CN110941830B - 一种漏洞数据处理方法和装置 - Google Patents

一种漏洞数据处理方法和装置 Download PDF

Info

Publication number
CN110941830B
CN110941830B CN201911122649.XA CN201911122649A CN110941830B CN 110941830 B CN110941830 B CN 110941830B CN 201911122649 A CN201911122649 A CN 201911122649A CN 110941830 B CN110941830 B CN 110941830B
Authority
CN
China
Prior art keywords
vulnerability
tested
test
information
project
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911122649.XA
Other languages
English (en)
Other versions
CN110941830A (zh
Inventor
崔健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Taikang Insurance Group Co Ltd
Original Assignee
Taikang Insurance Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Taikang Insurance Group Co Ltd filed Critical Taikang Insurance Group Co Ltd
Priority to CN201911122649.XA priority Critical patent/CN110941830B/zh
Publication of CN110941830A publication Critical patent/CN110941830A/zh
Application granted granted Critical
Publication of CN110941830B publication Critical patent/CN110941830B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明实施例提供了一种漏洞数据处理方法和装置,所述方法包括:接收用户在漏洞数据处理平台的交互页面中输入的待测项目;提取所述待测项目的原始状态信息;在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;当所述待测项目启动测试时,生成所述待测项目的当前状态信息;针对所述已完成测试状态的待测项目,确定对应的漏洞信息;根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告。解决了现有技术中无法对大量待测项目及其漏洞进行统一管理的技术问题,实现了测试任务进程的透明化,提高管理效率,减少处理资源的耗费。

Description

一种漏洞数据处理方法和装置
技术领域
本发明涉及计算机网络信息安全领域,特别是涉及一种漏洞数据处理方法和装置。
背景技术
目前,信息技术正处于高速发展的阶段,金融信息化应用水平也正在逐步提升。在金融机构经营活动不断与互联网进行融合的同时,金融机构自身也面临了日益严峻的安全挑战。其中,各种Web应用的安全问题在业务繁杂、信息分散、人员错综复杂的场景下极易出现。庞大的金融机构不仅难以进行风险的统一管理,而且一旦发生安全事件,其危害和影响都是巨大的,带来不可预计的损失。
现有的漏洞数据处理方法和漏洞数据处理系统大多是基于漏洞扫描结果及外部漏洞预警来进行实施的,存在许多弊端。例如漏洞扫描是依托相应扫描设备和工具来进行漏洞扫描的,其结果在准确性上有所欠缺,若直接将其纳入漏洞数据处理范围,会使漏洞数据产生极大偏差,不能满足大批量常规项目安全测试的漏洞数据处理。
而现有漏洞数据处理模式还处于人工分析处理、人工管理阶段,对每个项目对应的每个漏洞在后期进行存储和分析时需要耗费大量的人力,而且常规安全测试或渗透测试等测试一般都需要人为进行报告编写。管理效率较低,资源耗费较多,成本较高。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种漏洞数据处理方法和装置。
为了解决上述问题,本发明实施例公开了一种漏洞数据处理方法,所述方法包括:
接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
提取所述待测项目的原始状态信息;
在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
当所述待测项目启动测试时,获取测试进度标识;
根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态;
针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告。
可选地,所述交互页面包括项目交互页面,原始状态信息包括未完成状态和已完成状态,在所述接收用户在所述交互页面中输入的待测项目的步骤之后,所述提取所述待测项目的原始状态信息的步骤之前,所述方法还包括:
接收用户在所述项目交互页面中输入的多个待测项目的基本信息;
存储所述基本信息在所述漏洞数据处理平台的数据库中;
评估所述基本信息,确定评估结果;
根据所述评估结果,删除所述原始状态信息为已完成状态的待测项目;
保留所述原始状态信息为未完成状态的待测项目;
其中,所述多个待测项目的基本信息包括项目名称、项目测试地址。
可选地,所述当前状态信息还包括测试中状态,所述测试中状态包括多个待测项目测试的百分比进度,所述根据所述测试进度标识,生成所述待测项目的当前状态信息的步骤还包括:
针对所述测试中状态的待测项目,更新所述多个待测项目测试的百分比进度。
可选地,所述交互页面还包括报告交互页面,所述根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告的步骤包括:
根据所述漏洞信息,建立所述项目名称、所述项目测试地址和所述漏洞信息的对应关系,生成测试报告;
在所述报告交互页面中展示所述测试报告。
可选地,所述漏洞数据处理平台还包括数据展示页面,所述根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告的步骤之后,所述方法还包括:
根据所述测试报告,确定是否进行项目复测;
若否,则根据所述漏洞信息进行数据分析,生成分析结果;
在所述数据展示页面中展示所述分析结果。
可选地,所述漏洞信息包括漏洞的项目来源、漏洞的类型、漏洞的危害程度和漏洞的出现频率,所述根据所述漏洞信息进行数据分析,生成分析结果的步骤包括:
根据所述漏洞的类型和所述漏洞的出现频率进行数据统计,确定出现频率最高的漏洞类型;
生成包括所述漏洞的项目来源、所述出现频率最高的漏洞类型和所述漏洞的危害程度的分析结果。
可选地,所述根据所述漏洞信息进行数据分析,生成分析结果的步骤还包括:
统计所述已完成测试状态的待测项目的共有漏洞类型;
生成包括所述共有漏洞的类型和对应待测项目的分析结果。
本申请实施例还公开了一种漏洞数据处理装置,所述装置包括:
待测项目接收模块,用于接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
原始状态信息提取模块,用于提取所述待测项目的原始状态信息;
原始状态信息展示模块,用于在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
测试进度标识获取模块,用于当所述待测项目启动测试时,获取测试进度标识;
当前状态信息生成模块,用于根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态;
漏洞信息确定模块,用于针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
测试报告生成模块,用于根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告。
可选地,所述交互页面包括项目交互页面,原始状态信息包括未完成状态和已完成状态,所述装置还包括:
基本信息接收模块,用于接收用户在所述项目交互页面中输入的多个待测项目的基本信息;
基本信息存储模块,用于存储所述基本信息在所述漏洞数据处理平台的数据库中;
基本信息评估模块,用于评估所述基本信息,确定评估结果;
项目删除模块,用于根据所述评估结果,删除所述原始状态信息为已完成状态的待测项目;
项目保留模块,用于保留所述原始状态信息为未完成状态的待测项目;
其中,所述多个待测项目的基本信息包括项目名称、项目测试地址。
可选地,所述当前状态信息还包括测试中状态,所述测试中状态包括多个待测项目测试的百分比进度,所述当前状态信息生成模块还包括:
测试进度更新模块,用于针对所述测试中状态的待测项目,更新所述多个待测项目测试的百分比进度。
可选地,所述交互页面还包括报告交互页面,所述测试报告生成模块包括:
测试报告生成子模块,用于根据所述漏洞信息,建立所述项目名称、所述项目测试地址和所述漏洞信息的对应关系,生成测试报告;
测试报告展示模块,用于在所述报告交互页面中展示所述测试报告。
可选地,所述漏洞数据处理平台还包括数据展示页面,所述装置还包括:
项目复测判断模块,用于根据所述测试报告,确定是否进行项目复测;
分析结果生成模块,用于不进行项目复测的情况下,根据所述漏洞信息进行数据分析,生成分析结果;
分析结果展示模块,用于在所述数据展示页面中展示所述分析结果。
可选地,所述漏洞信息包括漏洞的项目来源、漏洞的类型、漏洞的危害程度和漏洞的出现频率,所述分析结果生成模块包括:
漏洞类型确定模块,用于根据所述漏洞的类型和所述漏洞的出现频率进行数据统计,确定出现频率最高的漏洞类型;
第一分析结果生成子模块,用于生成包括所述漏洞的项目来源、所述出现频率最高的漏洞类型和所述漏洞的危害程度的分析结果。
可选地,所述分析结果生成模块还包括:
共有漏洞类型统计模块,用于统计所述已完成测试状态的待测项目的共有漏洞类型;
第二分析结果生成子模块,用于生成包括所述共有漏洞的类型和对应待测项目的分析结果。
本发明实施例还公开了一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本发明实施例还公开了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的方法。
本发明实施例包括以下优点:
本申请实施例通过在漏洞数据处理平台设置交互页面和可视化页面,接收用户在交互页面中输入的待测项目,提取待测项目的原始状态信息并在可视化页面展示;当待测项目启动测试时,根据获取测试进度标识,生成待测项目的当前状态信息;其中,当前状态信息包括已完成测试状态;针对已完成测试状态的待测项目,确定对应的漏洞信息,根据漏洞信息,生成测试报告并在交互页面中展示。解决了现有技术中无法对大量待测项目及其漏洞进行统一管理的技术问题,实现了测试任务进程的透明化,提高管理效率;同时节约了分析与撰写漏洞测试报告过程中的人力资源,进而降低了人力成本;同时对多个项目与多个漏洞进行统一处理分析,进一步减少了漏洞管理资源的耗费。
附图说明
图1是本发明的一种漏洞数据处理方法实施例一的步骤流程图;
图2是本申请的一种漏洞数据处理方法实施例二的步骤流程图;
图3是本发明的一种漏洞数据处理方法的实际流程示意图;
图4是本发明的一种漏洞数据处理装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例的核心构思之一在于,在漏洞数据处理平台设置交互页面和可视化页面,接收用户在交互页面中输入的待测项目,提取待测项目的原始状态信息并在可视化页面展示;当待测项目启动测试时,根据获取测试进度标识,生成待测项目的当前状态信息;其中,当前状态信息包括已完成测试状态;针对已完成测试状态的待测项目,确定对应的漏洞信息,根据漏洞信息,生成测试报告并在交互页面中展示。
参照图1,示出了本发明的一种漏洞数据处理方法实施例一的步骤流程图,漏洞数据处理方法可以应用在漏洞处理平台中,具体方法可以包括如下步骤:
步骤101,接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
步骤102,提取所述待测项目的原始状态信息;
步骤103,在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
步骤104,当所述待测项目启动测试时,获取测试进度标识;
步骤105,根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态;
步骤106,针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
步骤107,根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告。
在本发明实施例中,能够在漏洞数据处理平台设置交互页面和可视化页面,接收用户在交互页面中输入的待测项目,提取待测项目的原始状态信息并在可视化页面展示;当待测项目启动测试时,根据获取测试进度标识,生成待测项目的当前状态信息;其中,当前状态信息包括已完成测试状态;针对已完成测试状态的待测项目,确定对应的漏洞信息,根据漏洞信息,生成测试报告并在交互页面中展示。解决了现有技术中无法对大量待测项目及其漏洞进行统一管理的技术问题,实现了测试任务进程的透明化,提高管理效率。
参照图2,示出了本发明的一种漏洞数据处理方法实施例二的步骤流程图,漏洞数据处理方法可以应用在漏洞处理平台中,所述方法可以包括如下步骤:
步骤201,接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
基于节约资源的目的,用户在漏洞处理过程中通常是统一上传多个待测项目进行测试,进而确定漏洞数据进行后续处理。而在本申请实施例中,可以在漏洞数据处理平台设置交互页面,接收用户在交互页面中输入的待测项目。
在具体实现中,可以通过将漏洞数据处理平台连接到用户端,例如项目组办公平台等,本实施例在此不作限制。通过项目组办公平台负责人审批项目申请后确定待测项目,将待测项目输入到所述漏洞处理平台中。
可选地,可以将漏洞处理平台设置为自动同步用户端审批通过项目模式,在项目组办公平台负责人审批项目申请后自动同步审批通过的待测项目,进一步地节省用户时间。
可选地,所述交互页面包括项目交互页面,原始状态信息包括未完成状态,在步骤201之后,还可以包括以下步骤:
步骤S1,接收用户在所述项目交互页面中输入的多个待测项目的基本信息;
可选地,所述多个待测项目的基本信息包括项目名称、项目测试地址。
在本申请实施例中,在用户输入待测项目后,还可以在项目交互页面上输入待测项目的基本信息。以方便在评估审批项目的过程中无需打开项目即可确定项目的部分信息,进一步地提高了评估效率。例如可以输入项目名称、项目测试地址和项目测试账号等信息。
步骤S2,存储所述基本信息在漏洞数据处理平台的数据库中;
在本申请实施例中,为防止项目数据丢失,可以将待测项目基本信息存储在数据库中。
可选地,漏洞数据处理平台可以调用所述数据库中的待测项目基本信息。
步骤S3,评估所述基本信息,确定评估结果;
在具体实现中,可以先对漏洞数据处理平台进行预编程操作,以确定基本信息的评估流程。例如建立项目名称、项目测试地址与项目测试账号的对应关系表。
具体地,可以如下表1所示:
项目名称 项目测试地址 项目测试账号 测试完成情况
A 测试地址1 1234567 未完成
B 测试地址2 7654321 已完成
表1
可选地,可以根据上述表1中的对应关系确定项目名称、项目测试地址与项目测试账号是否正确。例如:项目名称A对应的项目测试地址为测试地址1,对应的项目测试账号为1234567,测试完成情况为未完成,输出评估结果。
可选地,还可以结合漏洞数据处理的应用场景和实际应用功能情况等多角度进行综合评估,进一步确定更为精确的评估结果。
步骤S4,根据所述评估结果,删除所述原始状态信息为已完成状态的待测项目;
在具体实现中,可能由于用户疏忽导致待测项目重复进行测试,为防止测试资源浪费,可以将所述原始状态信息分为未完成状态或者已完成状态。进一步地在所述评估结果显示所述原始状态信息,当所述原始状态信息为已完成状态时,所述漏洞数据处理平台可以删除此状态下的待测项目。
步骤S5,保留所述原始状态信息为未完成状态的待测项目;
在本申请实施例中,在评估结果显示所述待测项目的原始状态信息为未完成状态时,保留所述原始状态信息为未完成状态的待测项目,以供漏洞数据处理平台进行测试。
步骤202,提取所述待测项目的原始状态信息;
步骤203,在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
在本申请实施例中,在完成基本信息评估后,保留了所述原始状态信息为未完成状态的待测项目。其中所述未完成状态可以为未测试状态或部分完成状态。基于此,可以由所述漏洞数据处理平台提取所述待测项目的原始状态信息后,在可视化页面展示所述待测项目的原始状态信息,以便用户能够得知测试进度。
可选地,可以按时间顺序展示所述待测项目的原始状态信息,
可选地,还可以展示所述待测项目完成测试的预计时间。
步骤204,当所述待测项目启动测试时,获取测试进度标识;
在本申请实施例中,当所述待测项目启动测试时,可以获得测试进度标识;其中,测试进度标识可以由测试方提供,也可以由所述漏洞数据处理平台请求获取。例如百分比进度标识、阶段性进展标识等,本申请在此不作要求。
可选地,所述测试也可以为多种,例如:安全测试、功能测试和场景模拟测试等。
步骤205,根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态;
在本申请实施例中,当所述漏洞数据处理平台接收到所述测试进度标识后,还可以根据所述测试进度标识,对待测项目的原始状态信息进行修改,生成当前状态信息。其中,所述当前状态信息包括已完成状态。例如根据所述安全测试的阶段性进展标识显示项目已完成,将所述待测项目的原始状态信息修改为已完成状态并展示在所述可视化页面,以方便用户进行测试后的进一步操作。
可选地,所述当前状态信息还包括测试中状态,所述测试中状态包括多个待测项目测试的百分比进度,步骤205还可以包括以下步骤:
步骤X1,针对所述测试中状态的待测项目,更新所述多个待测项目测试的百分比进度。
在具体实现中,由于所述测试过程可能是阶段性的,漏洞数据处理平台还可以根据所述测试进度标识,确定所述待测项目是在测试中状态,此时可以更新所述多个待测项目测试的百分比进度。
可选地,为方便用户比对多个待测项目的测试情况,所述测试中状态还可以直方图的形式表示,本申请在此不作限制。
步骤206,针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
在本申请实施例中,在所述待测项目进行测试后,确定所述待测项目对应的漏洞信息,并将所述漏洞信息存储在数据库中。
步骤207,根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告。
在本申请实施例中,可以通过统计分析所述漏洞信息,生成待测项目对应的测试报告。为了方便用户查看测试报告,在所述交互页面中展示所述测试报告。
进一步地,还可以提供测试报告下载链接,便于用户在移动终端例如手机上进行查看。
进一步地,所述交互页面还包括报告交互页面,所述步骤207可以包括以下子步骤:
子步骤2071,根据所述漏洞信息,建立所述项目名称、所述项目测试地址和所述漏洞信息的对应关系,生成测试报告;
在本申请实施例中,可以根据所述漏洞信息,建立所述项目名称、所述项目测试地址和所述漏洞信息的对应关系,生成测试报告。例如可以表格形式表示上述对应关系。
具体地,可以下表2的形式表示:
项目名称 项目测试地址 漏洞信息
A 测试地址1 漏洞Q、漏洞E
表2
子步骤2072,在所述报告交互页面中展示所述测试报告。
在本申请实施例中,在所述交互页面中还可以设置报告交互页面,在所述报告交互页面中可以展示所述测试报告,同时也可以提供下载链接供用户进行下载。
可选地,还可以提供批注输入框,用户可以通过输入框对测试报告进行批注。
可选地,所述漏洞数据处理平台还包括数据展示页面,在步骤207之后,还可以包括以下步骤:
步骤208,根据所述测试报告,确定是否进行项目复测;
在本申请实施例中,通过下载所述测试报告,进行查看后确定所述漏洞信息是否正确,若不正确则可以重新输入项目进行项目复测;若确定漏洞信息正确则可以继续执行步骤209。
步骤209,若否,则根据所述漏洞信息进行数据分析,生成分析结果;
在本申请实施例中,根据所述测试报告确定不需要进行项目复测后,可以根据所述漏洞信息进行数据分析,以生成分析结果。具体地,可以通过统计漏洞信息中漏洞来源、出现频率等确定项目漏洞出现较多的职能部门。
可选地,所述分析结果可以由统计图表、直方图等方式表示,本申请在此不作限制。
可选地,还可以通过预编程建立迭代模型对出现漏洞的项目进行分析,例如RUP模型,建立迭代关系式,设定固定次数的循环控制迭代分析过程,以确定最终的漏洞数量。
可选地,所述数据分析可以通过列表法、作图法、快速傅里叶变换或统计等方式进行,本申请实施例在此不做限制。
步骤210,在所述数据展示页面中展示所述分析结果。
在本申请实施例中,所述漏洞数据处理平台还可以包括数据展示页面;在漏洞数据数据处理平台根据所述漏洞信息进行数据分析后,在所述数据展示页面展示所述分析结果,所述分析结果可以包括各个职能部门的漏洞分析情况进行比对后生成的漏洞数量情况,确定漏洞数量最多的职能部门,以更为有效的管理修复所述漏洞。
可选地,所述漏洞信息包括漏洞的项目来源、漏洞的类型、漏洞的危害程度和漏洞的出现频率,步骤209可以包括以下子步骤:
子步骤20911,根据所述漏洞的类型和所述漏洞的出现频率进行数据统计,确定出现频率最高的漏洞类型;
在本申请实施例中,所述漏洞信息中还包括了漏洞类型和漏洞出现频率,具体地可以通过分区统计的形式,确定所有漏洞类型对应的出现频率,以直方图或扇形图的形式表示,以确定出现频谱最高的漏洞类型。
子步骤20912,生成包括所述出现漏洞的项目、所述出现频率最高的漏洞类型和所述漏洞的危害程度的分析结果。
在具体实现中,可以通过根据漏洞的项目来源进行数据统计,结合出现频率最高的漏洞类型和所述漏洞的危害程度,以表格、直方图或扇形图的形式展示分析结果。例如在将所述漏洞信息中的漏洞与项目基本信息对应,即可确定漏洞所述对应待测项目的来源,确定该来源对应漏洞类型的出现频率与危害程度并记录在表格中。
可选地,对于出现频率较高的漏洞类型以及危害程度较高的漏洞类型,可以根据实际情况优先对此类漏洞进行修复,以防止项目受到更为严重的破坏,降低修复成本。
可选地,步骤209还可以包括以下子步骤:
子步骤20921,统计所述已完成测试状态的待测项目的共有漏洞类型;
子步骤20922,生成包括所述共有漏洞的类型和对应待测项目的分析结果。
在本申请实施例中,还可以统计已完成测试状态的待测项目的共有漏洞类型,通过表格或其他形式生成分析结果,以便用户统一进行漏洞修复;同时也便于对该共有漏洞进行漏洞跟踪,确定漏洞对应项目的源码以进行修复。
参照图3,在本本申请实施例中,提供了一种漏洞数据处理方法,以下结合实际情况进行整个过程描述:
通过漏洞数据处理平台的交互页面,项目组将待测项目输入到所述漏洞数据处理平台中,所述漏洞数据处理平台存储所述待测项目的基本数据,进行测试环境的调试和项目评估后,开始进行待测项目的安全测试;在完成安全测试后确定待测项目的漏洞并进行统计,生成安全测试报告反馈到所述项目组,同时进行漏洞跟踪,确定漏洞来源反馈到所述项目组;所述项目组根据所述安全测试报告反馈与漏洞来源反馈进行漏洞修复。
而安全测试的过程中,漏洞数据处理平台还可以将待测项目存储到数据库中,通过可视化窗口展示所述待测项目安全测试进度,具体可以通过项目进度查看窗口展示所述待测项目进行安全测试的进度,生成项目安全测试报告并展示在报告交互展示窗口;结合漏洞数据和数据库中的项目来源、漏洞危害和出现频率等进行统计分析,生成分析结果反馈到项目组进行复盘以提高代码质量。进而实现了待测项目与漏洞数据的统一管理,节省了漏洞统计分析所用资源,同时实现了安全测试任务进程的透明化,更便于用户查看处理进度,提高管理效率。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图4,示出了本发明的一种漏洞数据处理装置实施例的结构框图,所述漏洞数据处理装置可以应用在漏洞处理平台中,具体可以包括如下模块:
待测项目接收模块401,用于接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
原始状态信息提取模块402,用于提取所述待测项目的原始状态信息;
原始状态信息展示模块403,用于在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
测试进度标识获取模块404,用于当所述待测项目启动测试时,获取测试进度标识;
当前状态信息生成模块405,用于根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态;
漏洞信息确定模块406,用于针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
测试报告生成模块407,用于根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告。
可选地,所述交互页面包括项目交互页面,原始状态信息包括未完成状态和已完成状态,所述装置还包括:
基本信息接收模块,用于接收用户在所述项目交互页面中输入的多个待测项目的基本信息;
基本信息存储模块,用于存储所述基本信息在所述漏洞数据处理平台的数据库中;
基本信息评估模块,用于评估所述基本信息,确定评估结果;
项目删除模块,用于根据所述评估结果,删除所述原始状态信息为已完成状态的待测项目;
项目保留模块,用于保留所述原始状态信息为未完成状态的待测项目;
其中,所述多个待测项目的基本信息包括项目名称、项目测试地址。
可选地,所述当前状态信息还包括测试中状态,所述测试中状态包括多个待测项目测试的百分比进度,所述当前状态信息生成模块405还包括:
测试进度更新模块,用于针对所述测试中状态的待测项目,更新所述多个待测项目测试的百分比进度。
可选地,所述交互页面还包括报告交互页面,所述测试报告生成模块407包括:
测试报告生成子模块,用于根据所述漏洞信息,建立所述项目名称、所述项目测试地址和所述漏洞信息的对应关系,生成测试报告;
测试报告展示模块,用于在所述报告交互页面中展示所述测试报告。
可选地,所述漏洞数据处理平台还包括数据展示页面,所述装置还包括:
项目复测判断模块,用于根据所述测试报告,确定是否进行项目复测;
分析结果生成模块,用于不进行项目复测的情况下,根据所述漏洞信息进行数据分析,生成分析结果;
分析结果展示模块,用于在所述数据展示页面中展示所述分析结果。
可选地,所述漏洞信息包括漏洞的项目来源、漏洞的类型、漏洞的危害程度和漏洞的出现频率,所述分析结果生成模块包括:
漏洞类型确定模块,用于根据所述漏洞的类型和所述漏洞的出现频率进行数据统计,确定出现频率最高的漏洞类型;
第一分析结果生成子模块,用于生成包括所述漏洞的项目来源、所述出现频率最高的漏洞类型和所述漏洞的危害程度的分析结果。
可选地,所述分析结果生成模块还包括:
共有漏洞类型统计模块,用于统计所述已完成测试状态的待测项目的共有漏洞类型;
第二分析结果生成子模块,用于生成包括所述共有漏洞的类型和对应待测项目的分析结果。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供了一种电子设备,包括:
包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述漏洞数据处理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现上述针对漏洞数据处理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种漏洞数据处理方法和装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (9)

1.一种漏洞数据处理方法,其特征在于,所述方法包括:
接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
提取所述待测项目的原始状态信息;
在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
当所述待测项目启动测试时,获取测试进度标识;
根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态和测试中状态,所述测试中状态包括多个待测项目测试的百分比进度;
针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告;
所述根据所述测试进度标识,生成所述待测项目的当前状态信息的步骤还包括:
针对所述测试中状态的待测项目,更新所述多个待测项目测试的百分比进度。
2.根据权利要求1所述的方法,其特征在于,所述交互页面包括项目交互页面,原始状态信息包括未完成状态和已完成状态,在所述接收用户在所述交互页面中输入的待测项目的步骤之后,所述提取所述待测项目的原始状态信息的步骤之前,所述方法还包括:
接收用户在所述项目交互页面中输入的多个待测项目的基本信息;
存储所述基本信息在所述漏洞数据处理平台的数据库中;
评估所述基本信息,确定评估结果;
根据所述评估结果,删除所述原始状态信息为已完成状态的待测项目;
保留所述原始状态信息为未完成状态的待测项目;
其中,所述多个待测项目的基本信息包括项目名称、项目测试地址。
3.根据权利要求2所述的方法,其特征在于,所述交互页面还包括报告交互页面,所述根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告的步骤包括:
根据所述漏洞信息,建立所述项目名称、所述项目测试地址和所述漏洞信息的对应关系,生成测试报告;
在所述报告交互页面中展示所述测试报告。
4.根据权利要求1所述的方法,其特征在于,所述漏洞数据处理平台还包括数据展示页面,所述根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告的步骤之后,所述方法还包括:
根据所述测试报告,确定是否进行项目复测;
若否,则根据所述漏洞信息进行数据分析,生成分析结果;
在所述数据展示页面中展示所述分析结果。
5.根据权利要求4所述的方法,其特征在于,所述漏洞信息包括漏洞的项目来源、漏洞的类型、漏洞的危害程度和漏洞的出现频率,所述根据所述漏洞信息进行数据分析,生成分析结果的步骤包括:
根据所述漏洞的类型和所述漏洞的出现频率进行数据统计,确定出现频率最高的漏洞类型;
生成包括所述漏洞的项目来源、所述出现频率最高的漏洞类型和所述漏洞的危害程度的分析结果。
6.根据权利要求4所述的方法,其特征在于,所述根据所述漏洞信息进行数据分析,生成分析结果的步骤还包括:
统计所述已完成测试状态的待测项目的共有漏洞类型;
生成包括所述共有漏洞的类型和对应待测项目的分析结果。
7.一种漏洞数据处理装置,其特征在于,所述装置包括:
待测项目接收模块,用于接收用户在漏洞数据处理平台的交互页面中输入的待测项目;
原始状态信息提取模块,用于提取所述待测项目的原始状态信息;
原始状态信息展示模块,用于在所述漏洞数据处理平台的可视化页面展示所述待测项目的原始状态信息;
测试进度标识获取模块,用于当所述待测项目启动测试时,获取测试进度标识;
当前状态信息生成模块,用于根据所述测试进度标识,生成所述待测项目的当前状态信息;其中,所述当前状态信息包括已完成测试状态和测试中状态,所述测试中状态包括多个待测项目测试的百分比进度;
漏洞信息确定模块,用于针对所述已完成测试状态的待测项目,确定对应的漏洞信息;
测试报告生成模块,用于根据所述漏洞信息,生成测试报告,并在所述交互页面中展示所述测试报告;
所述当前状态信息生成模块还包括:
测试进度更新模块,用于针对所述测试中状态的待测项目,更新所述多个待测项目测试的百分比进度。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-6任一所述的方法。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
CN201911122649.XA 2019-11-15 2019-11-15 一种漏洞数据处理方法和装置 Active CN110941830B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911122649.XA CN110941830B (zh) 2019-11-15 2019-11-15 一种漏洞数据处理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911122649.XA CN110941830B (zh) 2019-11-15 2019-11-15 一种漏洞数据处理方法和装置

Publications (2)

Publication Number Publication Date
CN110941830A CN110941830A (zh) 2020-03-31
CN110941830B true CN110941830B (zh) 2022-03-29

Family

ID=69907021

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911122649.XA Active CN110941830B (zh) 2019-11-15 2019-11-15 一种漏洞数据处理方法和装置

Country Status (1)

Country Link
CN (1) CN110941830B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112714125B (zh) * 2020-12-29 2023-04-07 成都知道创宇信息技术有限公司 一种系统安全监测方法、装置、存储介质及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105574416A (zh) * 2015-12-16 2016-05-11 北京神州绿盟信息安全科技股份有限公司 一种浏览器漏洞检测方法及装置
CN105978894A (zh) * 2016-06-27 2016-09-28 上海柯力士信息安全技术有限公司 基于安犬漏洞扫描云平台的网络安全监测管理系统
CN106302337A (zh) * 2015-05-22 2017-01-04 腾讯科技(深圳)有限公司 漏洞检测方法和装置
CN109784062A (zh) * 2018-12-29 2019-05-21 360企业安全技术(珠海)有限公司 漏洞检测方法及装置
CN109784060A (zh) * 2018-12-12 2019-05-21 平安科技(深圳)有限公司 漏洞管理报告生成方法、装置及存储介质、服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302337A (zh) * 2015-05-22 2017-01-04 腾讯科技(深圳)有限公司 漏洞检测方法和装置
CN105574416A (zh) * 2015-12-16 2016-05-11 北京神州绿盟信息安全科技股份有限公司 一种浏览器漏洞检测方法及装置
CN105978894A (zh) * 2016-06-27 2016-09-28 上海柯力士信息安全技术有限公司 基于安犬漏洞扫描云平台的网络安全监测管理系统
CN109784060A (zh) * 2018-12-12 2019-05-21 平安科技(深圳)有限公司 漏洞管理报告生成方法、装置及存储介质、服务器
CN109784062A (zh) * 2018-12-29 2019-05-21 360企业安全技术(珠海)有限公司 漏洞检测方法及装置

Also Published As

Publication number Publication date
CN110941830A (zh) 2020-03-31

Similar Documents

Publication Publication Date Title
CN107908550B (zh) 一种软件缺陷统计处理方法及装置
CN107896244B (zh) 一种版本文件的分发方法、客户端及服务器
CN112597028B (zh) 一种用例测试结果的展示方法、装置及可读存储介质
CN112612813B (zh) 一种测试数据的生成方法和装置
Arnaoudova et al. Physical and conceptual identifier dispersion: Measures and relation to fault proneness
CN110990274A (zh) 一种生成测试案例的数据处理方法、装置及系统
CN107506294A (zh) 可视化自动化测试方法、装置、存储介质和计算机设备
CN106557419B (zh) 程序的测试方法及装置
CN111221721A (zh) 一种单元测试案例自动化录制和执行方法及装置
US9268944B2 (en) System and method for sampling based source code security audit
CN106528429A (zh) 一种ui界面测试方法及装置
CN115391230A (zh) 一种测试脚本生成、渗透测试方法、装置、设备及介质
CN110941830B (zh) 一种漏洞数据处理方法和装置
CN115080389A (zh) 提升指标统计效率的测试系统、方法、设备及存储介质
CN113342692A (zh) 测试用例自动生成方法、装置、电子设备及存储介质
CN117493188A (zh) 接口测试方法及装置、电子设备及存储介质
CN111159028B (zh) 网页测试方法及装置
CN107622013B (zh) 一种分布式系统测试方法及装置
CN111008140B (zh) 一种跨平台的ui自动化测试方法及装置
CN113791980A (zh) 测试用例的转化分析方法、装置、设备及存储介质
CN116127464A (zh) 安全测试方法、装置、设备及存储介质
CN106547686A (zh) 产品测试方法及装置
CN112035364A (zh) 功能测试结果评估方法及装置
CN114860549B (zh) 埋点数据校验方法、装置、设备和存储介质
de Silva et al. Evaluating the Effectiveness of Different Software Testing Frameworks on Software Quality

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant