[發(fā)明專利]一種web漏洞確認方法以及裝置在審
| 申請?zhí)枺?/td> | 202011567033.6 | 申請日: | 2020-12-25 |
| 公開(公告)號: | CN112632560A | 公開(公告)日: | 2021-04-09 |
| 發(fā)明(設計)人: | 牛彬 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;H04L29/06 |
| 代理公司: | 北京眾達德權知識產權代理有限公司 11570 | 代理人: | 徐彥圣 |
| 地址: | 215000 江蘇省蘇州*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 web 漏洞 確認 方法 以及 裝置 | ||
1.一種web漏洞確認方法,其特征在于,包括:
遍歷目標程序,獲得遍歷結果;
根據(jù)所述遍歷結果,對所述目標程序中的目標污點來源函數(shù)內的參數(shù)進行標記,以獲得目標污點參數(shù);
檢測所述目標程序中的目標危險函數(shù)是否包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù);
在檢測到所述目標危險函數(shù)包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù)的情況下,確定所述目標程序中存在web漏洞;
在檢測到所述目標危險函數(shù)未包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù)的情況下,確定所述目標程序中不存在web漏洞。
2.如權利要求1所述的方法,其特征在于,在所述檢測所述目標程序中的目標危險函數(shù)是否包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù)的步驟之前,所述方法還包括:
判斷所述目標污點參數(shù)是否經過污點處理函數(shù)進行處理;
在判斷出所述目標污點參數(shù)經過所述污點處理函數(shù)進行處理的情況下,確定所述目標污點參數(shù)被轉換為安全參數(shù);
在判斷出所述目標污點參數(shù)未經過所述污點處理函數(shù)進行處理的情況下,對所述目標污點參數(shù)的結果參數(shù)進行標記,其中,所述目標污點參數(shù)的結果參數(shù)為對所述目標污點參數(shù)進行運算所獲得的。
3.如權利要求2所述的方法,其特征在于,在檢測到所述目標危險函數(shù)包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù)的情況下,確定所述目標程序中存在web漏洞的步驟之后,所述方法還包括:
將所述目標污點來源函數(shù)內的參數(shù)替換為目標字符串;
檢測所述目標危險函數(shù)內是否包含所述目標字符串;
根據(jù)檢測結果驗證所述目標程序中是否存在所述web漏洞。
4.如權利要求3所述的方法,其特征在于,所述根據(jù)檢測結果驗證所述目標程序中是否存在所述web漏洞,包括:
在檢測出所述目標危險函數(shù)內包含所述目標字符串的情況下,確定所述目標程序中不存在所述目標字符串對應的自定義污點處理函數(shù),并確定所述目標程序中存在所述web漏洞。
5.如權利要求3所述的方法,其特征在于,所述根據(jù)檢測結果驗證所述目標程序中是否存在所述web漏洞,包括:
在檢測出所述目標危險函數(shù)內未包含所述目標字符串的情況下,確定所述目標程序中存在所述目標字符串對應的自定義污點處理函數(shù),并確定所述目標程序中不存在所述web漏洞。
6.如權利要求1至5中任一項所述的方法,其特征在于,所述目標污點來源函數(shù)包含GET函數(shù)、POST函數(shù)、REQUEST函數(shù)和SERVER函數(shù)。
7.如權利要求2至5中任一項所述的方法,其特征在于,所述污點處理函數(shù)包含base64_decode函數(shù)、mysqli_escape_string函數(shù)、addslashes函數(shù)、strip_tags函數(shù)和htmlspecialchars函數(shù)。
8.一種web漏洞確認裝置,其特征在于,包括:
遍歷模塊,用于遍歷目標程序,獲得遍歷結果;
標記模塊,用于根據(jù)所述遍歷結果,對所述目標程序中的目標污點來源函數(shù)內的參數(shù)進行標記,以獲得目標污點參數(shù);
檢測模塊,用于檢測所述目標程序中的目標危險函數(shù)是否包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù);
第一確定模塊,用于在檢測到所述目標危險函數(shù)包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù)的情況下,確定所述目標程序中存在web漏洞;
第二確定模塊,用于在檢測到所述目標危險函數(shù)未包含所述目標污點參數(shù)和/或所述目標污點參數(shù)的結果參數(shù)的情況下,確定所述目標程序中不存在web漏洞。
9.一種電子設備,包括存儲器、處理器,其特征在于,所述處理器用于執(zhí)行存儲器中存儲的計算機程序時實現(xiàn)如權利要求1至7中任一項所述的web漏洞確認方法的步驟。
10.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于:所述計算機程序被處理器執(zhí)行時實現(xiàn)如權利要求1至7中任一項所述的web漏洞確認方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011567033.6/1.html,轉載請聲明來源鉆瓜專利網。
