CN109670316A - 一种基于Java异常的漏洞检测方法和装置 - Google Patents
一种基于Java异常的漏洞检测方法和装置 Download PDFInfo
- Publication number
- CN109670316A CN109670316A CN201811560041.0A CN201811560041A CN109670316A CN 109670316 A CN109670316 A CN 109670316A CN 201811560041 A CN201811560041 A CN 201811560041A CN 109670316 A CN109670316 A CN 109670316A
- Authority
- CN
- China
- Prior art keywords
- detected
- java applet
- loophole
- java
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种基于Java异常的漏洞检测方法和装置,涉及漏洞检测的技术领域,包括:获取待检测Java程序;确定待检测Java程序的待检测异常接口类;获取基于待检测异常接口类编写的灰盒程序;获取浏览器对待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;运行灰盒程序,以使灰盒程序记录待检测Java程序漏洞中待检测异常接口类对应的Java程序漏洞,解决了现有技术中对Java程序的漏洞检测效率较低的技术问题。
Description
技术领域
本发明涉及漏洞检测技术领域,尤其是涉及一种基于Java异常的漏洞检测方法和装置。
背景技术
Web应用是互联网应用的重要形式,是金融、运营商、政府部门、教育等社会关键信息系统的门户应用首选。随着各种各样的安全事件以及影响危害巨大的安全漏洞的公布,大家也越来越关注网站应用本身的安全,有越来越多网站应用安全漏洞检测的需求。Web应用的安全不可轻视。随着Web应用的组件技术和支撑手段不断丰富变化,互联网安全下的Web应用所暴露出的安全层面的问题也是越来越多。黑客通过对暴露在公网上或者直接可以在未授权连接的内网下的Web应用或者服务器进行漏洞攻击,可以获得该Web应用的后台管理员权限或者该Web应用所在的服务器系统权限,一方面可以直接获得该Web应用或者服务器上的敏感文件,敏感数据等信息,另一方面也可以将该服务器作为跳板,对该服务器所在的内网网段进行渗透,可以攻击内网网段中其他的服务器或者其他更多的智能设备,获得大量内网敏感信息,获得服务器权限等。
针对Java Web的漏洞挖掘工具很多,比如商用工具Fortify或者开源工具Findbugs。但是各种工具并不能获得更大的检验覆盖程度。同时,这些分析工具们产生的结果有可能包含误判或者漏判。包括工具所使用的一些技术并不能准确的判定漏洞是否存在,这时还需要人工审计。开发人员要经过安全开发的训练,安全审计人员要经过审计训练,才能熟练掌握Java Web源代码安全审计方法,导致对Java漏洞的检测效率较低。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种基于Java异常的漏洞检测方法和装置,以缓解了现有技术中对Java程序的漏洞检测效率较低的技术问题。
第一方面,本发明实施例提供了一种基于Java异常的漏洞检测方法,应用于服务器,该方法包括:获取待检测Java程序;确定所述待检测Java程序的待检测异常接口类;获取基于所述待检测异常接口类编写的灰盒程序;获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;运行所述灰盒程序,以使所述灰盒程序记录所述待检测Java程序漏洞中所述待检测异常接口类对应的Java程序漏洞。
进一步地,获取待检测Java程序包括:获取所述待检测Java程序的ID信息;向存储Java程序的第一数据库发送携带所述ID信息的调用指令,以使所述第一数据库基于所述调用指令反馈所述待检测Java程序。
进一步地,确定所述待检测Java程序的待检测异常接口类包括:向存储所述待检测Java程序接口文档的第二数据库发送查询指令,以使所述第二数据库基于所述查询指令反馈所述待检测异常接口类。
进一步地,获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞包括:向所述浏览器发送执行指令,以使所述浏览器基于所述执行指令对所述待检测Java程序进行模糊测试,生成的多个漏洞测试信息,其中,所述漏洞测试信息包括:向WEB服务器发送的请求数据包,所述WEB服务器基于所述请求包反馈的返回数据包,所述待检测Java程序漏洞调用的堆栈信息;将所述多个漏洞测试信息分别与预设漏洞测试信息相匹配,其中,所述预设漏洞测试信息中包括各个异常接口类的Java程序漏洞的漏洞测试信息;若匹配成功,则确定每个所述漏洞测试信息对应的待检测Java程序漏洞。
进一步地,在确定所述待检测Java程序漏洞之后,所述方法还包括:记录所述待检测Java程序漏洞对应的漏洞测试信息。
第二方面,本发明实施例提供了一种基于Java异常的漏洞检测装置,设置于服务器,该装置包括:第一获取单元,确定单元,第二获取单元,第三获取单元和执行单元,其中,所述第一获取单元用于获取待检测Java程序;所述确定单元用于确定所述待检测Java程序的待检测异常接口类;所述第二获取单元用于获取基于所述待检测异常接口类编写的灰盒程序;所述第三获取单元用于获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;所述执行单元用于运行所述灰盒程序,以使所述灰盒程序记录所述待检测Java程序漏洞中所述待检测异常接口类对应的Java程序漏洞。
进一步地,所述第一获取单元还用于:获取所述待检测Java程序的ID信息;向存储Java程序的第一数据库发送携带所述ID信息的调用指令,以使所述第一数据库基于所述调用指令反馈所述待检测Java程序。
进一步地,所述确定单元还用于:向存储所述待检测Java程序接口文档的第二数据库发送查询指令,以使所述第二数据库基于所述查询指令反馈所述待检测异常接口类。
进一步地,所述第三获取单元还用于:向所述浏览器发送执行指令,以使所述浏览器基于所述执行指令对所述待检测Java程序进行模糊测试,生成的多个漏洞测试信息,其中,所述漏洞测试信息包括:向WEB服务器发送的请求数据包,所述WEB服务器基于所述请求包反馈的返回数据包,所述待检测Java程序漏洞调用的堆栈信息;将所述多个漏洞测试信息分别与预设漏洞测试信息相匹配,其中,所述预设漏洞测试信息中包括各个异常接口类的Java程序漏洞的漏洞测试信息;若匹配成功,则确定每个所述漏洞测试信息对应的待检测Java程序漏洞。
进一步地,所述装置还包括:记录单元,用于记录所述待检测Java程序漏洞对应的漏洞测试信息。
在本发明实施例中,首先,获取待检测的Java程序,并确定待检测异常接口类,然后,获取基于该待检测异常接口类编写的灰盒程序,最后,通过运行灰盒程序获取到浏览器对待检测Java程序进行模糊测试后得到的待检测异常接口类对应的待检测Java程序漏洞,达到了能够对不同的待检测异常接口类对应的Java程序漏洞进行检测的目的,进而解决了现有技术中在对不同的待检测异常接口类对应的Java程序漏洞进行检测时,需要人工在通过Java程序的文档接口对应的异常接口类后,才能检测出Java程序中待检测异常接口类对应的Java程序漏洞,导致对Java程序的漏洞检测效率较低的技术问题,从而实现了提高的Java程序的漏洞检测效率技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于Java异常的漏洞检测方法的流程图;
图2为本发明实施例提供的另一种基于Java异常的漏洞检测方法的流程图;
图3为本发明实施例提供的一种基于Java异常的漏洞检测装置的示意图;
图4为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种基于Java异常的漏洞检测方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于Java异常的漏洞检测方法,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测Java程序;
步骤S104,确定所述待检测Java程序的待检测异常接口类;
步骤S106,获取基于所述待检测异常接口类编写的灰盒程序;
步骤S108,获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;
步骤S110,运行所述灰盒程序,以使所述灰盒程序记录所述待检测Java程序漏洞中所述待检测异常接口类对应的Java程序漏洞。
在本发明实施例中,首先,获取待检测的Java程序,并确定待检测异常接口类,然后,获取基于该待检测异常接口类编写的灰盒程序,最后,通过运行灰盒程序获取到浏览器对待检测Java程序进行模糊测试后得到的待检测异常接口类对应的待检测Java程序漏洞,达到了能够对不同的待检测异常接口类对应的Java程序漏洞进行检测的目的,进而解决了现有技术中在对不同的待检测异常接口类对应的Java程序漏洞进行检测时,需要人工在通过Java程序的文档接口对应的异常接口类后,才能检测出Java程序中待检测异常接口类对应的Java程序漏洞,导致对Java程序的漏洞检测效率较低的技术问题,从而实现了提高的Java程序的漏洞检测效率技术效果。
由于Java提供的只是一些接口供其他开发商自己实现对应接口的功能,例如Java提供了SQL的一些标准接口,各个数据库厂商需要根据这个提供的接口实现自己的功能,但是每个厂商实现接口的类名又不同,所以在做漏洞挖掘的时候,不同环境对应需要劫持或者监控的类名均不能统一判定,从而导致漏洞检出率极低,代码复杂程度过高。该问题带来的危害是安全测试时不能获得更大的检验覆盖程度。
在本发明实施例中,步骤S102还包括如下步骤:
步骤S11,获取所述待检测Java程序的ID信息;
步骤S12,向存储Java程序的第一数据库发送携带所述ID信息的调用指令,以使所述第一数据库基于所述调用指令反馈所述待检测Java程序。
在本发明实施例中,为了获取待检测Java程序,首先可以获取待检测Java程序的ID信息,接着通过向存储Java程序的第一数据库发送携带ID信息的调用指令,则第一数据库基于调用指令反馈待检测Java程序,从而得到待检测Java程序。
在本发明实施例中,步骤S104还包括如下步骤:
步骤S21,向存储所述待检测Java程序接口文档的第二数据库发送查询指令,以使所述第二数据库基于所述查询指令反馈所述待检测异常接口类。
在本发明实施例中,为了确定出待检测Java程序需要检测的待检测异常接口类,可以通过向存储待检测Java程序的对外开放的接口文档的第二数据库发送查询指令,第二数据库根据该查询指令,抛出待检测异常接口。
例如SQL注入漏洞挖掘,首先就是触发SQL语句产生语法错误,然后抛出一个SQL语法错误的异常,而抛出的语法异常就是SQLExption或者子类来实现的。
其中,Exception为Java提供的一种识别及响应错误的一致性机制;SQLExption为Java提供的一种识别及响应数据库错误的一种异常。
在本发明实施例中,步骤S106还包括如下步骤:
步骤S31,向所述浏览器发送执行指令,以使所述浏览器基于所述执行指令对所述待检测Java程序进行模糊测试,生成的多个漏洞测试信息,其中,所述漏洞测试信息包括:向WEB服务器发送的请求数据包,所述WEB服务器基于所述请求包反馈的返回数据包,所述待检测Java程序漏洞调用的堆栈信息;
步骤S32,将所述多个漏洞测试信息分别与预设漏洞测试信息相匹配,其中,所述预设漏洞测试信息中包括各个异常接口类的Java程序漏洞的漏洞测试信息;
步骤S33,若匹配成功,则确定每个所述漏洞测试信息对应的待检测Java程序漏洞。
在本发明实施例中,当服务器向浏览器发送执行指令后,浏览器根据该执行指令对待检测Java程序进行模糊测试,生成多个漏洞测试信息。
需要说明的是,一个待检测Java程序漏洞对应一个漏洞测试信息,待检测Java程序包括:向WEB服务器发送的请求数据包,WEB服务器基于所述请求包反馈的返回数据包,待检测Java程序漏洞调用的堆栈信息。
然后,将每个漏洞测试信息分别与预设漏洞测试信息相匹配,从而确定出每个漏洞测试信息对应的待检测Java程序漏洞,以及每个待检测Java程序漏洞对应的接口异常类。
在本发明实施例中,如图2所示,在确定所述待检测Java程序漏洞之后,所述方法还包括如下步骤:
S112,记录所述待检测Java程序漏洞对应的漏洞测试信息。
在本发明实施例中,在确定出待检测Java程序漏洞之后,将该检测Java程序漏洞对应的漏洞测试信息进行记录。
该待检测Java程序漏洞对应的漏洞测试信息可以添加至预设的漏洞测试信息,从而提高后续对Java程序漏洞检测的准确率。
实施例二:
本发明还提供了一种基于Java异常的漏洞检测装置,该装置用于执行本发明实施例上述内容所提供的基于Java异常的漏洞检测方法,以下是本发明实施例提供的基于Java异常的漏洞检测装置的具体介绍。
如图3所示,该装置包括:第一获取单元10,确定单元20,第二获取单元30,第三获取单元40和执行单元50,其中,
所述第一获取单元10用于获取待检测Java程序;
所述确定单元20用于确定所述待检测Java程序的待检测异常接口类;
所述第二获取单元30用于获取基于所述待检测异常接口类编写的灰盒程序;
所述第三获取单元40用于获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;
所述执行单元50用于运行所述灰盒程序,以使所述灰盒程序记录所述待检测Java程序漏洞中所述待检测异常接口类对应的Java程序漏洞。
在本发明实施例中,首先,获取待检测的Java程序,并确定待检测异常接口类,然后,获取基于该待检测异常接口类编写的灰盒程序,最后,通过运行灰盒程序获取到浏览器对待检测Java程序进行模糊测试后得到的待检测异常接口类对应的待检测Java程序漏洞,达到了能够对不同的待检测异常接口类对应的Java程序漏洞进行检测的目的,进而解决了现有技术中在对不同的待检测异常接口类对应的Java程序漏洞进行检测时,需要人工在通过Java程序的文档接口对应的异常接口类后,才能检测出Java程序中待检测异常接口类对应的Java程序漏洞,导致对Java程序的漏洞检测效率较低的技术问题,从而实现了提高的Java程序的漏洞检测效率技术效果。
可选地,所述第一获取单元10还用于:获取所述待检测Java程序的ID信息;向存储Java程序的第一数据库发送携带所述ID信息的调用指令,以使所述第一数据库基于所述调用指令反馈所述待检测Java程序。
可选地,所述确定单元20还用于:向存储所述待检测Java程序接口文档的第二数据库发送查询指令,以使所述第二数据库基于所述查询指令反馈所述待检测异常接口类。
可选地,所述第三获取单元40还用于:向所述浏览器发送执行指令,以使所述浏览器基于所述执行指令对所述待检测Java程序进行模糊测试,生成的多个漏洞测试信息,其中,所述漏洞测试信息包括:向WEB服务器发送的请求数据包,所述WEB服务器基于所述请求包反馈的返回数据包,所述待检测Java程序漏洞调用的堆栈信息;将所述多个漏洞测试信息分别与预设漏洞测试信息相匹配,其中,所述预设漏洞测试信息中包括各个异常接口类的Java程序漏洞的漏洞测试信息;若匹配成功,则确定每个所述漏洞测试信息对应的待检测Java程序漏洞。
可选地,所述装置还包括:记录单元,用于记录所述待检测Java程序漏洞对应的漏洞测试信息。
参见图4,本发明实施例还提供一种服务器100,包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于Java异常的漏洞检测方法,其特征在于,应用于服务器,包括:
获取待检测Java程序;
确定所述待检测Java程序的待检测异常接口类;
获取基于所述待检测异常接口类编写的灰盒程序;
获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;
运行所述灰盒程序,以使所述灰盒程序记录所述待检测Java程序漏洞中所述待检测异常接口类对应的Java程序漏洞。
2.根据权利要求1所述的方法,其特征在于,获取待检测Java程序包括:
获取所述待检测Java程序的ID信息;
向存储Java程序的第一数据库发送携带所述ID信息的调用指令,以使所述第一数据库基于所述调用指令反馈所述待检测Java程序。
3.根据权利要求1所述的方法,其特征在于,确定所述待检测Java程序的待检测异常接口类包括:
向存储所述待检测Java程序接口文档的第二数据库发送查询指令,以使所述第二数据库基于所述查询指令反馈所述待检测异常接口类。
4.根据权利要求3所述的方法,其特征在于,获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞包括:
向所述浏览器发送执行指令,以使所述浏览器基于所述执行指令对所述待检测Java程序进行模糊测试,生成的多个漏洞测试信息,其中,所述漏洞测试信息包括:向WEB服务器发送的请求数据包,所述WEB服务器基于所述请求包反馈的返回数据包,所述待检测Java程序漏洞调用的堆栈信息;
将每个所述漏洞测试信息分别与预设漏洞测试信息相匹配,其中,所述预设漏洞测试信息中包括各个异常接口类的Java程序漏洞的漏洞测试信息;
若匹配成功,则确定每个所述漏洞测试信息对应的待检测Java程序漏洞。
5.根据权利要求4所述的方法,其特征在于,在确定所述待检测Java程序漏洞之后,所述方法还包括:
记录所述待检测Java程序漏洞对应的漏洞测试信息。
6.一种基于Java异常的漏洞检测装置,其特征在于,设置于服务器,包括:第一获取单元,确定单元,第二获取单元,第三获取单元和执行单元,其中,
所述第一获取单元用于获取待检测Java程序;
所述确定单元用于确定所述待检测Java程序的待检测异常接口类;
所述第二获取单元用于获取基于所述待检测异常接口类编写的灰盒程序;
所述第三获取单元用于获取浏览器对所述待检测Java程序进行模糊测试之后得到的待检测Java程序漏洞;
所述执行单元用于运行所述灰盒程序,以使所述灰盒程序记录所述待检测Java程序漏洞中所述待检测异常接口类对应的Java程序漏洞。
7.根据权利要求6所述的装置,其特征在于,所述第一获取单元还用于:
获取所述待检测Java程序的ID信息;
向存储Java程序的第一数据库发送携带所述ID信息的调用指令,以使所述第一数据库基于所述调用指令反馈所述待检测Java程序。
8.根据权利要求6所述的装置,其特征在于,所述确定单元还用于:
向存储所述待检测Java程序接口文档的第二数据库发送查询指令,以使所述第二数据库基于所述查询指令反馈所述待检测异常接口类。
9.根据权利要求8所述的装置,其特征在于,所述第三获取单元还用于:
向所述浏览器发送执行指令,以使所述浏览器基于所述执行指令对所述待检测Java程序进行模糊测试,生成的多个漏洞测试信息,其中,所述漏洞测试信息包括:向WEB服务器发送的请求数据包,所述WEB服务器基于所述请求包反馈的返回数据包,所述待检测Java程序漏洞调用的堆栈信息;
将所述多个漏洞测试信息分别与预设漏洞测试信息相匹配,其中,所述预设漏洞测试信息中包括各个异常接口类的Java程序漏洞的漏洞测试信息;
若匹配成功,则确定每个所述漏洞测试信息对应的待检测Java程序漏洞。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
记录单元,用于记录所述待检测Java程序漏洞对应的漏洞测试信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811560041.0A CN109670316A (zh) | 2018-12-19 | 2018-12-19 | 一种基于Java异常的漏洞检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811560041.0A CN109670316A (zh) | 2018-12-19 | 2018-12-19 | 一种基于Java异常的漏洞检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109670316A true CN109670316A (zh) | 2019-04-23 |
Family
ID=66145158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811560041.0A Pending CN109670316A (zh) | 2018-12-19 | 2018-12-19 | 一种基于Java异常的漏洞检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109670316A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855642A (zh) * | 2019-10-30 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 应用漏洞检测方法、装置、电子设备及存储介质 |
| CN110990277A (zh) * | 2019-11-29 | 2020-04-10 | 珠海豹趣科技有限公司 | 一种漏洞挖掘方法、装置及计算机可读存储介质 |
| CN112100050A (zh) * | 2019-06-17 | 2020-12-18 | 百度(美国)有限责任公司 | 用于应用程序的漏洞驱动混合测试系统 |
| CN114218047A (zh) * | 2021-12-17 | 2022-03-22 | 中国建设银行股份有限公司 | Java Web应用的日志输出方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010069587A1 (en) * | 2008-12-18 | 2010-06-24 | Nec Europe Ltd. | Method and device for supporting penetration testing of a computer system |
| CN103699480A (zh) * | 2013-11-29 | 2014-04-02 | 杭州安恒信息技术有限公司 | 一种基于java的web动态安全漏洞检测方法 |
| CN105868097A (zh) * | 2015-01-22 | 2016-08-17 | 阿里巴巴集团控股有限公司 | 系统测试方法及其装置 |
-
2018
- 2018-12-19 CN CN201811560041.0A patent/CN109670316A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010069587A1 (en) * | 2008-12-18 | 2010-06-24 | Nec Europe Ltd. | Method and device for supporting penetration testing of a computer system |
| CN103699480A (zh) * | 2013-11-29 | 2014-04-02 | 杭州安恒信息技术有限公司 | 一种基于java的web动态安全漏洞检测方法 |
| CN105868097A (zh) * | 2015-01-22 | 2016-08-17 | 阿里巴巴集团控股有限公司 | 系统测试方法及其装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112100050A (zh) * | 2019-06-17 | 2020-12-18 | 百度(美国)有限责任公司 | 用于应用程序的漏洞驱动混合测试系统 |
| CN112100050B (zh) * | 2019-06-17 | 2023-12-29 | 百度(美国)有限责任公司 | 用于应用程序的漏洞驱动混合测试系统 |
| CN110855642A (zh) * | 2019-10-30 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 应用漏洞检测方法、装置、电子设备及存储介质 |
| CN110990277A (zh) * | 2019-11-29 | 2020-04-10 | 珠海豹趣科技有限公司 | 一种漏洞挖掘方法、装置及计算机可读存储介质 |
| CN114218047A (zh) * | 2021-12-17 | 2022-03-22 | 中国建设银行股份有限公司 | Java Web应用的日志输出方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109670316A (zh) | 一种基于Java异常的漏洞检测方法和装置 | |
| EP3693874B1 (en) | Continuous vulnerability management for modern applications | |
| US10534918B1 (en) | Firmware verification | |
| US10346282B2 (en) | Multi-data analysis based proactive defect detection and resolution | |
| CA2777434C (en) | Verifying application security vulnerabilities | |
| CN106330593B (zh) | 协议检测方法及装置 | |
| US9264443B2 (en) | Browser based method of assessing web application vulnerability | |
| US7469362B2 (en) | Using a call stack hash to record the state of a process | |
| CN103699480B (zh) | 一种基于java的web动态安全漏洞检测方法 | |
| US8996921B2 (en) | Indicating coverage of Web application testing | |
| US8140911B2 (en) | Dynamic software tracing | |
| US20120054553A1 (en) | Fault localization using condition modeling and return value modeling | |
| CN107657177A (zh) | 一种漏洞检测方法及装置 | |
| CN104579830B (zh) | 服务监控方法及装置 | |
| CN105787364A (zh) | 任务的自动化测试方法、装置及系统 | |
| CN109255240B (zh) | 一种漏洞处理方法和装置 | |
| CN112540924A (zh) | 接口自动化测试方法、装置、设备及存储介质 | |
| US20190138433A1 (en) | Evaluation of library test suites using mutation testing | |
| Micskei et al. | Robustness testing techniques and tools | |
| CN105515909B (zh) | 一种数据采集测试方法和装置 | |
| CN108829575B (zh) | 测试案例推荐方法、电子装置及可读存储介质 | |
| CN111654495B (zh) | 用于确定流量产生来源的方法、装置、设备及存储介质 | |
| US20170344746A1 (en) | Utilizing likely invariants for runtime protection of web services | |
| CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
| US10310962B2 (en) | Infrastructure rule generation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190423 |
|
| RJ01 | Rejection of invention patent application after publication |