CN111343154A - 漏洞检测方法、装置、终端设备以及存储介质 - Google Patents
漏洞检测方法、装置、终端设备以及存储介质 Download PDFInfo
- Publication number
- CN111343154A CN111343154A CN202010085153.6A CN202010085153A CN111343154A CN 111343154 A CN111343154 A CN 111343154A CN 202010085153 A CN202010085153 A CN 202010085153A CN 111343154 A CN111343154 A CN 111343154A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- scoring
- target webpage
- bug
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种漏洞检测方法、装置、终端设备以及存储介质,其方法包括:搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。本发明通过专用的网络漏洞扫描工具,测试网站安全,并通过预设的漏洞评分系统对扫描出来的漏洞进行打分评测,实现漏洞评分标准的统一化,提升了漏洞检测准确性,并降低了沟通成本。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种漏洞检测方法、装置、终端设备以及存储介质。
背景技术
目前,网页漏洞评分大都是依据漏洞评审人员的经验判断,或是按照公司自创的评分标准判断,还有从乙方厂商得到相关漏洞的评分。这种依据漏洞评审人员的经验判断的方式,带有很大的主观性,说服力不强;而一些公司自研的漏洞评分标准,在其公司内部和客户中实施没什么阻碍,但是,若将该评分标准放到业内,在同其他厂商交流时,会因为不同的公司对同一个漏洞可能得出不同评级,而不能达到统一意见,容易产生分歧,引发争议,进而增加了沟通的成本。
发明内容
本发明的主要目的在于提供一种漏洞检测方法、装置、终端设备以及存储介质,旨在实现漏洞评分标准的统一化,提升漏洞检测准确性,降低沟通成本。
为实现上述目的,本发明提供一种漏洞检测方法,包括:
搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
可选地,所述搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果的步骤包括:
接收用户输入的目标网站的域名;
根据所述目标网站的域名搜索所述目标网站,基于爬虫技术获得所述目标网站的网页应用结构;
对所述目标网站的网页应用结构进行分析,获得目标网页;
对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果。
可选地,所述对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果的步骤包括:
向所述目标网站发送对所述目标网页进行恶意攻击测试的请求数据包,所述请求数据包中携带对所述目标网页进行恶意攻击的恶意参数;
获取所述目标网站针对所述请求数据包的响应情况,基于所述响应情况判断所述目标网页是否存在漏洞,获得测试结果。
可选地,所述获取所述目标网站针对所述请求数据包的响应情况,基于所述响应情况判断所述目标网页是否存在漏洞的步骤包括:
若接收到所述目标网站的响应消息,则判定所述目标网页存在漏洞;或者,若接收到所述目标网站的响应消息,则对所述响应消息进行分析验证,根据分析验证结果判断所述目标网页是否存在漏洞。
可选地,所述请求数据包基于预设的扫描规则库设置有多种攻击方式,每一种攻击方式包括相应的对所述目标网页进行恶意攻击的恶意参数。
可选地,所述若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分的步骤包括:
若所述测试结果为所述目标网页存在漏洞,则根据所述目标网页、目标网页的页面参数以及所述请求数据包携带的恶意参数,比对预设的漏洞库,获取所述目标网页的漏洞信息;
将所述漏洞信息输入预设的漏洞评分系统,由所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果。
可选地,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤包括:
所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行分析,获取所述漏洞的属性信息,所述属性信息包括漏洞的原始属性;所述漏洞的原始属性包括:所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互、影响范围、机密性影响、完整性影响、可用性影响;
基于所述漏洞的机密性影响、完整性影响、可用性影响,计算得到影响度分值;
基于所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互,计算得到可利用度分值;
基于所述影响度分值和可利用度分值计算得到基础分值,作为所述漏洞的第一评分结果。
可选地,所述属性信息还包括漏洞的时间属性,所述漏洞的时间属性包括漏洞的利用度、补丁水平、报告可信度,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤还包括:
基于所述基础分值及所述漏洞的利用度、补丁水平和报告可信度计算得到时间评价分值,作为所述漏洞的第二评分结果。
可选地,所述属性信息还包括漏洞的环境属性,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤还包括:
基于所述漏洞的环境属性、可利用度分值、影响度分值,以及漏洞的利用度、补丁水平、报告可信度,计算得到环境评价分值,作为所述漏洞的第三评分结果。
可选地,所述漏洞检测方法还包括:
将评分得到的结果显示给用户。
此外,本发明实施例还提出一种漏洞检测装置,所述漏洞检测装置包括:
搜索测试模块,用于搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
评分模块,用于在所述测试结果为所述目标网页存在漏洞时,获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
此外,本发明实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞检测程序,所述漏洞检测程序被所述处理器执行时实现如上所述的漏洞检测方法的步骤。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有漏洞检测程序,所述漏洞检测程序被处理器执行时实现如上所述的漏洞检测方法的步骤。
本发明实施例提出的漏洞检测方法、装置、终端设备以及存储介质,通过搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分,由此,通过专用的网络漏洞扫描工具,测试网站安全,并通过预设的漏洞评分系统对扫描出来的漏洞进行打分评测,实现漏洞评分标准的统一化,提升了漏洞检测准确性,并降低了沟通成本。
附图说明
图1为本发明实施例漏洞检测装置所属终端设备的功能模块示意图;
图2为本发明漏洞检测方法一示例性实施例的流程示意图;
图3为本发明实施例中一种网站的网络应用结构示意图;
图4为本发明实施例中一种网站的网页攻击测试示意图;
图5为本发明实施例中CVSS标准的漏洞原始属性分布示意图;
图6为本发明实施例中CVSS标准的漏洞时间属性分布示意图;
图7为本发明实施例中环境评价分值的计算原理示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分,由此,通过专用的网络漏洞扫描工具,测试网站安全,并通过预设的漏洞评分系统对扫描出来的漏洞进行打分评测,实现漏洞评分标准的统一化,提升了漏洞检测准确性,并降低了沟通成本。
本发明实施例考虑到,目前网页漏洞评分大都是依据漏洞评审人员的经验判断,或是按照公司自创的评分标准判断,还有从乙方厂商得到相关漏洞的评分。这种依据漏洞评审人员的经验判断的方式,带有很大的主观性,说服力不强;而一些公司自研的漏洞评分标准,在其公司内部和客户中实施没什么阻碍,但是,若将该评分标准放到业内,在同其他厂商交流时,会因为不同的公司对同一个漏洞可能得出不同评级,而不能达到统一意见,容易产生分歧,引发争议,进而增加了沟通的成本。
基于此,本发明实施例提出一种解决方案,采用预设的漏洞评分系统对检测的漏洞进行评分,可以实现漏洞评分标准的统一化,提升漏洞检测准确性,降低沟通成本。
具体地,参照图1,图1为本发明漏洞检测装置所属终端设备的功能模块示意图。该漏洞检测装置可以为独立于终端设备的、能够进行数据处理的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等智能移动终端,还可以固定终端。
在本实施例中,该漏洞检测装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及漏洞检测程序,漏洞检测装置可以将扫描搜索的目标网页、对所述目标网页进行恶意攻击测试得到的测试结果、获取的该目标网页的漏洞信息,以及通过预设的漏洞评分系统对所述漏洞信息进行评分的结果等信息存储于该存储器130中;输出模块110可为显示屏、扬声器等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的漏洞检测程序被处理器执行时实现以下步骤:
搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
接收用户输入的目标网站的域名;
根据所述目标网站的域名搜索所述目标网站,基于爬虫技术获得所述目标网站的网页应用结构;
对所述目标网站的网页应用结构进行分析,获得目标网页;
对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
向所述目标网站发送对所述目标网页进行恶意攻击测试的请求数据包,所述请求数据包中携带对所述目标网页进行恶意攻击的恶意参数;
获取所述目标网站针对所述请求数据包的响应情况,基于所述响应情况判断所述目标网页是否存在漏洞,获得测试结果。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
若接收到所述目标网站的响应消息,则判定所述目标网页存在漏洞;或者,若接收到所述目标网站的响应消息,则对所述响应消息进行分析验证,根据分析验证结果判断所述目标网页是否存在漏洞。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
若所述测试结果为所述目标网页存在漏洞,则根据所述目标网页、目标网页的页面参数以及所述请求数据包携带的恶意参数,比对预设的漏洞库,获取所述目标网页的漏洞信息;
将所述漏洞信息输入预设的漏洞评分系统,由所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
通过所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行分析,获取所述漏洞的属性信息,所述属性信息包括漏洞的原始属性;所述漏洞的原始属性包括:所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互、影响范围、机密性影响、完整性影响、可用性影响;
基于所述漏洞的机密性影响、完整性影响、可用性影响,计算得到影响度分值;
基于所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互,计算得到可利用度分值;
基于所述影响度分值和可利用度分值计算得到基础分值,作为所述漏洞的第一评分结果。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
通过所述漏洞评分系统基于所述基础分值及所述漏洞的利用度、补丁水平和报告可信度计算得到时间评价分值,作为所述漏洞的第二评分结果。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
通过所述漏洞评分系统基于所述漏洞的环境属性、可利用度分值、影响度分值,以及漏洞的利用度、补丁水平、报告可信度,计算得到环境评价分值,作为所述漏洞的第三评分结果。
进一步地,存储器130中的漏洞检测程序被处理器执行时还实现以下步骤:
将评分得到的结果显示给用户。
本实施例通过上述方案,通过搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分,由此,通过专用的网络漏洞扫描工具,测试网站安全,并通过预设的漏洞评分系统对扫描出来的漏洞进行打分评测,实现漏洞评分标准的统一化,提升了漏洞检测准确性,并降低了沟通成本。
基于上述终端设备架构但不限于上述架构,提出本发明方法实施例。
参照图2,图2为本发明漏洞检测方法一示例性实施例的流程示意图。所述漏洞检测方法,包括:
步骤S101,搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
本实施例方法的执行主体可以是一种漏洞检测装置,该漏洞检测装置可以设置在手机等移动终端上,此外,本实施例方法的执行主体也可以直接是手机等移动终端,本实施例以手机进行举例,但不对此构成限定。
在手机上安装漏洞检测软件,该漏洞检测软件作为一种网络漏洞扫描工具,可以对需要检测的网页进行漏洞扫描和检测,并可以基于预设的漏洞评分系统对检测到的漏洞进行评分定级。
其中,本实施例网络漏洞扫描工具可以通过网络爬虫测试各网站安全,检测集成在预设漏洞库中成千上万的漏洞,也可以扫描任何可以通过web浏览访问和遵循HTTP/HTTPS规则的web站点和web应用程序。
具体实现时,可以通过该网络漏洞扫描工具搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果。
作为一种实施方式,可以采用如下方案测试目标网页是否存在漏洞:
用户可以在手机上的网络漏洞扫描工具中输入目标网站的域名,网络漏洞扫描工具接收用户输入的目标网站的域名后,根据所述目标网站的域名搜索所述目标网站,基于爬虫技术获得所述目标网站的网页应用结构;
对所述目标网站的网页应用结构进行分析,获得目标网页;
对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果。
其中,所述对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果的步骤包括:
向所述目标网站发送对所述目标网页进行恶意攻击测试的请求数据包,所述请求数据包中携带对所述目标网页进行恶意攻击的恶意参数;具体而言,所述请求数据包基于预设的扫描规则库设置有多种攻击方式,每一种攻击方式包括相应的对所述目标网页进行恶意攻击的恶意参数。
然后,获取所述目标网站针对所述请求数据包的响应情况,基于所述响应情况判断所述目标网页是否存在漏洞,获得测试结果:
若接收到所述目标网站的响应消息,则判定所述目标网页存在漏洞;或者,若接收到所述目标网站的响应消息,则对所述响应消息进行分析验证,根据分析验证结果判断所述目标网页是否存在漏洞。
上述方案中,通过网络漏洞扫描工具对网页进行漏洞扫描的主要步骤为:探索+测试。
其中,探索又叫网络爬虫,通过探索了解被测网站的网络应用结构(如图3所示,图3为一种网站的网络应用结构示意图),获得目标网页;测试是针对找到的页面,生成测试指令,进行安全攻击,如图4所示,图4是本发明实施例中一种网站的网页攻击测试示意图。
作为一种方案,在安全测试过程中,可以先只进行探索,不进行测试,目的是了解被测的网站结构,评估范围;然后选择“继续仅测试”,只对前面探索过的页面进行测试,不对新发现的页面进行测试。
在另一种方案中,可以选择“完全测试”,“完全测试”就是把两个步骤结合在一起,一边探索,一边测试。
以下详细阐述通过网络漏洞扫描工具对网页进行漏洞扫描的工作原理:
(1)在本机网络漏洞扫描工具(漏洞扫描器)上输入待检测的目标网站域名,通过搜索(爬行)发现整个目标网站的Web应用结构,得到该目标网站的多个页面;
(2)对单个页面,根据对目标网站的Web应用结构分析,本机向目标网站发送请求(HTTP Request)进行攻击尝试(即向目标网站发送进行恶意攻击的指令,实质为一个请求数据包,在该数据包中携带恶意参数,以进行恶意攻击),其中,请求数据包可以根据预设的扫描规则库,采取多种攻击方式,该攻击方式通过页面参数体现,通过多种攻击方式测试当前页面是否存在漏洞;
(3)通过对接收到的响应(Respond)的分析,验证是否存在安全漏洞,通常情况下,如果属于正常的交互,网站会正常响应,比如资源请求与响应,但是,如果是发送恶意的攻击,目标网站不响应则证明该网站不存在安全漏洞,若响应则证明存在该网站存在漏洞。
步骤S102,若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
具体地,若所述测试结果为所述目标网页存在漏洞,则根据所述目标网页、目标网页的页面参数以及所述请求数据包携带的恶意参数,比对预设的漏洞库,获取所述目标网页的漏洞信息;
将所述漏洞信息输入预设的漏洞评分系统,由所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果。
进一步地,可以将评分得到的结果显示给用户。
其中,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果具体可以采用以下方案:
作为一种实施方式,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行分析,获取所述漏洞的属性信息,所述属性信息包括漏洞的原始属性;所述漏洞的原始属性包括:所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互、影响范围、机密性影响、完整性影响、可用性影响;
基于所述漏洞的机密性影响、完整性影响、可用性影响,计算得到影响度分值;
基于所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互,计算得到可利用度分值;
基于所述影响度分值和可利用度分值计算得到基础分值,作为所述漏洞的第一评分结果。
作为另一种实施方式,所述属性信息还包括漏洞的时间属性,所述漏洞的时间属性包括漏洞的利用度、补丁水平、报告可信度,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤还包括:
基于所述基础分值及所述漏洞的利用度、补丁水平和报告可信度计算得到时间评价分值,作为所述漏洞的第二评分结果。
作为再一种实施方式,所述属性信息还包括漏洞的环境属性,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤还包括:
基于所述漏洞的环境属性、可利用度分值、影响度分值,以及漏洞的利用度、补丁水平、报告可信度,计算得到环境评价分值,作为所述漏洞的第三评分结果。
以下详细阐述漏洞评分系统对漏洞信息进行评分的实现过程:
其中,作为一种实施方式,该漏洞评分系统可以采用CVSS(通用漏洞评估系统,Common Vulerability Scoring System),CVSS是由NIAC发布、FITST维护的开放式行业标准,CVSS的发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法,作为一种应用,本方案对漏洞的评分定级采用CVSS 3.1标准进行举例。
CVSS 3.1由三个基本尺度组成:基本(Base)、时间(Temporal)、环境(Environmental)。
其中,基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact度量。
如图5所示,CVSS 3.1标准的原始属性涉及多个评分影响因素,具体包括:漏洞的攻击途径、攻击复杂度、权限要求、用户交互、影响范围、机密性影响、完整性影响、可用性影响;
其中,漏洞的评分结果包括基础分值,该基础分值与影响度分值和可利用度分值有关。
影响度分值通过漏洞的原始属性中的机密性影响、完整性影响、可用性影响计算得到;
可利用度分值基于漏洞的原始属性中的攻击途径、攻击复杂度、权限要求、用户交互计算得到。
上述各属性(即评分影响因素)的值可以由用户自行确定,比如,在漏洞扫描工具的评分操作界面中,为每一个属性提供一个或多个选项,每个选项对应一个分值,根据用户选择确定各属性的分值。
具体计算公式可以如下:
1.影响度分值
当作用域(影响范围)=固定:影响度分值=6.42×ISCbase;
当作用域(影响范围)=变化:影响度分值=7.52×(ISCbase-0.029)-3.25×(ISCbase-0.02)^15;ISCbase为临时变量;
其中:ISCbase=1-[(1-机密性影响)×(1-完整性影响)×(1-可用性影响)];
2.可利用度分值=8.22×攻击途径×攻击复杂度×权限要求×用户交互;
3.基础分值
3.1当影响度分值<=0:基础分值=0;
3.2当0<影响度分值+可利用度分值<10:
作用域(影响范围)=固定:基础分值=Roundup(影响度分值+可利用度分值);
作用域(影响范围)=变化:基础分值=Roundup[1.08×(影响度分值+可利用度分值)];
3.3当影响度分值+可利用度分值>10:基础分值=10;
Roundup的意思是:保留小数点后一位,小数点后第二位大于零则进一。例如,Roundup(4.02)=4.1;或者Roundup(4.00)=4.0。
时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举例如下,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。
漏洞的时间属性包括漏洞的利用度、补丁水平、报告可信度,如图6所示,图6是漏洞的时间属性分布示意图,其中,各时间属性的值同样可以由用户选择确定,比如,在漏洞扫描工具的评分操作界面中,为每一个属性提供一个或多个选项,每个选项对应一个分值,根据用户选择确定各属性的分值。如图6所示,报告可信度包括:未知、可信、确证三个选项供用户选择;利用度(利用代码成熟度)包括:无可用代码、概念验证、功能性代码可用、完全成熟四个选项供用户选择。
因此,如果考虑时间属性,漏洞的评分结果则在上述基础分值的基础上,结合漏洞的利用度、补丁水平和报告可信度计算得到,即为时间评价分值,也可以称为生命周期。
时间评价分值计算公式如下:
时间评价分值(生命周期)=Roundup(基础分值×利用度×补丁水平×报告可信度)。
环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。
因此,如果考虑环境属性,漏洞的评分结果则在上述基础分值、时间评价分值的基础上,结合环境属性计算得到,即为环境评价分值,可以理解为升级的基础得分和生命周期得分的乘积。如图7所示,图7是环境评价分值的计算原理示意图。
环境评价分值的计算公式为:
当影响度分值<=0:环境评价分值=0;
当影响度分值>0且无修正:环境评价分值=Roundup(Roundup(Min[(M.影响度分值+M.可利用度分值),10])×利用度×补丁水平×报告可信度);
当影响度分值>0且有修正:环境评价分值=Roundup(Roundup(Min[1.08×(M.影响度分值+M.可利用度分值),10])×利用度×补丁水平×报告可信度);
Min:比较前后两值,取小者;
M.代表被修正后的分数,若对应项无修改,则为原值。
影响度分值修正得分公式为:
作用域=固定:影响度分值修正分=6.42×ISCModified;
作用域=变化:影响度分值修正分=7.52×(ISCModified-0.029)-3.25×(ISCModified-0.02)^15;
其中:ISCModified=Min(1-[(1-M.机密性影响×M.机密性需求)×(1-M.完整性影响×M.完整性需求)×(1-M.可用性影响×M.可用性需求)],0.915);ISCModified为临时变量;
可利用度分值修正得分公式为:
M.可利用度分值=8.22×M.攻击途径×M.攻击复杂度×M.权限需求×M.用户交互。
举例如下:
用户通过手机上的漏洞扫描工具进行漏洞扫描及CVSS评分的流程如下:
用户输入目标:用户输入一个目标网站的域名;
目标判断:漏洞扫描工具访问用户输入的目标网站,判断输入是否合理,网站是否存在,是则进入下一步,否则要求重新输入;
探索测试:对目标地址进行探索,获取网站架构和路径,开展安全测试;
CVSS评分定级:对测试出的漏洞进行CVSS评分定级;
显示分析结果:将扫描出的漏洞分析结果显示给用户。
本实施例通过上述方案,搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分,由此,通过专用的网络漏洞扫描工具,测试网站安全,并通过预设的漏洞评分系统对扫描出来的漏洞进行打分评测,实现漏洞评分标准的统一化,提升了漏洞检测准确性,并降低了沟通成本。
因为,漏洞扫描器(网络漏洞扫描工具)是每个公司都会去购买的产品,不论是线上还是线下,漏洞扫描器给出的漏洞检测和评级准确与否都会对公司造成最直接的影响;基于CVSS的评分标准在行业内正在普及,当大家对一个漏洞评分有争议时,可以声明这是基于CVSS的得分对漏洞进行定级的,就会消除漏洞提交者和漏洞审核者以及不同厂商对漏洞打分不同的争议。
相比现有技术,本发明实施例方案具有如下优点:
1、可用性强,运算准确,减少人为失误,易用;
2、统一性,采用业界公认的评分标准,各大厂商都会认可这个评分的结果;
3、降低人力成本,安全研究人员们不必再花太多精力纠结在漏洞评级;
4、提高工作效率,节约了时间成本和沟通成本。
需要说明的是,上述评分系统还可以采用其它评分标准替代,此外,可以将漏洞评分标准加入到不同漏洞扫描器中,比如系统、主机等扫描器。
此外,本发明实施例还提出一种漏洞检测装置,所述漏洞检测装置包括:
搜索测试模块,用于搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
评分模块,用于在所述测试结果为所述目标网页存在漏洞时,获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
本实施例实现漏洞检测的原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本发明实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞检测程序,所述漏洞检测程序被所述处理器执行时实现如上述实施例所述的漏洞检测方法的步骤。
由于本漏洞检测程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有漏洞检测程序,所述漏洞检测程序被处理器执行时实现如上述实施例所述的漏洞检测方法的步骤。
由于本漏洞检测程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
相比现有技术,本发明实施例提出的漏洞检测方法、装置、终端设备以及存储介质,通过搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分,由此,通过专用的网络漏洞扫描工具,测试网站安全,并通过预设的漏洞评分系统对扫描出来的漏洞进行打分评测,实现漏洞评分标准的统一化,提升了漏洞检测准确性,并降低了沟通成本。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本发明每个实施例的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (13)
1.一种漏洞检测方法,其特征在于,包括:
搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
2.根据权利要求1所述的漏洞检测方法,其特征在于,所述搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果的步骤包括:
接收用户输入的目标网站的域名;
根据所述目标网站的域名搜索所述目标网站,基于爬虫技术获得所述目标网站的网页应用结构;
对所述目标网站的网页应用结构进行分析,获得目标网页;
对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果。
3.根据权利要求2所述的漏洞检测方法,其特征在于,所述对所述目标网页进行恶意攻击测试,判断所述目标网页是否存在漏洞,获得测试结果的步骤包括:
向所述目标网站发送对所述目标网页进行恶意攻击测试的请求数据包,所述请求数据包中携带对所述目标网页进行恶意攻击的恶意参数;
获取所述目标网站针对所述请求数据包的响应情况,基于所述响应情况判断所述目标网页是否存在漏洞,获得测试结果。
4.根据权利要求3所述的漏洞检测方法,其特征在于,所述获取所述目标网站针对所述请求数据包的响应情况,基于所述响应情况判断所述目标网页是否存在漏洞的步骤包括:
若接收到所述目标网站的响应消息,则判定所述目标网页存在漏洞;或者,若接收到所述目标网站的响应消息,则对所述响应消息进行分析验证,根据分析验证结果判断所述目标网页是否存在漏洞。
5.根据权利要求3所述的漏洞检测方法,其特征在于,所述请求数据包基于预设的扫描规则库设置有多种攻击方式,每一种攻击方式包括相应的对所述目标网页进行恶意攻击的恶意参数。
6.根据权利要求3所述的漏洞检测方法,其特征在于,所述若所述测试结果为所述目标网页存在漏洞,则获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分的步骤包括:
若所述测试结果为所述目标网页存在漏洞,则根据所述目标网页、目标网页的页面参数以及所述请求数据包携带的恶意参数,比对预设的漏洞库,获取所述目标网页的漏洞信息;
将所述漏洞信息输入预设的漏洞评分系统,由所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果。
7.根据权利要求6所述的漏洞检测方法,其特征在于,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤包括:
所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行分析,获取所述漏洞的属性信息,所述属性信息包括漏洞的原始属性;所述漏洞的原始属性包括:所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互、影响范围、机密性影响、完整性影响、可用性影响;
基于所述漏洞的机密性影响、完整性影响、可用性影响,计算得到影响度分值;
基于所述漏洞的攻击途径、攻击复杂度、权限要求、用户交互,计算得到可利用度分值;
基于所述影响度分值和可利用度分值计算得到基础分值,作为所述漏洞的第一评分结果。
8.根据权利要求7所述的漏洞检测方法,其特征在于,所述属性信息还包括漏洞的时间属性,所述漏洞的时间属性包括漏洞的利用度、补丁水平、报告可信度,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤还包括:
基于所述基础分值及所述漏洞的利用度、补丁水平和报告可信度计算得到时间评价分值,作为所述漏洞的第二评分结果。
9.根据权利要求8所述的漏洞检测方法,其特征在于,所述属性信息还包括漏洞的环境属性,所述漏洞评分系统基于预设的评分标准对所述漏洞信息进行评分,得到评分结果的步骤还包括:
基于所述漏洞的环境属性、可利用度分值、影响度分值,以及漏洞的利用度、补丁水平、报告可信度,计算得到环境评价分值,作为所述漏洞的第三评分结果。
10.根据权利要求8所述的漏洞检测方法,其特征在于,所述漏洞检测方法还包括:
将评分得到的结果显示给用户。
11.一种漏洞检测装置,其特征在于,所述漏洞检测装置包括:
搜索测试模块,用于搜索目标网页,对所述目标网页进行恶意攻击测试,得到测试结果;
评分模块,用于在所述测试结果为所述目标网页存在漏洞时,获取所述目标网页的漏洞信息,并通过预设的漏洞评分系统对所述漏洞信息进行评分。
12.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞检测程序,所述漏洞检测程序被所述处理器执行时实现如权利要求1-10中任一项所述的漏洞检测方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有漏洞检测程序,所述漏洞检测程序被处理器执行时实现如权利要求1-10中任一项所述的漏洞检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010085153.6A CN111343154A (zh) | 2020-02-10 | 2020-02-10 | 漏洞检测方法、装置、终端设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010085153.6A CN111343154A (zh) | 2020-02-10 | 2020-02-10 | 漏洞检测方法、装置、终端设备以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111343154A true CN111343154A (zh) | 2020-06-26 |
Family
ID=71181507
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010085153.6A Pending CN111343154A (zh) | 2020-02-10 | 2020-02-10 | 漏洞检测方法、装置、终端设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111343154A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111787024A (zh) * | 2020-07-20 | 2020-10-16 | 浙江军盾信息科技有限公司 | 网络攻击证据的搜集方法、电子装置及存储介质 |
CN112818351A (zh) * | 2021-01-18 | 2021-05-18 | 哈尔滨工业大学(威海) | 一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质 |
CN113254944A (zh) * | 2021-06-08 | 2021-08-13 | 工银科技有限公司 | 漏洞处理方法、系统、电子设备、存储介质及程序产品 |
CN113688398A (zh) * | 2021-08-24 | 2021-11-23 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
CN114666104A (zh) * | 2022-03-09 | 2022-06-24 | 国能信息技术有限公司 | 一种渗透测试方法、系统、计算机设备以及存储介质 |
US20220311798A1 (en) * | 2019-07-19 | 2022-09-29 | Qualys, Inc. | Attack Path and Graph Creation Based on User and System Profiling |
CN116032574A (zh) * | 2022-12-16 | 2023-04-28 | 深圳市网安信科技有限公司 | 一种智能安全运维监测用数据处理系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080025514A1 (en) * | 2006-07-25 | 2008-01-31 | Coombs Jason S | Systems And Methods For Root Certificate Update |
CN106446694A (zh) * | 2016-12-13 | 2017-02-22 | 四川长虹电器股份有限公司 | 一种基于网络爬虫的xss漏洞挖掘系统 |
-
2020
- 2020-02-10 CN CN202010085153.6A patent/CN111343154A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080025514A1 (en) * | 2006-07-25 | 2008-01-31 | Coombs Jason S | Systems And Methods For Root Certificate Update |
CN106446694A (zh) * | 2016-12-13 | 2017-02-22 | 四川长虹电器股份有限公司 | 一种基于网络爬虫的xss漏洞挖掘系统 |
Non-Patent Citations (2)
Title |
---|
HTTP://WWW.SHUZHIDUO.COM/A/GKZ1KJR65R/: "通用漏洞评分方法CVSS3.0", 《HTTP://WWW.SHUZHIDUO.COM/A/GKZ1KJR65R/》 * |
HTTPS://BLOG.CSDN.NET/ITEYE_12675/ARTICLE/DETAILS/82483314?OPS_R: "基于网络爬虫的XSS漏洞检测技术", 《CSDN》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220311798A1 (en) * | 2019-07-19 | 2022-09-29 | Qualys, Inc. | Attack Path and Graph Creation Based on User and System Profiling |
US11968225B2 (en) * | 2019-07-19 | 2024-04-23 | Qualys, Inc. | Attack path and graph creation based on user and system profiling |
CN111787024A (zh) * | 2020-07-20 | 2020-10-16 | 浙江军盾信息科技有限公司 | 网络攻击证据的搜集方法、电子装置及存储介质 |
CN111787024B (zh) * | 2020-07-20 | 2023-08-01 | 杭州安恒信息安全技术有限公司 | 网络攻击证据的搜集方法、电子装置及存储介质 |
CN112818351A (zh) * | 2021-01-18 | 2021-05-18 | 哈尔滨工业大学(威海) | 一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质 |
CN113254944A (zh) * | 2021-06-08 | 2021-08-13 | 工银科技有限公司 | 漏洞处理方法、系统、电子设备、存储介质及程序产品 |
CN113688398A (zh) * | 2021-08-24 | 2021-11-23 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
CN113688398B (zh) * | 2021-08-24 | 2024-04-26 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及系统 |
CN114666104A (zh) * | 2022-03-09 | 2022-06-24 | 国能信息技术有限公司 | 一种渗透测试方法、系统、计算机设备以及存储介质 |
CN116032574A (zh) * | 2022-12-16 | 2023-04-28 | 深圳市网安信科技有限公司 | 一种智能安全运维监测用数据处理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111343154A (zh) | 漏洞检测方法、装置、终端设备以及存储介质 | |
US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
Sulistyowati et al. | Comparative analysis and design of cybersecurity maturity assessment methodology using nist csf, cobit, iso/iec 27002 and pci dss | |
US9215548B2 (en) | Methods and systems for rating privacy risk of applications for smart phones and other mobile platforms | |
US9349015B1 (en) | Programmatically detecting collusion-based security policy violations | |
US9990501B2 (en) | Diagnosing and tracking product vulnerabilities for telecommunication devices via a database | |
Musa Shuaibu et al. | Systematic review of web application security development model | |
CN111259403A (zh) | 渗透测试方法、装置、计算机设备及存储介质 | |
US20150213272A1 (en) | Conjoint vulnerability identifiers | |
CN104135467A (zh) | 识别恶意网站的方法及装置 | |
CA3168223A1 (en) | Method of managing and controlling security vulnerability, device, equipment, and computer-readable medium | |
CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
CN110968874A (zh) | 一种漏洞检测方法、装置、服务器及存储介质 | |
US20230267228A1 (en) | Detection method and apparatus, and non-transitory computer readable storage medium | |
CN114610608A (zh) | 测试用例处理方法、装置、电子设备以及存储介质 | |
JP2019191657A (ja) | 複数組織間の脅威情報共有システム及び方法 | |
CN110874475A (zh) | 漏洞挖掘方法、漏洞挖掘平台及计算机可读存储介质 | |
US20230077289A1 (en) | System for electronic data artifact testing using a hybrid centralized-decentralized computing platform | |
CN113139182A (zh) | 一种在线电商平台的数据入侵检测方法 | |
CN109933990B (zh) | 基于多模式匹配的安全漏洞发现方法、装置及电子设备 | |
CN115361240B (zh) | 一种漏洞确定方法、装置、计算机设备及存储介质 | |
CN113326506A (zh) | 一种小程序监控方法及装置 | |
CN113886216A (zh) | 接口测试和工具配置方法、装置、电子设备和存储介质 | |
Naeem et al. | A framework to determine applications’ authenticity | |
CN113098847B (zh) | 供应链管理方法、系统、存储介质和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200626 |