技術(shù)領(lǐng)域

本發(fā)明總體上涉及網(wǎng)絡(luò)安全，具體地涉及一種用于防護(hù)WEB漏洞的方法和設(shè)備。

背景技術(shù)

隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的日益發(fā)展，使用網(wǎng)絡(luò)的人員增多，網(wǎng)絡(luò)安全環(huán)境日益惡化。網(wǎng)絡(luò)和軟件技術(shù)的逐漸復(fù)雜化為各種網(wǎng)絡(luò)攻擊和黑客行為提供了肥沃的土壤。網(wǎng)絡(luò)上層出不窮的攻擊和不停產(chǎn)生的漏洞使網(wǎng)絡(luò)使用者不勝其煩，尤其是其中與網(wǎng)絡(luò)接觸頻繁WEB開發(fā)者、各種網(wǎng)站的管理員等深受其害。

在各種網(wǎng)絡(luò)危害中，WEB漏洞的危害程度很大。具體而言，WEB漏洞是指WEB應(yīng)用、WEB框架、WEB語言和WEB服務(wù)器等存在的安全隱患。常見的WEB漏洞有SQL注入漏洞、XSS漏洞、文件包含漏洞、代碼執(zhí)行漏洞和文件解析漏洞等。攻擊者利用WEB漏洞可以實(shí)現(xiàn)以下惡意操作：獲取網(wǎng)站數(shù)據(jù)庫(kù)數(shù)據(jù)、網(wǎng)站上傳后門、網(wǎng)頁掛馬和植入暗鏈等。WEB漏洞的危害之所以嚴(yán)重是因?yàn)閃EB應(yīng)用使用的操作系統(tǒng)和第三方應(yīng)用程序中的所有程序錯(cuò)誤或者可以被利用的漏洞都是WEB漏洞的來源。甚至錯(cuò)誤配置也可產(chǎn)生漏洞，并且包含有不安全的默認(rèn)設(shè)置或管理員沒有進(jìn)行安全配置的應(yīng)用程序也會(huì)產(chǎn)生漏洞。例如，WEB服務(wù)器被配置成可以讓任何用戶從系統(tǒng)上的任何目錄路徑通過，這樣可能會(huì)導(dǎo)致泄露存儲(chǔ)在WEB服務(wù)器上的一些敏感信息，如口令、源代碼或客戶信息等。

針對(duì)上述WEB漏洞，常用的檢測(cè)和防御工具是WEB安全掃描器和WEB安全防火墻。WEB安全掃描器是指針對(duì)WEB服務(wù)器進(jìn)行掃描檢測(cè)，以發(fā)現(xiàn)其存在安全隱患的設(shè)備。WEB安全防火墻是指為WEB服務(wù)器提供安全防護(hù)的設(shè)備。

然而，雖然具有檢測(cè)和防御工具，但是如果不能有效地為其設(shè)置掃描和防御規(guī)則，往往對(duì)于WEB漏洞的防護(hù)還是無能為力。而設(shè)置檢測(cè)和防御規(guī)則必須在對(duì)漏洞進(jìn)行分析并得到其原理之后才能得到更新。這就使規(guī)則的更新和對(duì)漏洞的防護(hù)嚴(yán)重依賴于對(duì)漏洞的研究分析結(jié)果。只有分析結(jié)果越細(xì)致、越快速以及越全面才能為WEB漏洞的防護(hù)提供越有利的條件。現(xiàn)在為了防護(hù)WEB漏洞而進(jìn)行的WEB安全研究包括WEB漏洞收集、WEB漏洞重現(xiàn)、WEB漏洞分析和WEB漏洞利用，最終形成對(duì)WEB漏洞的描述信息：WEB漏洞名稱、WEB漏洞適用版本、WEB漏洞描述和WEB漏洞利用方法等。而通過這個(gè)流程產(chǎn)生的WEB漏洞防護(hù)是不夠全面的，因?yàn)楝F(xiàn)有的WEB安全研究方案缺少了對(duì)WEB漏洞的研究的綜合利用，也就是不能將對(duì)WEB漏洞的重現(xiàn)、分析和利用的結(jié)果轉(zhuǎn)換成用于防護(hù)漏洞的最終方案。換言之，在現(xiàn)有技術(shù)中，對(duì)WEB漏洞做出的重現(xiàn)、分析以及利用僅僅是為了研究該WEB漏洞的特性，而得到的結(jié)果并沒有被充分利用，這是不利于WEB漏洞防護(hù)的。并且在現(xiàn)有技術(shù)中，WEB漏洞分析環(huán)節(jié)不夠深入透徹，只形成對(duì)漏洞的一個(gè)簡(jiǎn)單描述。

因此，在現(xiàn)有WEB漏洞防護(hù)方法中，對(duì)漏洞的分析研究?jī)H僅停留在表面，對(duì)漏洞成因的描述也只有片言只語，僅僅是表面上的分析，不夠深入，不能指出漏洞的根源所在，這樣簡(jiǎn)單的漏洞分析對(duì)后續(xù)的防護(hù)起不到任何的作用。對(duì)比之下，在根據(jù)本發(fā)明的WEB漏洞防護(hù)方法中，對(duì)WEB漏洞的分析更加透徹，能夠指出漏洞產(chǎn)生的根源所在，分析出漏洞觸發(fā)的整個(gè)過程；通過深入詳細(xì)的漏洞分析，最終給出針對(duì)性的修復(fù)方案、掃描方法以及防御方法，這對(duì)WEB漏洞防護(hù)具有積極的意義。

此外，現(xiàn)有的WEB漏洞防護(hù)方法缺少對(duì)WEB漏洞的綜合分析和轉(zhuǎn)換環(huán)節(jié)，僅僅是對(duì)單個(gè)WEB漏洞的分析研究，不能將WEB安全研究分析的成果轉(zhuǎn)化為WEB安全掃描器和WEB安全防火墻的規(guī)則。在根據(jù)本發(fā)明的WEB漏洞防護(hù)方法中，可以及時(shí)地將針對(duì)WEB漏洞的重現(xiàn)、分析和利用成果轉(zhuǎn)換成WEB漏洞掃描規(guī)則和WEB漏洞防御規(guī)則，供WEB安全掃描器和WEB安全防火墻使用，這極大的提高了WEB安全掃描和WEB安全防御的及時(shí)性和準(zhǔn)確性。換言之，根據(jù)本發(fā)明的技術(shù)方案充分利用了對(duì)WEB漏洞的分析、重現(xiàn)和利用的成果，其成果的基礎(chǔ)上發(fā)展出WEB漏洞防護(hù)的有效方案并能夠全方位地覆蓋WEB漏洞從產(chǎn)生到危害的各個(gè)環(huán)節(jié)。

發(fā)明內(nèi)容

因此，本發(fā)明的目的在于針對(duì)日益惡化的網(wǎng)絡(luò)安全環(huán)境提供一種用于及時(shí)、準(zhǔn)確以及全面地防護(hù)WEB漏洞的方法和設(shè)備。

在本發(fā)明的第一方面中，本發(fā)明提供一種用于防護(hù)WEB漏洞的方法。所述方法包括：收集WEB漏洞；重現(xiàn)所述WEB漏洞；分析所述WEB漏洞；基于重現(xiàn)和分析所述WEB漏洞的結(jié)果來利用所述WEB漏洞；基于重現(xiàn)、分析和利用所述WEB漏洞的結(jié)果來防護(hù)WEB漏洞。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，所述方法進(jìn)一步包括在收集所述WEB漏洞之后基于篩選標(biāo)準(zhǔn)對(duì)所收集的所述WEB漏洞進(jìn)行篩選。