CN110881043A - 一种web服务器漏洞的检测方法及装置 - Google Patents
一种web服务器漏洞的检测方法及装置 Download PDFInfo
- Publication number
- CN110881043A CN110881043A CN201911207516.2A CN201911207516A CN110881043A CN 110881043 A CN110881043 A CN 110881043A CN 201911207516 A CN201911207516 A CN 201911207516A CN 110881043 A CN110881043 A CN 110881043A
- Authority
- CN
- China
- Prior art keywords
- web server
- request message
- vulnerability
- intrusion prevention
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种web服务器漏洞的检测方法及装置,该方法可以包括:获取客户端向web服务器发送的请求报文;从所述请求报文中提取与web服务器相关的特定特征;根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
Description
技术领域
本公开涉及通信技术领域,特别涉及一种web服务器漏洞的检测方法及装置。
背景技术
随着网络技术的迅速发展,给社会提供便捷的同时也带来了威胁,许多不法分子利用网络入侵各行各业的web服务器进行信息窃取、破坏等活动,尤其是一些重要的网络流量节点,如企业单位、政府机构、运营商等,时刻面临着大量的网络攻击威胁。
在现有技术中,企业单位、政府机构、运营商等通常会使用入侵防御设备对网络环境进行防护。入侵防御设备是网络安全设施,可以在入侵防御设备上运行入侵防御系统,对防病毒软件和防火墙的补充,能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
但是,入侵防御设备只能对网络环境进行被动防护,只能检测已经发生的网络攻击,并且一般还需要使用扫描器或者人工渗透测试的方式对入侵防御设备是否正常运行进行检测。而扫描器往往采用爬虫的方式对网站进行扫描,在目标URL的数量非常多的情况下,将耗费大量的时间。
发明内容
有鉴于此,本申请提供一种web服务器漏洞的检测方法及装置,可以主动检测web服务器的安全状况。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种web服务器漏洞的检测方法,应用于入侵防御设备;
所述方法包括:
获取客户端向web服务器发送的请求报文;
从所述请求报文中提取与web服务器相关的特定特征;
根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;
根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
根据本申请的第二方面,提出了一种web服务器漏洞的检测装置,应用于入侵防御设备;
所述装置包括:
获取单元,用于获取客户端向web服务器发送的请求报文;
提取单元,用于从所述请求报文中提取与web服务器相关的特定特征;
发送与接收单元,用于根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;
识别单元,用于根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
根据本申请的第三方面,提供一种电子设备。所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如第一方面所述的方法。
根据本申请的第三方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面所述方法的步骤。
由以上技术方案可见,本申请通过入侵防御设备提取客户端向web服务器发送的请求报文中的特定特征,并向所述特定特征发送漏洞扫描报文,可以根据web服务器返回的响应报文识别出web服务器的漏洞信息,可以主动检测出web服务器上存在的漏洞,可以更好地对web服务器上的漏洞进行预警,同时,可以获得对应的web服务器的操作系统的类型,可以避免因未知操作系统的类型而对漏洞信息进行误报。
附图说明
图1是入侵防御设备对web服务器进行防护的示意图。
图2是本申请示出的一种web服务器漏洞的检测方法的流程图。
图3是本申请一示例性实施例示出的一种web服务器漏洞的检测方法的流程图。
图4是本申请一示例性实施例示出的另一种web服务器漏洞的检测方法的流程图。
图5是本申请一示例性实施例示出的一种电子设备的结构示意图。
图6是本申请一示例性实施例示出的一种web服务器漏洞的检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1入侵防御设备对web服务器进行防护的示意图。如图1所示,入侵防御设备部署在多个web服务器前端,监听客户端与web服务器之间的网络流量,入侵防御设备是网络安全设施,可以在入侵防御设备上运行入侵防御系统,可以对防病毒软件和防火墙的补充,能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。本申请中的客户端可以是具有信息浏览功能的设备,可以包括用户设备、无线终端设备、移动终端设备等,例如,可以包括移动电话,便携式、手持式或者车载的信息浏览装置,本申请并不具体限定。
在相关技术中,企业单位、政府机构、运营商等通常会使用入侵防御设备对网络环境进行防护,但是该入侵防御设备只能对网络环境进行被动防护,只能检测已经发生的网络攻击,而不能主动检测web服务器存在的漏洞。同时,往往选择扫描器进行扫描或者采用人工渗透测试的方式来检测入侵防御设备的正常运行。而扫描器一般采用爬虫的方式对网站进行爬取,在目标URL的数量非常多的情况下,将耗费大量的时间。此外,入侵防御设备无法主动识别web服务器的服务器系统,可能会导致攻击日志的误报。
因此,本申请通过改进入侵防御设备的漏洞扫描方式以解决相关技术中存在的上述技术问题。下面结合实施例进行详细说明。
图2是本申请示出的一种web服务器漏洞的检测方法的流程图。如图2所示,该方法应用于入侵防御设备;可以包括以下步骤:
步骤201,获取客户端向web服务器发送的请求报文。
入侵防御设备监听并获取客户端向web服务器发送的请求报文。
步骤202,从所述请求报文中提取与web服务器相关的特定特征。
入侵防御设备从所述请求报文中提取与web服务器相关的特定特征,其中特定特征可以是请求报文中与web服务器有关的特征,本申请并不做具体限定。
在一个实施例中,当所述特定特征为URL时,筛选出客户端向web服务器发送的采用HTTP协议的请求报文,并从筛选后的请求报文中提取出对应的URL。
在另一个实施例中,当所述特定特征包括IP地址时,从所述请求报文的目的IP地址字段提取出对应的IP地址。
步骤203,根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文。
在一个实施例中,入侵防御设备可以向所述特定特征对应的web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文。
在另一个实施例中,将所述特定特征与特征集合中已有的特定特征进行匹配,若所述特定特征未记录于所述特征集合中,则将所述特定特征添加至特征集合中,其中,所述特征集合记录了客户端向web服务器历史上已发送的请求报文中的特定特征。入侵防御设备可以向所述特定特征集合中的所有特定特征对应的web服务器均发送漏洞扫描报文,并接收web服务器返回的响应报文。
步骤204,根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
入侵防御设备可以解析所述响应报文从而获得对应的web服务器运行的操作系统类型,可以更加准确的调用匹配于所述操作系统的类型的攻击规则,可以对入侵防御设备获取的请求报文进行更加准确的检测,可以降低对漏洞信息进行误报的可能性。
入侵防御设备还可以将所述响应报文与预定义的攻击规则进行匹配,若所述响应报文匹配到预定义的攻击规则,则可以检测出web服务器对应的漏洞信息,并且还可以将所述响应报文对应的web服务器存在的漏洞信息和危险等级记录至对应的web服务器安全报告中。
由以上技术方案可见,本申请通过入侵防御设备提取客户端向web服务器发送的请求报文中的特定特征,并向所述特定特征对应的web服务器发送漏洞扫描报文,可以根据web服务器返回的响应报文识别出web服务器的漏洞信息,可以主动检测出web服务器上存在的漏洞,可以更好地对web服务器上的漏洞进行预警,同时,可以获得对应的web服务器的操作系统的类型,可以避免因未知操作系统的类型而对漏洞信息进行误报,还可以对提取的特定特征进行去重处理,避免了后续的重复扫描或者检测,可以节约相应的时间,提升检测的效率。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。请参见图3,图3是本申请一示例性实施例一种web服务器漏洞的检测方法的流程图。如图3所示,该方法应用于入侵防御设备;可以包括以下步骤:
步骤301,获取客户端向web服务器发送的请求报文。
入侵防御设备上运行有入侵防御系统,入侵防御设备可以监听客户端与web服务器之间的网络流量,因而,入侵防御设备可以获取到客户端向web服务器发送的请求报文。
步骤302,筛选出采用HTTP协议的请求报文。
步骤303,提取采用HTTP协议的请求报文中的URL。
在本实施例中,入侵防御设备需要提取与web服务器相关的特定特征是URL。因此,入侵防御设备还需要对获取的请求报文进行格式分析,筛选出采用HTTP协议的请求报文,并提取采用HTTP协议的请求报文中的URL。当然也可以采用其他方式对采用HTTP协议的请求报文进行识别,本申请中并不对此进行限定。
步骤304,将提取的URL与特征集合进行匹配。
入侵防御设备预先设置有特征集合用于存储所有已发送的请求报文中的特定特征,入侵防御设备还可以对提取的URL进行去参数处理,避免后续占用较大的存储空间。
入侵防御设备可以将提取的URL在特征集合中进行查询,若提取的URL在特征集合中存在,则不再将所述提取的URL添加至特征集合中;若提取的URL在特征集合中不存在,则将提取的URL添加至特征集合中。通过这种方式,可以实现对提取的URL进行去重处理,避免特征集合中记录多个重复的特定特征,避免后续对相同的URL进行重复性扫描或者检测,可以节约相应的时间,提升检测的效率。
步骤305,向所述URL对应的web服务器发送漏洞扫描报文。
步骤306,接收所述web服务器返回的响应报文。
入侵防御设备可以调用预先设定好的脚本对URL对应的web服务器发送漏洞扫描报文,接收所述web服务器返回的响应报文,其中,调用的脚本可以是由管理员定义的,也可以是公开的工具,例如,可以调用sqlmap、payload等工具进行扫描,也可以添加管理员撰写的脚本进行扫描。
其中,入侵防御设备可以向提取到的且未记录在特征集合中的URL对应的服务器发送漏洞扫描报文,也可以向特征集合中记录的所有的URL对应的web服务器发送漏洞扫描报文,本申请中并不对此进行限制。
步骤307,解析响应报文,识别web服务器的漏洞信息。
入侵防御设备解析web服务器返回的所有的响应报文,将其与预设的规则库中的攻击规则进行匹配,可以根据匹配结果可以获得web服务器对应的漏洞信息,并且还可以将所述响应报文对应的web服务器存在的漏洞信息和危险等级记录至对应的web服务器安全报告中。由入侵防御设备对web服务器的安全状况进行统计,记录web服务器存在的漏洞信息并显示危险等级,生成相应的web服务器安全报告,便于管理员后续对web服务器的安全状况进行查看。
入侵防御设备还可以通过解析响应报文获得web服务器运行的操作系统的类型,例如对响应报文中的banner等信息进行解析。入侵防御设备可以根据识别的操作系统类型调用匹配于操作系统类型的攻击规则,可以使得入侵防御设备更加准确地对获取的客户端向web服务器发送的请求报文进行网络攻击检测,避免了因未识别操作系统的类型而造成对漏洞信息的误报,例如web服务器运行的操作系统是服务器是Linux系统,但是却检测出Windows系统下的网络攻击信息。
举例而言,假定入侵防御设备从获取的客户端向web服务器发送的请求报文中筛选出采用HTTP协议的请求报文,并提取到的URL为http://www.exampl e.com:80/index.php?id=1#target,入侵防御设备对提取的URL进行去参数处理获得的URL为http://www.example.com,并在特征集合中查询,得到所述URL未记录在特征集合中,因而将http://www.example.com添加至特征集合中,并调用预先设定好的脚本向该URL对应的web服务器发送漏洞扫描报文,接收所述w eb服务器返回的响应报文。入侵防御设备假定调用的管理员撰写的脚本进行扫描,若接收到的响应报文与预定义的攻击规则匹配到HTTP/1\.[01]\d\d\d.*?\r\n Server:nginx\r\n,则入侵防御设备可以判断出对应的web服务器是Nginx。因此,入侵防御设备可以调用Nginx对应的攻击规则对获取的客户端向该web服务器发送的请求报文进行匹配检测,可以避免因未知web服务器的操作系统而导致对漏洞信息的误报。
此外,入侵防御设备可以将接收到的响应报文与预定义的攻击规则进行匹配,若响应报文中的Nginx目录遍历特征匹配到对应的Nginx目录遍历特征规则,则说明存在Nginx目录遍历特征风险,从而可以在入侵防御设备提示对应的web服务器存在Nginx目录遍历日志的漏洞信息,并将该漏洞信息记录到we b服务器安全报告中,便于管理员后续对web服务器的安全状况进行查看。
由以上技术方案可见,由以上技术方案可见,本申请通过入侵防御设备提取客户端向web服务器发送的请求报文中的特定特征,并向所述特定特征对应的web服务器发送漏洞扫描报文,可以根据web服务器返回的响应报文识别出web服务器的漏洞信息,可以主动检测出web服务器上存在的漏洞,可以更好地对web服务器上的漏洞进行预警,同时,可以获得对应的web服务器的操作系统的类型,可以避免因未知操作系统的类型而对漏洞信息进行误报,还可以对提取的特定特征进行去重处理,避免了后续的重复扫描或者检测,可以节约相应的时间,提升检测的效率。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。请参见图4,图4是本申请一示例性实施例一种web服务器漏洞的检测方法的流程图。如图4所示,该方法应用于入侵防御设备;可以包括以下步骤:
步骤401,获取客户端向web服务器发送的请求报文。
入侵防御设备上运行有入侵防御系统,入侵防御设备可以监听客户端与web服务器之间的网络流量,因而,入侵防御设备可以获取到客户端向web服务器发送的请求报文。
步骤402,提取请求报文中的IP地址。
在本实施例中,入侵防御设备需要提取与web服务器相关的特定特征是IP地址。则入侵防御设备可以从请求报文的目的IP地址字段提取出对应的IP地址。
步骤403,将提取的IP地址与特征集合进行匹配。
入侵防御设备预先设置有特征集合用于存储所有已发送的请求报文中的特定特征。入侵防御设备可以将提取的IP地址在特征集合中进行查询,若提取的IP地址在特征集合中存在,则不再添加至特征集合中;若提取的IP地址在特征集合中不存在,则将提取的IP地址添加至特征集合中。通过这种方式,可以实现对提取的IP地址进行去重处理,避免特征集合中记录多个重复的特定特征,避免后续对多个相同的IP地址进行重复性扫描或者检测,可以节约相应的时间,提升检测的效率。
步骤404,向所述IP地址对应的web服务器发送漏洞扫描报文。
步骤405,接收所述web服务器返回的响应报文。
入侵防御设备可以调用预先设定好的脚本对提取的IP地址对应的web服务器发送漏洞扫描报文,接收所述web服务器返回的响应报文,其中,调用的脚本可以是由管理员定义的,也可以是公开的工具,例如,可以调用nmap等工具进行扫描,也可以添加管理员撰写的脚本进行扫描。
其中,入侵防御设备可以向提取到的且未记录在特征集合中的IP地址对应的服务器发送漏洞扫描报文,也可以向特征集合中记录的所有的IP地址对应的web服务器发送漏洞扫描报文,本申请中并不对此进行限制。
步骤406,解析响应报文,识别web服务器的漏洞信息。
入侵防御设备解析web服务器返回的所有的响应报文,将其与预设的规则库中的攻击规则进行匹配,可以根据匹配结果可以获得web服务器对应的漏洞信息,并且还可以将所述响应报文对应的web服务器存在的漏洞信息和危险等级记录至对应的web服务器安全报告中。由入侵防御设备对web服务器的安全状况进行统计,记录web服务器存在的漏洞信息并显示危险等级,生成相应的web服务器安全报告,便于管理员后续对web服务器的安全状况进行查看。
入侵防御设备还可以通过解析响应报文获得web服务器运行的操作系统的类型,例如对响应报文中的banner等信息进行解析。入侵防御设备可以根据识别的操作系统类型调用匹配于操作系统类型的攻击规则,可以使得入侵防御设备更加准确地对获取的客户端向web服务器发送的请求报文进行网络攻击检测,避免了因未识别操作系统的类型而造成对漏洞信息的误报,例如web服务器运行的操作系统是服务器是Linux系统,但是却检测出Windows系统下的网络攻击信息。
举例而言,假定入侵防御设备从获取的客户端向web服务器发送的请求报文中提取到的IP地址为202.203.208.32,其在特征集合中查询不到对应的IP地址,可以将该IP地址添加至特征集合中。入侵防御设备假定调用公开工具nmap扫描工具进行扫描,向该IP地址对应的web服务器发送漏洞扫描报文,接收所述web服务器返回的响应报文。
入侵防御设备根据接收的响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。若响应报文匹配到的web服务器操作系统的类型为Running:Linux,则说明对应web服务器的操作系统的类型为Linux系统。因而,入侵防御设备可以根据Linux系统调用对应的攻击规则对获取的客户端向该web服务器发送的请求报文进行匹配检测。
以及入侵防御设备还可以将接收到的响应报文与预定义的攻击规则进行匹配,获得对应的web服务器的漏洞信息。
由以上技术方案可见,由以上技术方案可见,本申请通过入侵防御设备提取客户端向web服务器发送的请求报文中的特定特征,并向所述特定特征对应的web服务器发送漏洞扫描报文,可以根据web服务器返回的响应报文识别出web服务器的漏洞信息,可以主动检测出web服务器上存在的漏洞,可以更好地对web服务器上的漏洞进行预警,同时,可以获得对应的web服务器的操作系统的类型,可以避免因未知操作系统的类型而对漏洞信息进行误报,还可以对提取的特定特征进行去重处理,避免了后续的重复扫描或者检测,可以节约相应的时间,提升检测的效率。
图5示出了,示出了根据本申请的一示例性实施例的一种电子设备的结构示意图。请参考图5,在硬件层面,该电子设备包括处理器501、内部总线502、网络接口503、内存504以及非易失性存储器505,当然还可能包括其他业务所需要的硬件。处理器501从非易失性存储器505中读取对应的计算机程序到内存504中然后运行,在逻辑层面上形成web服务器漏洞的检测装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图6,在软件实施例中,该设备web服务器漏洞的检测装置可以包括获取单元601、提取单元602、发送与接收单元603和识别单元604,应用于部署在内网的扫描器。其中:
获取单元601,用于获取客户端向web服务器发送的请求报文;
提取单元602,用于从所述请求报文中提取与web服务器相关的特定特征;
发送与接收单元603,用于根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;
识别单元604,用于根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
可选的,所述提取单元具体用于当所述特定特征包括URL时,筛选出客户端向web服务器发送的采用HTTP协议的请求报文,从所述采用HTTP协议的请求报文中提取出对应的URL。
可选的,所述提取单元具体用于当所述特定特征包括IP地址时,从所述请求报文的目的IP地址字段提取出对应的IP地址。
可选的,所述发送与接收单元具体用于将所述特定特征在特征集合中进行查询,若所述特定特征未记录于所述特征集合中,则将所述特定特征添加至特征集合中,其中,所述特征集合记录了客户端向web服务器已发送的请求报文中的特定特征,向所述特定特征对应的web服务器发送漏洞扫描报文或者向所述特定特征集合中的所有特定特征对应的web服务器均发送漏洞扫描报文。
可选的,还包括:
获取与调用单元605,用于通过解析所述响应报文获得所述web服务器运行的操作系统的类型,调用匹配于所述操作系统的类型的攻击规则,以对所述请求报文进行检测。
可选的,将筛选出的未采用HTTP协议的请求报文与预定义的攻击规则进行匹配,以识别所述请求报文对应的网络攻击。
可选的,还包括:
汇总单元605,将获取的漏洞信息进行汇总统计,生成所述web服务器的安全报告。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由报文的发送装置的处理器执行以完成上述方法,该方法可以包括:
获取客户端向web服务器发送的请求报文;
从所述请求报文中提取与web服务器相关的特定特征;
根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;
根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
可选的,当所述特定特征包括URL时,筛选出客户端向web服务器发送的采用HTTP协议的请求报文,从所述采用HTTP协议的请求报文中提取出对应的URL。
可选的,当所述特定特征包括IP地址时,从所述请求报文的目的IP地址字段提取出对应的IP地址。
可选的,将所述特定特征在特征集合中进行查询,若所述特定特征未记录于所述特征集合中,则将所述特定特征添加至特征集合中,其中,所述特征集合记录了客户端向web服务器已发送的请求报文中的特定特征;向所述特定特征对应的web服务器发送漏洞扫描报文或者向所述特定特征集合中的所有特定特征对应的web服务器均发送漏洞扫描报文。
可选的,通过解析所述响应报文获得所述web服务器运行的操作系统的类型;调用匹配于所述操作系统的类型的攻击规则,以对所述请求报文进行检测。
可选的,将筛选出的未采用HTTP协议的请求报文与预定义的攻击规则进行匹配,以识别所述请求报文对应的网络攻击。
可选的,将获取的漏洞信息进行汇总统计,生成所述web服务器的安全报告。
其中,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种web服务器漏洞的检测方法,其特征在于,应用于入侵防御设备;所述方法包括:
获取客户端向web服务器发送的请求报文;
从所述请求报文中提取与web服务器相关的特定特征;
根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;
根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
2.根据权利要求1所述的方法,其特征在于,从所述请求报文中提取与web服务器相关的特定特征,包括:
当所述特定特征包括URL时,筛选出客户端向web服务器发送的采用HTTP协议的请求报文,从所述采用HTTP协议的请求报文中提取出对应的URL。
3.根据权利要求1所述的方法,其特征在于,从所述请求报文中提取与web服务器相关的特定特征,包括:
当所述特定特征包括IP地址时,从所述请求报文的目的IP地址字段提取出对应的IP地址。
4.根据权利要求1所述的方法,其特征在于,根据所述特定特征向所述web服务器发送漏洞扫描报文,包括:
将所述特定特征在特征集合中进行查询,若所述特定特征未记录于所述特征集合中,则将所述特定特征添加至特征集合中,其中,所述特征集合记录了客户端向web服务器已发送的请求报文中的特定特征;
向所述特定特征对应的web服务器发送漏洞扫描报文或者向所述特定特征集合中的所有特定特征对应的web服务器均发送漏洞扫描报文。
5.根据权利要求1所述的方法,其特征在于,还包括:
通过解析所述响应报文获得所述web服务器运行的操作系统的类型;
调用匹配于所述操作系统的类型的攻击规则,以对所述请求报文进行检测。
6.根据权利要求2所述的方法,其特征在于,还包括:
将筛选出的未采用HTTP协议的请求报文与预定义的攻击规则进行匹配,以识别所述请求报文对应的网络攻击。
7.根据权利要求1所述的方法,其特征在于,还包括:
将获取的漏洞信息进行汇总统计,生成所述web服务器的安全报告。
8.一种web服务器漏洞的检测装置,其特征在于,应用于入侵防御设备;所述装置包括:
获取单元,用于获取客户端向web服务器发送的请求报文;
提取单元,用于从所述请求报文中提取与web服务器相关的特定特征;
发送与接收单元,用于根据所述特定特征向所述web服务器发送漏洞扫描报文,并接收所述web服务器返回的响应报文;
识别单元,用于根据所述响应报文与预定义的攻击规则之间的匹配情况,识别web服务器的漏洞信息。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-8中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-8中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911207516.2A CN110881043B (zh) | 2019-11-29 | 2019-11-29 | 一种web服务器漏洞的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911207516.2A CN110881043B (zh) | 2019-11-29 | 2019-11-29 | 一种web服务器漏洞的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110881043A true CN110881043A (zh) | 2020-03-13 |
| CN110881043B CN110881043B (zh) | 2022-07-01 |
Family
ID=69729890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911207516.2A Active CN110881043B (zh) | 2019-11-29 | 2019-11-29 | 一种web服务器漏洞的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110881043B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
| CN112906010A (zh) * | 2021-05-07 | 2021-06-04 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN113098902A (zh) * | 2021-04-29 | 2021-07-09 | 深圳融安网络科技有限公司 | 网络设备漏洞管理方法、装置、管理终端设备及存储介质 |
| WO2022100020A1 (zh) * | 2020-11-16 | 2022-05-19 | 华为技术有限公司 | 漏洞测试方法及装置 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114785621A (zh) * | 2022-06-17 | 2022-07-22 | 上海斗象信息科技有限公司 | 漏洞检测方法、装置、电子设备及计算机可读存储介质 |
| CN114884730A (zh) * | 2022-05-07 | 2022-08-09 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN114915442A (zh) * | 2022-02-21 | 2022-08-16 | 奇安信科技集团股份有限公司 | 高级持续性威胁攻击检测方法及装置 |
| CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459548A (zh) * | 2007-12-14 | 2009-06-17 | 北京启明星辰信息技术股份有限公司 | 一种脚本注入攻击检测方法和系统 |
| WO2012166113A1 (en) * | 2011-05-31 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Automated security testing |
| CN105516131A (zh) * | 2015-12-04 | 2016-04-20 | 珠海市君天电子科技有限公司 | 一种扫描漏洞的方法、装置及电子设备 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN107948120A (zh) * | 2016-10-12 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
| CN109446819A (zh) * | 2018-10-30 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 越权漏洞检测方法及装置 |
| CN110324311A (zh) * | 2019-05-21 | 2019-10-11 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
| CN110321708A (zh) * | 2019-03-21 | 2019-10-11 | 北京天防安全科技有限公司 | 一种基于资产类别的快速漏洞扫描方法及系统 |
| CN110401634A (zh) * | 2019-06-24 | 2019-11-01 | 北京墨云科技有限公司 | 一种Web应用漏洞检测规则引擎实现方法及终端 |
-
2019
- 2019-11-29 CN CN201911207516.2A patent/CN110881043B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459548A (zh) * | 2007-12-14 | 2009-06-17 | 北京启明星辰信息技术股份有限公司 | 一种脚本注入攻击检测方法和系统 |
| WO2012166113A1 (en) * | 2011-05-31 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Automated security testing |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105516131A (zh) * | 2015-12-04 | 2016-04-20 | 珠海市君天电子科技有限公司 | 一种扫描漏洞的方法、装置及电子设备 |
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN107948120A (zh) * | 2016-10-12 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
| CN109446819A (zh) * | 2018-10-30 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 越权漏洞检测方法及装置 |
| CN110321708A (zh) * | 2019-03-21 | 2019-10-11 | 北京天防安全科技有限公司 | 一种基于资产类别的快速漏洞扫描方法及系统 |
| CN110324311A (zh) * | 2019-05-21 | 2019-10-11 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
| CN110401634A (zh) * | 2019-06-24 | 2019-11-01 | 北京墨云科技有限公司 | 一种Web应用漏洞检测规则引擎实现方法及终端 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022100020A1 (zh) * | 2020-11-16 | 2022-05-19 | 华为技术有限公司 | 漏洞测试方法及装置 |
| CN114584330A (zh) * | 2020-11-16 | 2022-06-03 | 华为技术有限公司 | 漏洞测试方法及装置 |
| CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
| CN113098902A (zh) * | 2021-04-29 | 2021-07-09 | 深圳融安网络科技有限公司 | 网络设备漏洞管理方法、装置、管理终端设备及存储介质 |
| CN112906010A (zh) * | 2021-05-07 | 2021-06-04 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN112906010B (zh) * | 2021-05-07 | 2021-07-20 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN114915442A (zh) * | 2022-02-21 | 2022-08-16 | 奇安信科技集团股份有限公司 | 高级持续性威胁攻击检测方法及装置 |
| CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114710354B (zh) * | 2022-04-11 | 2023-09-08 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
| CN114884730A (zh) * | 2022-05-07 | 2022-08-09 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN114884730B (zh) * | 2022-05-07 | 2023-12-29 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN114785621A (zh) * | 2022-06-17 | 2022-07-22 | 上海斗象信息科技有限公司 | 漏洞检测方法、装置、电子设备及计算机可读存储介质 |
| CN114785621B (zh) * | 2022-06-17 | 2022-11-01 | 上海斗象信息科技有限公司 | 漏洞检测方法、装置、电子设备及计算机可读存储介质 |
| CN115314322A (zh) * | 2022-10-09 | 2022-11-08 | 安徽华云安科技有限公司 | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110881043B (zh) | 2022-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
| CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
| US9756074B2 (en) | System and method for IPS and VM-based detection of suspicious objects | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
| US9378368B2 (en) | System for automatically collecting and analyzing crash dumps | |
| CN108134761B (zh) | 一种apt检测系统及装置 | |
| CN112637220A (zh) | 一种工控系统安全防护方法及装置 | |
| WO2011153227A2 (en) | Dynamic multidimensional schemas for event monitoring priority | |
| US20240007487A1 (en) | Asset Remediation Trend Map Generation and Utilization for Threat Mitigation | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN112395597A (zh) | 网站应用漏洞攻击的检测方法及装置、存储介质 | |
| CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN111783092A (zh) | 面向安卓应用程序间通信机制的恶意攻击检测方法及系统 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| CN113965394A (zh) | 网络攻击信息获取方法、装置、计算机设备和介质 | |
| CN112422501A (zh) | 正反向隧道防护方法、装置、设备及存储介质 | |
| CN112073426A (zh) | 一种云防护环境下网站扫描检测方法、系统及设备 | |
| CN114024709B (zh) | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 | |
| CN113691518B (zh) | 情报分析方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |