本申請提供一種漏洞檢測分析方法、裝置及基于此的漏洞驗證方法、系統。其中的技術方案，通過對攻擊測試報文有效報文內容和響應該攻擊測試的有效實時響應數據的分析，推知目標程序在受到所述攻擊測試報文攻擊時的內部運行情況，進而確定目標程序中是否潛藏對應所述攻擊測試的類型漏洞的漏洞檢測分析方案，以及基于此通過發起對應目標類型漏洞的攻擊測試，驗證目標程序中是否潛藏了目標類型漏洞的漏洞驗證方案。

技術領域

本申請涉及計算機網絡信息安全技術領域，具體涉及一種漏洞檢測分析方法、裝置及基于此的漏洞驗證方法、系統。

背景技術

在計算機網絡信息安全領域，漏洞(Vulnerability)，是指能夠被威脅行為體(Threat Actor，例如攻擊者，Attacker)利用以越過計算機系統設定的權限(即，執行未經授權的操作)的弱點。攻擊者需要通過至少一種能夠連接到系統漏洞的適當工具或技巧利用所述漏洞。在此框架中，漏洞即攻擊面(Attack Surface)上可以被未授權用戶(攻擊者)輸入或提取數據而受到攻擊的點位(對于攻擊向量而言)。這里的攻擊面，即軟件系統的攻擊面，是指軟件環境的攻擊面是未經授權的用戶(攻擊者)可以嘗試向環境中輸入數據或從環境中提取數據的不同點位(對于攻擊向量而言)的總和，而保持攻擊面盡可能小是基本的安全措施。攻擊者能夠使用的攻擊向量有很多，其中常見的攻擊向量就有：勒索軟件、網絡釣魚、零日漏洞、蠻力攻擊、分布式拒絕服務(DDoS)等等。具體來說，攻擊向量的示例包括：用戶輸入字段，協議，接口和服務等等。

在涉及計算機網絡信息安全的大量過往案例中，攻擊者利用軟件系統的漏洞都對有價值資產(Assets)造成了重大影響。而安全風險，即是指利用漏洞可能造成重大影響的可能性。漏洞檢測分析，即是要在攻擊者發現和利用軟件中的漏洞造成安全危害前，發現其中的漏洞，并修復它，以降低安全風險。

隨著安全組織和個人對漏洞研究的深入和相關計算機技術的發展，陸續發展出了多種的漏洞檢測分析技術，獨立地或結合地使用，適用于相同的或不同的檢測分析對象、應用場景等的漏洞檢測分析需要。目前的一些漏洞檢測分析方法，針對不同檢測分析對象、應用場景等，各具優劣。其中，在以基于B/S的Web應用程序為對象的漏洞檢測分析需求場景中，現有的靜態分析技術(Static Analysis)、動態分析技術(Runtime Analysis)、黑盒測試分析技術等都存在誤報問題；其中的一些還存在著無法準確定位漏洞位置等的其他問題，尤其是對處于開發階段的Web應用程序，黑盒測試分析技術或類似的技術更是無法適用于其的漏洞檢測分析。

發明內容

有鑒于此，本申請旨在提供一種漏洞檢測分析方法、裝置及基于此的漏洞驗證方法、系統，以解決上述技術問題。

根據本申請公開的示例實施例，提供一種漏洞檢測分析方案，以及基于此的對目標程序中任一目標類型漏洞的漏洞驗證方案。

在本公開的第一方面中，提供一種漏洞檢測分析方法。該方法包括：對于任一類型的漏洞，獲取或接收所述類型漏洞的攻擊測試報文的有效報文內容和目標程序響應該攻擊測試的有效實時響應數據；根據所述的攻擊測試報文的有效報文內容和響應該攻擊測試的有效實時響應數據，分析在受到所述攻擊測試報文攻擊時目標程序內部運行是否發生相應的異常而據此判斷目標程序中是否潛藏所述類型的漏洞；其中，所述類型漏洞的攻擊測試報文的有效報文內容，應包括能夠利用所述類型漏洞進行攻擊的有效載荷參數內容；目標程序響應該攻擊測試的有效實時響應數據，包括目標程序響應和處理所述攻擊測試報文過程中的運行上下文；所述的運行上下文，主要包括：該攻擊測試的數據流執行到關鍵函數時獲取的有效運行時數據，及其對應的關鍵函數信息；所述關鍵函數信息，是指獲取所述有效運行時數據時對應的關鍵函數的信息；在上述的關鍵函數信息中，主要包括：例如關鍵函數的函數名稱等的識別所述關鍵函數的信息。