本發明公開了一種快速驗證應用程序漏洞狀態的方法及系統，其中方法包括如下步驟：S1)、獲取其接收并記錄到的漏洞原始基礎數據，并將所述漏洞信息顯示出來，以供用戶查看；S2)、對漏洞請求進行重放；S3)、對上述步驟2中重放的請求進行漏洞檢測；S4)、根據上述步驟3中的檢測結果修改所述漏洞當前對應的漏洞狀態，并將修改后的所述漏洞狀態更新進所述漏洞原始基礎數據中；由此可知，通過上述方法，用戶可有針對性地對已原來已發現的漏洞進行二次檢測，以判斷其是否被修復，不但效率高，而且可有效保證精確度，而且，在用戶確認需要對漏洞進行請求重放時，后續所有相關操作都不需要人為參與，使用更簡單，從而提高用戶使用體驗。

技術領域

本發明涉及應用程序漏洞檢測技術領域，尤其涉及一種快速驗證應用程序漏洞狀態的方法及系統。

背景技術

自軟件程序的誕生開始，程序漏洞就應允而生，由于軟件開發者開發軟件時的疏忽，或者是編程語言的局限性，比如c語言家族比java效率高但漏洞也多，任何一款程序都不可避免地會存在這樣或那樣的漏洞，從某種程度上可以說，只有暫時未發現漏洞的程序，沒有完全安全的程序，即漏洞只能被盡可能多的發現，而不能完全杜絕，鑒于此，每一款程序從開發出來開始直到壽命結束都會涉及到漏洞檢測問題，對于用戶來說，只有提前檢測到存在的漏洞并對其進行處理，才能有效防止安全事故的發生。為了提高漏洞的檢測效率，漏洞檢測工具也得到不斷發展，但是現在的漏洞檢測工具的檢測目的都是將已存在的安全漏洞給找出來，而不能針對已發現的安全漏洞進行判斷其是否已被開發人員修復成功。目前，判斷已發現的安全漏洞是否被修復的方法有以下兩種：1、安全人員手動測試，重新發送驗證請求，人工判斷該漏洞是否被驗證，耗時長，可能出現遺漏問題；2、基于漏洞掃描工具重新測試一遍，過于消耗資源，部分未修復的漏洞也會重復請求。因此，對于上述兩種判斷已發現的安全漏洞是否被修復的方法，無論是效率亦或是準確度都不能達到用戶的滿意。

發明內容

本發明的目的是為解決上述技術問題的不足而提供一種快速驗證應用程序漏洞狀態的方法，以對漏洞檢測工具已經發現的漏洞進行有針對性的二次檢測，確認其是否被修復成功。

本發明的另一目的是提供一種快速驗證應用程序漏洞狀態的系統，以對漏洞檢測工具已經發現的漏洞進行有針對性的二次檢測，確認其是否被修復成功。

為了實現上述目的，本發明公開了一種快速驗證應用程序漏洞狀態的方法，其包括如下步驟：

S1)、從漏洞檢測平臺數據庫中獲取其接收并記錄到的漏洞原始基礎數據，并將所述漏洞信息顯示出來，以供用戶查看；

S2)、對上述步驟1中顯示出來的所述漏洞中的一個或多個所對應的請求進行重放；

S3)、對上述步驟2中重放的請求進行漏洞檢測；

S4)、根據上述步驟3中的檢測結果修改所述漏洞當前對應的漏洞狀態，并將修改后的所述漏洞狀態更新進所述漏洞原始基礎數據中。

較佳地，所述漏洞狀態包括新發現狀態、已確認狀態和已關閉狀態；

所述新發現狀態，是指在請求重放時新發現且未經任何處理時的狀態；

所述已確認狀態，是指漏洞已被安全人員確認，需要被修復時的狀態。

所述已關閉狀態，是指經過請求重放和漏洞重新檢測之后確認漏洞已經不存在且已被關閉的狀態。

較佳地，對于指定進行重放的請求，動態在所述請求的請求頭中添加第一關鍵字信息，所述第一關鍵字信息代表該請求存在已被發現的漏洞和漏洞類型。

較佳地，對于重放的請求，如果檢測到新的漏洞，在所述請求的響應頭中添加第二關鍵字信息，所述第二關鍵字信息代表該請求存在新被發現的漏洞和漏洞類型。