[發明專利]一種Web應用漏洞檢測規則引擎實現方法及終端在審
| 申請號: | 201910551406.1 | 申請日: | 2019-06-24 |
| 公開(公告)號: | CN110401634A | 公開(公告)日: | 2019-11-01 |
| 發明(設計)人: | 趙岱翀;劉兵;謝鑫;郗朝旭 | 申請(專利權)人: | 北京墨云科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 北京聯瑞聯豐知識產權代理事務所(普通合伙) 11411 | 代理人: | 蘇友娟 |
| 地址: | 100089 北京市海*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 漏洞檢測 規則引擎 存儲介質 漏洞掃描 響應結果 終端 漏洞掃描策略 規則語句 開發周期 匹配結果 插件 構建 匹配 發送 | ||
1.一種Web應用漏洞檢測規則引擎實現方法,其特征在于,包括:
向Web應用服務器發送基于規則語句描述構建的漏洞掃描http請求;
接收所述Web應用服務器對于所述漏洞掃描http請求的響應結果;
基于規則中的漏洞掃描策略信息,對所述響應結果進行匹配得到匹配結果。
2.根據權利要求1所述的Web應用漏洞檢測規則引擎實現方法,其特征在于,還包括步驟:基于所述匹配結果確定是否構建新的漏洞掃描http請求并發送給所述Web應用服務器。
3.根據權利要求1所述的Web應用漏洞檢測規則引擎實現方法,其特征在于,在所述向Web應用服務器發送基于規則語句描述構建的漏洞掃描http請求步驟前,還包括步驟:載入指定的規則文件,讀取并解析所述規則文件中的語句,生成語法樹。
4.根據權利要求1-3任一項所述的Web應用漏洞檢測規則引擎實現方法,其特征在于,所述漏洞包括跨站腳本、sql注入、表達式注入、代碼執行、命令執行、文件包含、文件上傳、弱口令漏洞、反序列化漏洞、解析漏洞、跨域請求偽造、重定向漏洞、邏輯漏洞和信息泄露類漏洞。
5.一種Web應用漏洞檢測規則引擎實現裝置,其特征在于,包括:
請求模塊,用于向Web應用服務器發送基于規則語句描述構建的漏洞掃描http請求;
接收模塊,用于接收所述Web應用服務器對于所述漏洞掃描http請求的響應結果;
匹配模塊,用于基于規則中的漏洞掃描策略信息,對所述響應結果進行匹配得到匹配結果。
6.根據權利要求5所述的Web應用漏洞檢測規則引擎實現裝置,其特征在于,還包括確定模塊,用于基于所述匹配結果確定是否構建新的漏洞掃描http請求并發送給所述Web應用服務器。
7.根據權利要求5所述的Web應用漏洞檢測規則引擎實現裝置,其特征在于,還包括:載入和解析模塊,用于載入指定的規則文件,讀取并解析所述規則文件中的語句,生成語法樹。
8.一種終端,其特征在于,包括:一個或多個處理器、一個或多個存儲器;所述一個或多個存儲器與所述一個或多個處理器耦合,所述一個或多個存儲器用于存儲計算機程序代碼,所述計算機程序代碼包括計算機指令,當所述一個或多個處理器執行所述計算機指令時,所述終端執行如權利要求1-4任一項所述的Web應用漏洞檢測規則引擎實現方法。
9.一種計算機存儲介質,其特征在于,其上存儲計算機指令,當所述計算機指令在終端上運行時,使得所述終端執行如權利要求1-4任一項所述的Web應用漏洞檢測規則引擎實現方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京墨云科技有限公司,未經北京墨云科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910551406.1/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種惡意域名感染主機溯源方法
- 下一篇:一種內外網隔離穿透設計方法
