本發明分開了一種Web應用安全漏洞挖掘方法和裝置。一種Web應用安全漏洞挖掘方法，所述方法包括：收集Web應用安全漏洞；重現所述Web應用安全漏洞；分析所述Web應用安全漏洞，基于重現和分析所述Web應用安全漏洞的結果來利用所述Web應用安全漏洞；基于重視、分析和利用所述Web應用安全漏洞的結果來挖掘Web應用安全漏洞。

技術領域

本發明總體上步及網絡安全，具體地涉及一種Web應用安全漏洞挖掘方法和裝置。

背景技術

隨著網絡和計算機技術的日益發展，使用網絡的人員增多，網絡安全環境日益惡化。網絡和軟件技術的逐漸復雜化為各種網絡攻擊和黑客行為提供了肥沃的土壤。網絡上層出不窮的攻擊和不停產生的漏洞使網絡使用者不勝其煩，尤其是其中與網絡接觸頻繁Web開發者、各種網站的管理員等深受其害。

在各種網絡危害中，Web應用安全漏洞的危害程序很大。具體而言，Web應用安全漏洞是指Web應用、Web框架、Web語言和Web服務器等存在的安全隱患。常見的Web應用安全漏洞有SQL注入漏洞、XSS漏洞、文件包含漏洞、代碼執行漏洞和文件解析漏洞等。攻擊者利用Web應用安全漏洞可以實現以下惡意操作：獲取網站數據庫數據、網站上傳后門、網頁掛馬和植入暗鏈等。Web應用安全漏洞的危害之所以嚴重是因為Web應用使用的操作系統和第三方應用程序中的所有程序錯誤或者可以被利用的漏洞都是Web應用安全漏洞的來源。甚至錯誤配置也可產生漏洞，并且包含不安全的默認設置或管理員沒有進行安全配置的應用程序也會產生漏洞。例如，Web服務器被配置成可以讓任何用戶從系統上的任何目錄路徑通過，這樣可能會導致泄露存儲在Web服務器上的一些敏感信息，如口令、源代碼或客戶信息等。

針對上述Web應用安全漏洞，常用的檢測和防御工具是Web安全掃描器和Web安全防火墻。Web安全掃描器是指針對Web服務器進行掃描檢測，以發現其存在安全隱患的設備。Web安全防火墻是指為Web服務器提供安全挖掘的設備。

然而，雖然具有檢測和防御工具，但是如果不能有效地為其設置掃描和防御規則，往往對于Web應用安全漏洞的挖掘還是無能為力。而設置檢測和防御規則必須在對漏洞進行分析并得到其原理之后才能得到更新。這就使規則的更新和對漏洞的挖掘嚴重依賴于對漏洞的研究分析結果。只有分析結果越細致、越快速以及越全面才能為Web應用安全漏洞的挖掘提供越有利的條件。現在為了挖掘Web應用安全漏洞而進行的Web安全研究包括Web應用安全漏洞收集、Web應用安全漏洞重現、Web應用安全漏洞分析和Web應用安全漏洞利用，最終形成對Web應用安全漏洞的描述信息：Web應用安全漏洞名稱、Web應用安全漏洞適用版本、Web應用安全漏洞描述和Web應用安全漏洞利用方法等。而通過這個流程產生的Web應用安全漏洞挖掘是不夠全面的，因為現有的Web安全研究方案缺少了對Web應用安全漏洞的研究的綜合利用，也就是不能將對Web應用安全漏洞的重現、分析和利用的結果轉換成用于挖掘漏洞的最終方案。換言之，在現有技術中，對Web應用安全漏洞做出的重現、分析以及利用僅僅是為了研究該Web應用安全漏洞的特性，而得到的結果并沒有被充分利用，這是不利于Web應用安全漏洞挖掘的。并且在現有技術中，Web應用安全漏洞分析環節不夠深入透徹，只形成對漏洞的一個簡單描述。

因此，在現有Web應用安全漏洞挖掘方法中，對漏洞的分析研究僅僅停留在表面，對漏洞成因的描述也只有只言片語，僅僅是表面上的分析，不夠深入，不能指出漏洞的根源所在，這樣簡單的漏洞分析對后續的挖掘起不到任何的作用。對比之下，在根據本發明的Web應用安全漏洞挖掘方法中，對Web應用安全漏洞的分析更加透徹，能夠指出漏洞的根源所在，分析漏洞觸發的整個過程；通過深入詳細的漏洞分析，最終給出針對性的修復方案、掃描方法以及防御方法，這對Web應用安全漏洞挖掘具有積極的意義。