CN109165511A - Web安全漏洞处理方法、系统及计算机可读存储介质 - Google Patents
Web安全漏洞处理方法、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109165511A CN109165511A CN201810901064.7A CN201810901064A CN109165511A CN 109165511 A CN109165511 A CN 109165511A CN 201810901064 A CN201810901064 A CN 201810901064A CN 109165511 A CN109165511 A CN 109165511A
- Authority
- CN
- China
- Prior art keywords
- data
- https
- scanner
- web
- vulnerability scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种Web安全漏洞处理方法,包括以下步骤:当Web服务器上接收到新的https请求时,数据采集模块获取所述https请求被解密后的https数据;将所述https数据上传至扫描器,以供所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。本发明还公开了一种Web安全漏洞处理系统及计算机可读存储介质。本发明实现了Web安全漏洞处理系统的简便部署,同时保证了https数据采集的全面性,进而提升了Web服务器的安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种Web安全漏洞处理方法、系统及计算机可读存储介质。
背景技术
随着社交网络的迅猛发展,网络接入客户端除了传统的PC电脑,还有平板电脑、智能手机等多种复杂的设备,同时https逐步成为网络安全的必备协议,然而多终端和https给网络带来安全的同时,也给信息安全人员分析和扫描相关https接口是否存在Web安全漏洞带来一定的挑战,比如如何便捷且全面地获得与服务器交互的多种渠道https请求数据包。
目前业界针对https请求数据的采集要么是通过爬行获取数据,要么是在pc端和手机终端安装扫描器自带的证书,并在pc和手机端设置信任该证书,然后再把扫描器设置为代理,并由扫描器作为中间人来劫持并解密以获得终端和服务器端的https数据,如图1所示。
现有技术中,通过爬行获取数据以及通过在客户端安装扫描器证书并由扫描器作为中间人来劫持获得数据的实现方式不仅操作繁琐,而且还存在数据采集不全面的问题,进而影响到Web服务器的安全运行。
发明内容
本发明的主要目的在于提供一种Web安全漏洞处理方法、系统及计算机可读存储介质,旨在解决现有Web安全漏洞处理操作繁琐且存在数据采集不全面的技术问题。
为实现上述目的,本发明提供一种Web安全漏洞处理方法,所述Web安全漏洞处理方法包括以下步骤:
当Web服务器上接收到新的https请求时,数据采集模块获取所述https请求被解密后的https数据;
将所述https数据上传至扫描器,以供所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
可选地,所述数据采集模块获取所述https请求被解密后的https数据的实现方式包括:
A、当Web服务器对加密的https请求数据包进行解密时,所述数据采集模块获取解密后的所述https数据;
B、所述数据采集模块捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据。
可选地,当所述扫描器为Web服务器的外置设备时,所述将所述https数据上传至扫描器的步骤包括:
所述数据采集模块通过数据上传代理模块将所述https数据上传至扫描器控制模块,以供扫描器控制模块将所述https数据分发至不同扫描器进行处理。
可选地,所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告的方式包括:
当接收到所述数据采集模块上传的所述https数据时,所述扫描器加载漏洞扫描规则与漏洞扫描插件;
基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
可选地,所述漏洞扫描规则包括:接口扫描规则、插件扫描规则,所述漏洞扫描插件包括:SQL注入插件,所述基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理包括:
所述扫描器基于所述接口扫描规则,对所述https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
若是,则对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
以所述SQL注入插件的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
接收Web服务器返回的测试请求包对应的测试响应包;
基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
进一步地,为实现上述目的,本发明还提供一种Web安全漏洞处理系统,所述Web安全漏洞处理系统包括:数据采集模块与扫描器,所述数据采集模块部署在Web服务器上;所述扫描器部署在Web服务器上,或者所述扫描器为Web服务器的外置设备;
所述数据采集模块,用于当Web服务器上接收到新的https请求时,获取所述https请求被解密后的https数据,并将所述https数据上传至所述扫描器;
所述扫描器,用于接收所述数据采集模块上传的所述https数据,对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
可选地,所述数据采集模块获取所述https请求被解密后的https数据的实现方式包括:
A、当Web服务器对加密的https请求数据包进行解密时,所述数据采集模块获取解密后的所述https数据;
B、所述数据采集模块捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据。
可选地,当所述扫描器为Web服务器的外置设备时,所述Web安全漏洞处理系统还包括:数据上传代理模块、扫描器控制模块;
所述数据采集模块还用于:在获取到https请求被解密后的https数据之后,将所述https数据发送至所述数据上传代理模块;
所述数据上传代理模块用于:接收所述数据采集模块发送的所述https数据并上传至所述扫描器控制模块;
所述扫描器控制模块用于:接收所述数据上传代理模块上传的所述https数据并分发至不同扫描器进行处理。
可选地,所述扫描器还用于:
加载漏洞扫描规则与漏洞扫描插件;
基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
可选地,所述漏洞扫描规则包括:接口扫描规则、插件扫描规则,所述漏洞扫描插件包括:SQL注入插件,所述扫描器还用于:
基于所述接口扫描规则,对所述https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
若是,则对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
以所述SQL注入插件的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
接收Web服务器返回的测试请求包对应的测试响应包;
基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有Web安全漏洞处理程序,应用于Web安全漏洞处理系统,所述Web安全漏洞处理程序被处理器执行时实现如上述任一项所述的Web安全漏洞处理方法的步骤。
本发明中,Web安全漏洞处理系统包括:数据采集模块与扫描器。当Web服务器上存在新的https请求时,数据采集模块获取https请求被解密后的https数据,并将https数据上传扫描器;再由扫描器对https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。为避免数据采集的繁琐操作,本发明将数据采集模块部署在Web服务器上,进而避免了安装中间人证书和设置代理的繁琐操作,同时也保证了数据采集的全面性。
附图说明
图1为现有技术中实现Web安全漏洞扫描的技术架构示意图;
图2为本发明Web安全漏洞处理系统第一实施例的功能模块示意图;
图3为本发明Web安全漏洞处理系统第二实施例的功能模块示意图;
图4为本发明Web安全漏洞处理系统一实施例的功能模块技术架构示意图;
图5为本发明Web安全漏洞处理方法一实施例的流程示意图;
图6为本发明Web安全漏洞处理方法中扫描器进行Web安全漏洞处理一实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明中,Web安全漏洞是基于Web服务器的角度来说的,是指针对Web应用程序的攻击,包括对应用程序本身的DDoS(Distributed Denial of Service,分布式拒绝服务)攻击、改变网页内容以及盗走企业的关键信息或用户信息等。
本发明提供一种Web安全漏洞处理系统。
参照图2,图2为本发明Web安全漏洞处理系统一实施例的功能模块示意图。
本实施例中,Web安全漏洞处理系统用于采集https访问请求数据(也即外部访问Web服务器的数据),并对其进行漏洞扫描以找出潜伏在访问请求中的安全漏洞,从而保证Web服务器安全运行。
为实现上述功能,本实施例的Web安全漏洞处理系统包括:数据采集模块10与扫描器20。
数据采集模块10,部署在Web服务器上,用于采集https访问请求数据;
扫描器20,用于对数据采集模块10采集的https访问请求数据进行漏洞扫描。
本实施例中,数据采集模块10与扫描器20优选为可执行的程序代码,例如,数据采集模块10为可实现特定数据采集的脚本插件,扫描器20可以是AppScan、AWVS(AcunetixWeb Vulnerability Scanner)、Nessus(系统漏洞扫描与分析软件)、NexPose等扫描工具。此外,扫描器既可以安装在Web服务器上,也可以单独存在于Web服务器之外,即作为Web服务器的外置设备。
本实施例中,为避免数据采集的繁琐操作,将数据采集模块部署在Web服务器上而非客户端,进而避免了在客户端安装中间人证书和设置代理的繁琐操作,同时也保证了数据采集的全面性。
进一步地,如图3所示,为实现跨区域、海量访问数据的Web安全漏洞扫描,本实施例中,当所述扫描器为Web服务器的外置设备时,Web安全漏洞处理系统还包括:数据上传代理模块30、扫描器控制模块40。
数据上传代理模块30:提供采集数据的上传代理服务,将数据采集模块10采集的数据上传扫描器控制模块40;
扫描器控制模块40:提供采集数据的分发以及扫描器的管控服务,将数据上传代理模块30上传的采集数据分发给不同的扫描器20进行处理。
在本实施例中,不将扫描器部署在业务的Web服务器上,而是作为Web服务器的外置设备,通过扫描器控制模块和数据上报代理模块进行简单的数据采集上报到远程的服务器,减轻业务的Web服务器端的负担。
参照图4,图4为本发明Web安全漏洞处理系统一实施例的功能模块技术架构示意图。
本实施例中,客户端(比如PC机、笔记本电脑、智能手机等)访问Web服务器,Web安全漏洞处理系统通过数据采集模块10从Web服务器上采集客户端发起的https访问请求数据,通过数据上传代理模块30将采集的数据上传扫描器控制模块40,然后再由扫描器控制模块40分发给不同的扫描器20进行处理。
本实施例中,扫描器控制模块40以及各扫描器20部署在远程服务器上,可以对一个或多个Web服务器进行Web安全漏洞扫描处理。
基于上述Web安全漏洞处理系统的功能模块技术架构,本实施例中,Web安全漏洞处理系统在实现Web安全漏洞处理方法时,各功能模块所实现的具体功能包括:
数据采集模块10,用于当Web服务器上接收到新的https请求时,获取所述https请求被解密后的https数据,并将所述https数据上传至扫描器20;
扫描器20,用于对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
进一步地,数据采集模块10获取所述https请求被解密后的https数据的实现方式包括:
A、当Web服务器对加密的https请求数据包进行解密时,数据采集模块10获取解密后的所述https数据;
B、数据采集模块10捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据。
应理解,现有技术中,扫描器设置为客户端的代理,由于安装中间人劫持证书,扫描工具需要先使用劫持证书进行https解密,若https使用单向或双向https证书校验来防御中间人劫持的话,中间人没有服务器端和客户端的私钥是无法进行数据捕获的。
而本实施中,扫描器部署在Web服务器侧,可以是Web服务器内置的程序,也可以是Web服务器的外置设备,由于不是设置为客户端的代理,那么数据采集模块10即可便捷的进行数据解密,提高了数据采集解密的便捷性。
进一步地,数据采集模块10还用于:在获取到https请求被解密后的https数据之后,将所述https数据发送至所述数据上传代理模块30;
数据上传代理模块30用于:接数据采集模块10发送的所述https数据并上传至扫描器控制模块40;
扫描器控制模块40用于:接收数据上传代理模块30上传的所述https数据并分发至不同扫描器20进行处理。
进一步地,扫描器20还用于:
加载漏洞扫描规则与漏洞扫描插件;
基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
进一步地,所述漏洞扫描规则包括:接口扫描规则、插件扫描规则,所述漏洞扫描插件包括:SQL注入插件,扫描器20还用于:
基于所述接口扫描规则,对所述https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
若是,则对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
以所述SQL注入插件的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
接收Web服务器返回的测试请求包对应的测试响应包;
基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
此外,需要说明的是,现有技术中,需要对每个客户端设置扫描器的代理指,每一台客户端都要升级扫描器工具才能体现扫描新升级。这种情况下,需要分别单独升级。而本发明实施例中,在Web服务器端设置扫描器,即使要升级扫描器,也无需单独升级,统一升级即可,提高了扫描器升级的便捷性和效率。
基于上述Web安全漏洞处理系统的软硬件架构,提出本发明Web安全漏洞处理方法的以下各实施例。
本发明提供一种Web安全漏洞处理方法。
参照图5,图5为本发明Web安全漏洞处理方法一实施例的流程示意图。
本实施例中,Web安全漏洞处理方法包括以下步骤:
步骤S10,当Web服务器上接收到新的https请求时,数据采集模块获取所述https请求被解密后的https数据;
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),一种安全超文本传输协议,是一个安全通信通道,它基于HTTP开发,并用于在客户计算机和服务器之间交换信息,它使用安全套接字层(TLS,Transport Layer Security Protocol/SSL,Secure Socket Layer)进行信息交换。
本实施例中,客户端通过发起https请求而访问Web服务器,为保证数据传输过程中的安全性,因而基于https安全协议对传输数据进行加密,也即https请求为加密数据。
当Web服务器上接收到客户端发起的新的https请求时,数据采集模块获取该https请求被解密后的https数据。需要说明的是,https数据仅用于指代解密https请求后所得到的访问请求数据,也即客户端使用https协议所要传输给Web服务器的数据。
可选的,数据采集模块采用如下方式获取https请求被解密后的https数据,包括:
A、当Web服务器对加密的https请求数据包进行解密时,数据采集模块获取解密后的所述https数据。
本方式下,数据采集模块可作为Module插件而部署在Web服务器上,由于Web服务器会自动针对加密的https数据进行解密,而数据采集模块只需获取解密后的https数据即可。
B、数据采集模块捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据;
本方式下,由于数据采集模块部署在Web服务器上,因而数据采集模块可自行捕获加密的https请求数据包,然后再自行使用Web服务器的私钥对加密的https请求数据包进行解密,从而得到明文的https数据。
C、当Web服务器不支持Module插件时,Web服务器通过接口将加密的https请求数据包发送至其他支持Module插件的服务器,并由其他服务器进行解密之后反馈解密后的数据给该Web服务器,以便该Web服务器上的数据采集模块获取解密后的https数据。
需要说明的是,上述方式A中,作为Module插件的数据采集模块无需对数据包进行解密,直接由Web服务器进行解密即可,减少了数据采集模块解密的操作,优选采用上述方式A。
步骤S20,将所述https数据上传至扫描器,以供所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
本实施例中,扫描器对数据采集模块采集并上传的解密后的https数据进行Web安全漏洞扫描处理,然后再输出漏洞扫描报告,以供运维人员了解Web服务器的运行安全情况。
本实施例对于扫描器处理https数据以进行Web安全漏洞扫描的实现方式不限。
可选的,在一实施例中,数据采集模块将https数据上传至Web服务器内的扫描器中,以供扫描器处理对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。漏洞扫描报告包括但不限于:漏洞预设风险等级、漏洞标题、漏洞描述、漏洞注入请求包和响应包、漏洞域名,ip,端口、漏洞发生时间。
进一步地,为减轻Web服务器的负担,同时提升Web安全漏洞扫描的处理效率,扫描器作为Web服务器的外置设备,数据采集模块并不直接将采集数据上传扫描器,而是先通过数据上传代理模块将采集的明文https数据上传扫描器控制模块,然后再由扫描器控制模块将https数据分发至不同扫描器分别独立进行处理,以供各个扫描器处理对分到的https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
参照图6,图6为本发明Web安全漏洞处理方法中扫描器进行Web安全漏洞处理一实施例的流程示意图。
本实施例中,扫描器进行Web安全漏洞处理的实现流程包括:
步骤S201,扫描器加载漏洞扫描规则与漏洞扫描插件;
本实施例中,对于漏洞扫描规则与漏洞扫描插件的设置不限。比如漏洞扫描规则与包括https接口黑名单与白名单规则,漏洞扫描插件包括XSS漏洞扫描插件、SQL(Structured Query Language,结构化查询语言)注入插件等。
步骤S202,基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
本实施例中,为实现对Web安全漏洞的全面扫描,优选扫描器设有多种漏洞扫描规则与多种漏洞扫描插件,在扫描处理过程,依次加载漏洞扫描规则与漏洞扫描插件,进而得到每一种漏洞扫描规则与每一种漏洞扫描插件所对应的扫描结果。
步骤S203,加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
本实施例中,扫描器中还设有漏洞扫描报告模板,该模板具有固定的格式,扫描器只需将扫描结果数据填充到漏洞扫描报告模板中,即可生成漏洞扫描报告。
例如,扫描器加载SQL注入插件对采集的https数据进行Web安全漏洞扫描处理,则在扫描处理完成后,再加载SQL注入插件对应的漏洞扫描报告模板,将扫描结果数据填充到该报告模板内以生成SQL注入漏洞扫描报告,并发送给后端运维人员。此外,为便于后端运维人员从整体上了解扫描情况,扫描器还可以对扫描结果进行分类整理,进而生成单个接口对应的漏洞扫描报告。
下面具体以漏洞扫描规则包括接口扫描规则、插件扫描规则,漏洞扫描插件包括XSS漏洞扫描插件为例,对上述步骤S202进行举例说明。
(1)扫描器基于接口扫描规则,对采集的明文https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
例如,接口扫描规则中规定了哪些接口禁止扫描/哪些接口已备案而无需扫描等规则,扫描器基于该规则,即可对采集的明文https数据进行https接口过滤,进而判断当前明文https数据是否需要进行漏洞扫描,可以理解,对明文https数据进行https接口过滤时,若发现明文https数据的接口是禁止扫描或已备案无需扫描的接口时,即可判断所述https数据无需进行漏洞扫描,反之才需要进行漏洞扫描。
(2)若采集的明文https数据需要进行漏洞扫描,则扫描器对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
所谓注入点是指可以实行注入的地方,通常是一个访问连接。注入点预处理主要是指对https数据包的路径、参数和cookie分别插入分隔符号$,两个分隔符号$之间的内容就是注入点,如下面的https数据包所示:
POST https://www.xxx.com:443?a=$1$HTTP/1.1
Host:www.xxx.com:443
Connection:keep-alive
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,like Gecko)Chrome/65.0.3325.146 Safari/537.36
Cookie:sid=$abcdedfsdfsdft$;
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.9,
b=$3$&c=$4$
(3)扫描器以XSS漏洞扫描的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
(4)接收Web服务器返回的测试请求包对应的测试响应包;
模糊测试(Fuzz testing)是一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。模糊测试将随机的坏数据插入程序,观察程序是否能容忍杂乱输入,模糊测试是不合逻辑的,只是产生杂乱数据攻击程序,采用模糊测试攻击应用程序可发现其他采用逻辑思维来测试很难发现的安全漏洞。
本实施例中,XSS漏洞扫描提供多种漏洞的测试数据列表,测试数据列表根据漏洞类型进行自定义,比如扫描XSS漏洞就自定义一个测试XSS漏洞的模糊测试数据列表。
在执行模糊测试时,扫描器把模糊测试数据列表的数值轮流替换注入点的值,进而依次生产多个测试请求包,并发送至Web服务器以及接收Web服务器返回的测试请求包对应的测试响应包。
(5)基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
扫描器基于XSS漏洞扫描的扫描规则,对测试请求包与测试响应包进行综合分析,例如模糊测试注入的模糊测试数据有<bDF34r>,而测试响应包体如有<bDF34r>,则认为当前扫描的https数据包存在反射型XSS漏洞。
通过上述的处理过程,即可扫描出https数据包存在的安全漏洞。
综上,本发明提出的Web安全漏洞处理方法,数据解密由Web服务器自行解密,无需客户端解密,提高数据解密的便捷性和准确性;数据采集设置在Web服务器端,做到数据采集客户端无感知,也提高数据采集的全面性;扫描器设置在Web服务器侧而非客户端,实现了统一升级部署的扫描器即可,把扫描器和用户环境给解耦开来,做到不影响用户环境。具有用户端无感知、服务器自动https原生解密、数据解密成功率高、全部流经服务器的请求都能捕获、扫描器升级简单等优点。
本发明还提供一种计算机可读存储介质。
本实施例中,计算机可读存储介质上存储有Web安全漏洞处理程序,应用于Web安全漏洞处理系统,所述Web安全漏洞处理程序被处理器执行时实现如上述任一项实施例中所述的Web安全漏洞处理方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,这些均属于本发明的保护之内。
Claims (11)
1.一种Web安全漏洞处理方法,应用于Web安全漏洞处理系统,其特征在于,所述Web安全漏洞处理方法包括以下步骤:
当Web服务器上接收到新的https请求时,数据采集模块获取所述https请求被解密后的https数据;
将所述https数据上传至扫描器,以供所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
2.如权利要求1所述的Web安全漏洞处理方法,其特征在于,所述数据采集模块获取所述https请求被解密后的https数据的实现方式包括:
A、当Web服务器对加密的https请求数据包进行解密时,所述数据采集模块获取解密后的所述https数据;
B、所述数据采集模块捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据。
3.如权利要求1所述的Web安全漏洞处理方法,其特征在于,当所述扫描器为Web服务器的外置设备时,,所述将所述https数据上传至扫描器的步骤包括:
所述数据采集模块通过数据上传代理模块将所述https数据上传至扫描器控制模块,以供扫描器控制模块将所述https数据分发至不同扫描器进行处理。
4.如权利要求1-3中任一项所述的Web安全漏洞处理方法,其特征在于,所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告的方式包括:
当接收到所述数据采集模块上传的所述https数据时,所述扫描器加载漏洞扫描规则与漏洞扫描插件;
基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
5.如权利要求4所述的Web安全漏洞处理方法,其特征在于,所述漏洞扫描规则包括:接口扫描规则、插件扫描规则,所述漏洞扫描插件包括:SQL注入插件,所述基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理包括:
所述扫描器基于所述接口扫描规则,对所述https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
若是,则对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
以所述SQL注入插件的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
接收Web服务器返回的测试请求包对应的测试响应包;
基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
6.一种Web安全漏洞处理系统,其特征在于,所述Web安全漏洞处理系统包括:数据采集模块与扫描器,所述数据采集模块部署在Web服务器上,所述扫描器部署在Web服务器上,或者所述扫描器为Web服务器的外置设备;
所述数据采集模块,用于当Web服务器上接收到新的https请求时,获取所述https请求被解密后的https数据,并将所述https数据上传至所述扫描器;
所述扫描器,用于接收所述数据采集模块上传的所述https数据,对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告。
7.如权利要求6所述的Web安全漏洞处理系统,其特征在于,所述数据采集模块获取所述https请求被解密后的https数据的实现方式包括:
A、当Web服务器对加密的https请求数据包进行解密时,所述数据采集模块获取解密后的所述https数据;
B、所述数据采集模块捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据。
8.如权利要求6所述的Web安全漏洞处理系统,其特征在于,当所述扫描器为Web服务器的外置设备时,所述Web安全漏洞处理系统还包括:数据上传代理模块、扫描器控制模块;
所述数据采集模块还用于:在获取到https请求被解密后的https数据之后,将所述https数据发送至所述数据上传代理模块;
所述数据上传代理模块用于:接收所述数据采集模块发送的所述https数据并上传至所述扫描器控制模块;
所述扫描器控制模块用于:接收所述数据上传代理模块上传的所述https数据并分发至不同扫描器进行处理。
9.如权利要求6-8中任一项所述的Web安全漏洞处理系统,其特征在于,所述扫描器还用于:
加载漏洞扫描规则与漏洞扫描插件;
基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
10.如权利要求9所述的Web安全漏洞处理系统,其特征在于,所述漏洞扫描规则包括:接口扫描规则、插件扫描规则,所述漏洞扫描插件包括:SQL注入插件,所述扫描器还用于:
基于所述接口扫描规则,对所述https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
若是,则对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
以所述SQL注入插件的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
接收Web服务器返回的测试请求包对应的测试响应包;
基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有Web安全漏洞处理程序,应用于Web安全漏洞处理系统,所述Web安全漏洞处理程序被处理器执行时实现如权利要求1-5中任一项所述的Web安全漏洞处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810901064.7A CN109165511B (zh) | 2018-08-08 | 2018-08-08 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810901064.7A CN109165511B (zh) | 2018-08-08 | 2018-08-08 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109165511A true CN109165511A (zh) | 2019-01-08 |
| CN109165511B CN109165511B (zh) | 2022-07-15 |
Family
ID=64895270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810901064.7A Active CN109165511B (zh) | 2018-08-08 | 2018-08-08 | Web安全漏洞处理方法、系统及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165511B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917704A (zh) * | 2020-04-28 | 2020-11-10 | 北京长亭未来科技有限公司 | Web应用服务器安全防护方法、装置、系统及电子设备 |
| CN112906005A (zh) * | 2021-02-02 | 2021-06-04 | 浙江大华技术股份有限公司 | Web漏洞扫描方法、装置、系统、电子装置和存储介质 |
| CN112968914A (zh) * | 2021-05-18 | 2021-06-15 | 北京仁科互动网络技术有限公司 | 请求数据实时导入漏洞扫描器的系统、方法、设备及介质 |
| CN113596056A (zh) * | 2021-08-11 | 2021-11-02 | 北京知道创宇信息技术股份有限公司 | 漏洞扫描方法、装置、电子设备和计算机可读存储介质 |
| CN113672933A (zh) * | 2021-08-06 | 2021-11-19 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞检测方法和系统 |
| CN113761539A (zh) * | 2021-08-06 | 2021-12-07 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞防御方法和系统 |
| CN115622744A (zh) * | 2022-09-21 | 2023-01-17 | 天津大学 | 一种加密流量下的web漏洞扫描攻击检测系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060195687A1 (en) * | 2005-02-28 | 2006-08-31 | International Business Machines Corporation | System and method for mapping an encrypted HTTPS network packet to a specific URL name and other data without decryption outside of a secure web server |
| CN102546562A (zh) * | 2010-12-22 | 2012-07-04 | 腾讯科技(深圳)有限公司 | 在web中传输数据时进行加解密的方法及系统 |
| CN102880830A (zh) * | 2011-07-15 | 2013-01-16 | 华为软件技术有限公司 | 一种原始测试数据的采集方法及装置 |
| CN102932370A (zh) * | 2012-11-20 | 2013-02-13 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN103685300A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种嵌入式web服务器 |
| CN104735092A (zh) * | 2015-04-22 | 2015-06-24 | 北京瑞星信息技术有限公司 | web漏洞检测的方法及装置 |
| CN106603491A (zh) * | 2016-11-10 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 基于https协议的Portal认证方法及路由器 |
| CN107666383A (zh) * | 2016-07-29 | 2018-02-06 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
| CN108234526A (zh) * | 2018-04-12 | 2018-06-29 | 厦门安胜网络科技有限公司 | 一种在沙箱中获取https数据的方法、装置、设备及可读介质 |
-
2018
- 2018-08-08 CN CN201810901064.7A patent/CN109165511B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060195687A1 (en) * | 2005-02-28 | 2006-08-31 | International Business Machines Corporation | System and method for mapping an encrypted HTTPS network packet to a specific URL name and other data without decryption outside of a secure web server |
| CN101107812A (zh) * | 2005-02-28 | 2008-01-16 | 国际商业机器公司 | 将加密https网络数据包映射到其经过解密的副本的系统和方法 |
| CN102546562A (zh) * | 2010-12-22 | 2012-07-04 | 腾讯科技(深圳)有限公司 | 在web中传输数据时进行加解密的方法及系统 |
| CN102880830A (zh) * | 2011-07-15 | 2013-01-16 | 华为软件技术有限公司 | 一种原始测试数据的采集方法及装置 |
| CN102932370A (zh) * | 2012-11-20 | 2013-02-13 | 华为技术有限公司 | 一种安全扫描方法、设备及系统 |
| CN103685300A (zh) * | 2013-12-23 | 2014-03-26 | 蓝盾信息安全技术股份有限公司 | 一种嵌入式web服务器 |
| CN104735092A (zh) * | 2015-04-22 | 2015-06-24 | 北京瑞星信息技术有限公司 | web漏洞检测的方法及装置 |
| CN107666383A (zh) * | 2016-07-29 | 2018-02-06 | 阿里巴巴集团控股有限公司 | 基于https协议的报文处理方法以及装置 |
| CN106603491A (zh) * | 2016-11-10 | 2017-04-26 | 上海斐讯数据通信技术有限公司 | 基于https协议的Portal认证方法及路由器 |
| CN108234526A (zh) * | 2018-04-12 | 2018-06-29 | 厦门安胜网络科技有限公司 | 一种在沙箱中获取https数据的方法、装置、设备及可读介质 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111917704A (zh) * | 2020-04-28 | 2020-11-10 | 北京长亭未来科技有限公司 | Web应用服务器安全防护方法、装置、系统及电子设备 |
| CN112906005A (zh) * | 2021-02-02 | 2021-06-04 | 浙江大华技术股份有限公司 | Web漏洞扫描方法、装置、系统、电子装置和存储介质 |
| CN112968914A (zh) * | 2021-05-18 | 2021-06-15 | 北京仁科互动网络技术有限公司 | 请求数据实时导入漏洞扫描器的系统、方法、设备及介质 |
| CN112968914B (zh) * | 2021-05-18 | 2021-10-15 | 北京仁科互动网络技术有限公司 | 请求数据实时导入漏洞扫描器的系统、方法、设备及介质 |
| CN113672933A (zh) * | 2021-08-06 | 2021-11-19 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞检测方法和系统 |
| CN113761539A (zh) * | 2021-08-06 | 2021-12-07 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞防御方法和系统 |
| CN113672933B (zh) * | 2021-08-06 | 2023-06-20 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞检测方法和系统 |
| CN113761539B (zh) * | 2021-08-06 | 2023-10-17 | 中国科学院软件研究所 | 一种鸿蒙安全漏洞防御方法和系统 |
| CN113596056A (zh) * | 2021-08-11 | 2021-11-02 | 北京知道创宇信息技术股份有限公司 | 漏洞扫描方法、装置、电子设备和计算机可读存储介质 |
| CN113596056B (zh) * | 2021-08-11 | 2022-12-27 | 北京知道创宇信息技术股份有限公司 | 漏洞扫描方法、装置、电子设备和计算机可读存储介质 |
| CN115622744A (zh) * | 2022-09-21 | 2023-01-17 | 天津大学 | 一种加密流量下的web漏洞扫描攻击检测系统 |
| CN115622744B (zh) * | 2022-09-21 | 2024-04-09 | 天津大学 | 一种加密流量下的web漏洞扫描攻击检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109165511B (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109165511A (zh) | Web安全漏洞处理方法、系统及计算机可读存储介质 | |
| US11108803B2 (en) | Determining security vulnerabilities in application programming interfaces | |
| CN110209583B (zh) | 安全测试方法、装置、系统、设备和存储介质 | |
| US11240269B2 (en) | Method and apparatus for decryption of encrypted SSL data from packet traces | |
| US20190207961A1 (en) | Malware detector | |
| US11741185B1 (en) | Managing content uploads | |
| CN103118022B (zh) | 一种无密码异端登陆验证方法 | |
| CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
| CN111400722A (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| CN104954386A (zh) | 一种网络反劫持方法及装置 | |
| Engelbertz et al. | Security Analysis of {eIDAS}–The {Cross-Country} Authentication Scheme in Europe | |
| CN111314288A (zh) | 中继处理方法、装置、服务器和存储介质 | |
| CN106909826B (zh) | 口令代填装置及系统 | |
| CN109561010A (zh) | 一种报文处理方法、电子设备及可读存储介质 | |
| CN113347184A (zh) | 网络流量安全检测引擎的测试方法、装置、设备及介质 | |
| CN116633725A (zh) | 一种全渠道接入网关 | |
| CN114500478B (zh) | 软件分发方法、装置和电子设备 | |
| Grammatopoulos et al. | Blind software-assisted conformance and security assessment of FIDO2/WebAuthn implementations. | |
| CN110139163A (zh) | 一种获取弹幕的方法和相关装置 | |
| KR100933986B1 (ko) | 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법 | |
| US8612751B1 (en) | Method and apparatus for entitled data transfer over the public internet | |
| CN101217532B (zh) | 一种防止网络攻击的数据传输方法及系统 | |
| CN113992734A (zh) | 会话连接方法及装置、设备 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| US20240007494A1 (en) | System and Method for Network Penetration Testing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |