CN106156634A - 一种识别Web程序漏洞的方法 - Google Patents
一种识别Web程序漏洞的方法 Download PDFInfo
- Publication number
- CN106156634A CN106156634A CN201610550223.4A CN201610550223A CN106156634A CN 106156634 A CN106156634 A CN 106156634A CN 201610550223 A CN201610550223 A CN 201610550223A CN 106156634 A CN106156634 A CN 106156634A
- Authority
- CN
- China
- Prior art keywords
- web
- daily record
- method identifying
- running environment
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种识别Web程序漏洞的方法,包括以下步骤:获取HTTP请求日志,选择其中使用通用Web程序网站的日志;将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发;本发明通过是否触发漏洞行为来判断是否是未知漏洞,可以减轻人力成本,并且识别率更高。
Description
技术领域
本发明涉及一种识别漏洞的方法,具体涉及一种识别Web程序漏洞的方法。
背景技术
现有识别通用Web程序漏洞的方法,是通过收集网络上已公开的通用Web程序的漏洞,分析Payload(针对漏洞触发点的攻击利用代码)关键特征,然后建立漏洞库,并在日志中用这些特征匹配请求日志,未被匹配上的请求日志也可能会存在0day(未公开的漏洞),需要人工进一步分析;这种方法的思路类似杀毒软件病毒特征库,全程需要大量人工干预,如:收集漏洞、提取Payload特征、分析未能匹配上的日志,都需要耗费大量人力成本;而且还可能存在特征误报,Payload需要反复做抽检才可以提高精度。
发明内容
本发明公开了一种可以减轻人力成本,提高准确率的识别Web程序漏洞的方法。
本发明采用的技术方案是:一种识别Web程序漏洞的方法,包括以下步骤:
A、获取HTTP请求日志,选择其中使用通用Web程序网站的日志;
B、将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;
C、将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;
D、如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发。
进一步的,所述危险函数指调用系统命令、执行任意代码的函数。
进一步的,所述危险函数包括system、exec、passthru和eval。
进一步的,所述步骤C中Web运行环境预先将底层函数调用和最终执行的SQL语句输出到文件中。
进一步的,所述步骤A中从CDN节点获取HTTP请求日志。
本发明的有益效果是:
(1)本发明可以从是否触发漏洞行为来判断是否是未知漏洞,对未知漏洞的识别率更高;
(2)本发明可以不必建立漏洞库,减轻人力成本。
附图说明
图1为本发明流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步说明。
如图1所示,一种识别Web程序漏洞的方法,包括以下步骤:
A、获取HTTP请求日志,选择其中使用通用Web程序网站的日志(例如Discuz!);
B、将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;
C、将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;
D、如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发。
进一步的,所述危险函数指调用系统命令、执行任意代码的函数。
进一步的,所述危险函数包括system、exec、passthru和eval;当然并不限于列举的这几种函数,也可以包括其他函数。
进一步的,所述步骤C中Web运行环境预先将底层函数调用和最终执行的SQL语句输出到文件中。
进一步的,所述步骤A中从CDN节点获取HTTP请求日志。
本发明将Web日志还原为正常HTTP请求到特定的Web环境中,看是否触发漏洞行为来判断是否是未知漏洞,从而减轻人力成本,并提高挖掘的准确率;首先部署Web程序的运行环境,该平台运行着通用的Web应用程序,例如Discuz!;将收集的HTTP日志还原成完整的HTTP请求,将请求到事先布置好的Web运行环境;Web运行环境直线对底层的函数调用、最终执行的SQL语句等关键调用信息单独输出到文件中;Web运行环境会对语言的关键函数调用、SQL语句进行记录,最后通过分析调用的函数和SQL语句,判断是否有漏洞出发;使用此方法可以还原攻击“现场”,通过回访请求的方式发现其中的“0day攻击”能将未知漏洞识别工作80%以上自动化。
文中:CDN的全称是Content Delivery Network,即内容分发网络;SQL全称是Structured Query Language,结构化查询语言;Discuz!全称是Crossday Discuz!Board是一套通用的社区论坛软件系统;system、exec、passthru和eval是一种windows操作系统下的函数语言。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种识别Web程序漏洞的方法,其特征在于,包括以下步骤:
A、获取HTTP请求日志,选择其中使用通用Web程序网站的日志;
B、将日志还原成HTTP请求格式,并将HTTP协议的Host字段修改为Web运行环境的地址;
C、将还原后的HTTP置于Web运行环境中,对函数的调用和SQL语句执行进行记录;
D、如果调用了危险函数或SQL语句有构造SQL注入攻击,则有漏洞触发。
2.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述危险函数指调用系统命令、执行任意代码的函数。
3.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述危险函数包括system、exec、passthru和eval。
4.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述步骤C中Web运行环境预先将底层函数调用和最终执行的SQL语句输出到文件中。
5.根据权利要求1所述的一种识别Web程序漏洞的方法,其特征在于,所述步骤A中从CDN节点获取HTTP请求日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610550223.4A CN106156634B (zh) | 2016-07-13 | 2016-07-13 | 一种识别Web程序漏洞的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610550223.4A CN106156634B (zh) | 2016-07-13 | 2016-07-13 | 一种识别Web程序漏洞的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106156634A true CN106156634A (zh) | 2016-11-23 |
CN106156634B CN106156634B (zh) | 2019-06-14 |
Family
ID=58062106
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610550223.4A Active CN106156634B (zh) | 2016-07-13 | 2016-07-13 | 一种识别Web程序漏洞的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106156634B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111371745A (zh) * | 2020-02-21 | 2020-07-03 | 北京百度网讯科技有限公司 | 用于确定ssrf漏洞的方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103425929A (zh) * | 2012-05-22 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | web白盒扫描方法及装置 |
CN104067561A (zh) * | 2012-01-24 | 2014-09-24 | 国际商业机器公司 | 通过使用web流量信息动态扫描web应用 |
CN105141647A (zh) * | 2014-06-04 | 2015-12-09 | 中国银联股份有限公司 | 一种检测Web应用的方法和系统 |
CN105337985A (zh) * | 2015-11-19 | 2016-02-17 | 北京师范大学 | 一种攻击检测方法及系统 |
CN105701175A (zh) * | 2016-01-04 | 2016-06-22 | 百度在线网络技术(北京)有限公司 | 一种数据获取方法及装置 |
-
2016
- 2016-07-13 CN CN201610550223.4A patent/CN106156634B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104067561A (zh) * | 2012-01-24 | 2014-09-24 | 国际商业机器公司 | 通过使用web流量信息动态扫描web应用 |
CN103425929A (zh) * | 2012-05-22 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | web白盒扫描方法及装置 |
CN105141647A (zh) * | 2014-06-04 | 2015-12-09 | 中国银联股份有限公司 | 一种检测Web应用的方法和系统 |
CN105337985A (zh) * | 2015-11-19 | 2016-02-17 | 北京师范大学 | 一种攻击检测方法及系统 |
CN105701175A (zh) * | 2016-01-04 | 2016-06-22 | 百度在线网络技术(北京)有限公司 | 一种数据获取方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111371745A (zh) * | 2020-02-21 | 2020-07-03 | 北京百度网讯科技有限公司 | 用于确定ssrf漏洞的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106156634B (zh) | 2019-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105069355B (zh) | webshell变形的静态检测方法和装置 | |
US9032516B2 (en) | System and method for detecting malicious script | |
CN102542201B (zh) | 一种网页中恶意代码的检测方法及系统 | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
CN107634931A (zh) | 异常数据的处理方法、云端服务器、网关及终端 | |
CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
CN108959071B (zh) | 一种基于RASP的PHP变形webshell的检测方法及系统 | |
CN105303109A (zh) | 一种恶意代码情报检测分析方法及系统 | |
CN104462962B (zh) | 一种检测未知恶意代码和二进制漏洞的方法 | |
CN109688137A (zh) | 一种sql注入攻击的检测方法、系统及相关组件 | |
KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
CN105046150A (zh) | 防止sql注入的方法及系统 | |
CN105357179A (zh) | 网络攻击的处理方法及装置 | |
CN112818352B (zh) | 数据库的检测方法及装置、存储介质及电子装置 | |
CN113360475B (zh) | 基于内网终端的数据运维方法、装置、设备及存储介质 | |
CN114531259A (zh) | 攻击结果检测方法、装置、系统、计算机设备和介质 | |
CN106951782A (zh) | 一种面向安卓应用的恶意代码检测方法 | |
CN104794051A (zh) | 一种Android平台恶意软件自动化检测方法 | |
CN110020161B (zh) | 数据处理方法、日志处理方法和终端 | |
CN106156634A (zh) | 一种识别Web程序漏洞的方法 | |
CN107392033B (zh) | 一种安卓设备渗透测试系统及其自动化渗透测试方法 | |
CN103390129A (zh) | 检测统一资源定位符安全性的方法和装置 | |
CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
CN111291044A (zh) | 敏感数据识别方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 8th Floor, Building 5, No. 801, Middle Section of Tianfu Avenue, High tech Zone, Chengdu City, Sichuan Province, 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |