CN106156634A - 一种识别Web程序漏洞的方法 - Google Patents

一种识别Web程序漏洞的方法 Download PDF

Info

Publication number
CN106156634A
CN106156634A CN201610550223.4A CN201610550223A CN106156634A CN 106156634 A CN106156634 A CN 106156634A CN 201610550223 A CN201610550223 A CN 201610550223A CN 106156634 A CN106156634 A CN 106156634A
Authority
CN
China
Prior art keywords
web
daily record
method identifying
running environment
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610550223.4A
Other languages
English (en)
Other versions
CN106156634B (zh
Inventor
卢西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Zhidaochuangyu Information Technology Co Ltd
Original Assignee
Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Zhidaochuangyu Information Technology Co Ltd filed Critical Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority to CN201610550223.4A priority Critical patent/CN106156634B/zh
Publication of CN106156634A publication Critical patent/CN106156634A/zh
Application granted granted Critical
Publication of CN106156634B publication Critical patent/CN106156634B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种识别Web程序漏洞的方法,包括以下步骤:获取HTTP请求日志,选择其中使用通用Web程序网站的日志;将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发;本发明通过是否触发漏洞行为来判断是否是未知漏洞,可以减轻人力成本,并且识别率更高。

Description

一种识别Web程序漏洞的方法
技术领域
本发明涉及一种识别漏洞的方法,具体涉及一种识别Web程序漏洞的方法。
背景技术
现有识别通用Web程序漏洞的方法,是通过收集网络上已公开的通用Web程序的漏洞,分析Payload(针对漏洞触发点的攻击利用代码)关键特征,然后建立漏洞库,并在日志中用这些特征匹配请求日志,未被匹配上的请求日志也可能会存在0day(未公开的漏洞),需要人工进一步分析;这种方法的思路类似杀毒软件病毒特征库,全程需要大量人工干预,如:收集漏洞、提取Payload特征、分析未能匹配上的日志,都需要耗费大量人力成本;而且还可能存在特征误报,Payload需要反复做抽检才可以提高精度。
发明内容
本发明公开了一种可以减轻人力成本,提高准确率的识别Web程序漏洞的方法。
本发明采用的技术方案是:一种识别Web程序漏洞的方法,包括以下步骤:
A、获取HTTP请求日志,选择其中使用通用Web程序网站的日志;
B、将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;
C、将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;
D、如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发。
进一步的,所述危险函数指调用系统命令、执行任意代码的函数。
进一步的,所述危险函数包括system、exec、passthru和eval。
进一步的,所述步骤C中Web运行环境预先将底层函数调用和最终执行的SQL语句输出到文件中。
进一步的,所述步骤A中从CDN节点获取HTTP请求日志。
本发明的有益效果是:
(1)本发明可以从是否触发漏洞行为来判断是否是未知漏洞,对未知漏洞的识别率更高;
(2)本发明可以不必建立漏洞库,减轻人力成本。
附图说明
图1为本发明流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步说明。
如图1所示,一种识别Web程序漏洞的方法,包括以下步骤:
A、获取HTTP请求日志,选择其中使用通用Web程序网站的日志(例如Discuz!);
B、将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;
C、将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;
D、如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发。
进一步的,所述危险函数指调用系统命令、执行任意代码的函数。
进一步的,所述危险函数包括system、exec、passthru和eval;当然并不限于列举的这几种函数,也可以包括其他函数。
进一步的,所述步骤C中Web运行环境预先将底层函数调用和最终执行的SQL语句输出到文件中。
进一步的,所述步骤A中从CDN节点获取HTTP请求日志。
本发明将Web日志还原为正常HTTP请求到特定的Web环境中,看是否触发漏洞行为来判断是否是未知漏洞,从而减轻人力成本,并提高挖掘的准确率;首先部署Web程序的运行环境,该平台运行着通用的Web应用程序,例如Discuz!;将收集的HTTP日志还原成完整的HTTP请求,将请求到事先布置好的Web运行环境;Web运行环境直线对底层的函数调用、最终执行的SQL语句等关键调用信息单独输出到文件中;Web运行环境会对语言的关键函数调用、SQL语句进行记录,最后通过分析调用的函数和SQL语句,判断是否有漏洞出发;使用此方法可以还原攻击“现场”,通过回访请求的方式发现其中的“0day攻击”能将未知漏洞识别工作80%以上自动化。
文中:CDN的全称是Content Delivery Network,即内容分发网络;SQL全称是Structured Query Language,结构化查询语言;Discuz!全称是Crossday Discuz!Board是一套通用的社区论坛软件系统;system、exec、passthru和eval是一种windows操作系统下的函数语言。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种识别Web程序漏洞的方法,其特征在于,包括以下步骤:
A、获取HTTP请求日志,选择其中使用通用Web程序网站的日志;
B、将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;
C、将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;
D、如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发。
2.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述危险函数指调用系统命令、执行任意代码的函数。
3.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述危险函数包括system、exec、passthru和eval。
4.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述步骤C中Web运行环境预先将底层函数调用和最终执行的SQL语句输出到文件中。
5.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述步骤A中从CDN节点获取HTTP请求日志。
CN201610550223.4A 2016-07-13 2016-07-13 一种识别Web程序漏洞的方法 Active CN106156634B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610550223.4A CN106156634B (zh) 2016-07-13 2016-07-13 一种识别Web程序漏洞的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610550223.4A CN106156634B (zh) 2016-07-13 2016-07-13 一种识别Web程序漏洞的方法

Publications (2)

Publication Number Publication Date
CN106156634A true CN106156634A (zh) 2016-11-23
CN106156634B CN106156634B (zh) 2019-06-14

Family

ID=58062106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610550223.4A Active CN106156634B (zh) 2016-07-13 2016-07-13 一种识别Web程序漏洞的方法

Country Status (1)

Country Link
CN (1) CN106156634B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371745A (zh) * 2020-02-21 2020-07-03 北京百度网讯科技有限公司 用于确定ssrf漏洞的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103425929A (zh) * 2012-05-22 2013-12-04 百度在线网络技术(北京)有限公司 web白盒扫描方法及装置
CN104067561A (zh) * 2012-01-24 2014-09-24 国际商业机器公司 通过使用web流量信息动态扫描web应用
CN105141647A (zh) * 2014-06-04 2015-12-09 中国银联股份有限公司 一种检测Web应用的方法和系统
CN105337985A (zh) * 2015-11-19 2016-02-17 北京师范大学 一种攻击检测方法及系统
CN105701175A (zh) * 2016-01-04 2016-06-22 百度在线网络技术(北京)有限公司 一种数据获取方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104067561A (zh) * 2012-01-24 2014-09-24 国际商业机器公司 通过使用web流量信息动态扫描web应用
CN103425929A (zh) * 2012-05-22 2013-12-04 百度在线网络技术(北京)有限公司 web白盒扫描方法及装置
CN105141647A (zh) * 2014-06-04 2015-12-09 中国银联股份有限公司 一种检测Web应用的方法和系统
CN105337985A (zh) * 2015-11-19 2016-02-17 北京师范大学 一种攻击检测方法及系统
CN105701175A (zh) * 2016-01-04 2016-06-22 百度在线网络技术(北京)有限公司 一种数据获取方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371745A (zh) * 2020-02-21 2020-07-03 北京百度网讯科技有限公司 用于确定ssrf漏洞的方法和装置

Also Published As

Publication number Publication date
CN106156634B (zh) 2019-06-14

Similar Documents

Publication Publication Date Title
CN105069355B (zh) webshell变形的静态检测方法和装置
US9032516B2 (en) System and method for detecting malicious script
CN102542201B (zh) 一种网页中恶意代码的检测方法及系统
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
CN107634931A (zh) 异常数据的处理方法、云端服务器、网关及终端
CN102708309A (zh) 恶意代码自动分析方法及系统
CN103294951B (zh) 一种基于文档型漏洞的恶意代码样本提取方法及系统
CN108959071B (zh) 一种基于RASP的PHP变形webshell的检测方法及系统
CN105303109A (zh) 一种恶意代码情报检测分析方法及系统
CN104462962B (zh) 一种检测未知恶意代码和二进制漏洞的方法
CN109688137A (zh) 一种sql注入攻击的检测方法、系统及相关组件
KR101972825B1 (ko) 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램
CN105046150A (zh) 防止sql注入的方法及系统
CN112818352B (zh) 数据库的检测方法及装置、存储介质及电子装置
CN113360475B (zh) 基于内网终端的数据运维方法、装置、设备及存储介质
CN109474691B (zh) 一种物联网设备识别的方法及装置
CN114531259A (zh) 攻击结果检测方法、装置、系统、计算机设备和介质
CN106951782A (zh) 一种面向安卓应用的恶意代码检测方法
CN110020161B (zh) 数据处理方法、日志处理方法和终端
CN114461864A (zh) 一种告警溯源方法和装置
CN106156634A (zh) 一种识别Web程序漏洞的方法
CN107392033B (zh) 一种安卓设备渗透测试系统及其自动化渗透测试方法
CN103390129A (zh) 检测统一资源定位符安全性的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan

Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 8th Floor, Building 5, No. 801, Middle Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610000

Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.