的順序不應(yīng)當(dāng)被解釋為暗示這些操作必需是順序相關(guān)的�。本領(lǐng)域技術(shù)人員將理解具有本說(shuō)明書的益處的可替代的排序。
[0126]本發(fā)明實(shí)施例提供的一種網(wǎng)頁(yè)漏洞的檢測(cè)方法與系統(tǒng)屬于同一構(gòu)思���,其具體實(shí)現(xiàn)過(guò)程詳見說(shuō)明書全文�����,此處不再贅述�。
[0127]需要說(shuō)明的是,對(duì)本發(fā)