CN111783096A - 检测安全漏洞的方法和装置 - Google Patents

Abstract

本发明公开了一种检测安全漏洞的方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果；根据漏洞检测函数的插入位置和运行结果确定可疑漏洞；当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求；当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性。该实施方式提高检测安全漏洞的速度和准确度，减少漏报或误报的情况，同时降低部署成本和使用成本。

Description

检测安全漏洞的方法和装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种检测安全漏洞的方法和装置。

背景技术

安全漏洞(security flaw)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。

现有的安全漏洞检测方法主要分为动态测试和静态测试两类，其中：

动态测试是通过访问正在真实运行的应用程序进行测试，将应用程序看成一个黑盒子，通过爬虫、流量监听或者人工收集的方式获取请求，然后在正常请求上增加或替换为攻击代码片段，再根据响应来判断安全漏洞是否存在；

静态测试通过工具对应用程序的源代码进行静态代码扫描，通过特征指纹或者调用关系等技术识别应用程序的安全漏洞。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

1.检测结果的准确性较低、误报率较高，且容易出现漏报的情况；

2.动态测试依赖于待测试接口采集完整度以及攻击代码片段的通用性，还需要结合响应特征才能判断是否存在安全漏洞，实现难度高；

3.静态测试依赖于源代码，且检测结果还需要专业能力较强的人员做进一步复核，人工成本过高且速度较慢。

发明内容

有鉴于此，本发明实施例提供一种检测安全漏洞的方法和装置，能够解决现有技术中存在的问题，提高检测安全漏洞的速度和准确度，减少漏报或误报的情况，同时降低实现难度和使用成本。

为实现上述目的，根据本发明实施例的一个方面，提供了一种检测安全漏洞的方法。

本发明实施例的一种检测安全漏洞的方法包括：

利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果；

根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞；

当所述运行请求是可疑请求时，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，并向所述被检测程序发送所述测试请求；

当所述运行请求是所述测试请求时，基于所述运行请求识别所述可疑漏洞的安全性。

可选地，所述漏洞检测函数包括第一检测函数和第二检测函数；以及

利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果，包括：

运行被检测程序前，在所述被检测程序的字节码中关键方法函数的前后分别插入所述第一检测函数和所述第二检测函数；

利用所述第一检测函数获取所述被检测程序接收的运行请求；

利用所述第二检测函数获取所述关键方法函数的运行结果。

可选地，根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞，包括：

根据所述第一检测函数的插入位置确定目标关键方法函数；

获取与所述目标关键方法函数对应的至少一个已知可疑结果；其中，所述已知可疑结果对应于所述可疑漏洞的类型；

当所述目标关键方法函数的运行结果与任意一个所述已知可疑结果一致时，确定所述目标关键方法函数存在所述可疑漏洞，并基于所述已知可疑结果确定所述可疑漏洞的类型。

可选地，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，包括：

根据所述可疑漏洞的类型将所述运行请求的参数值修改为测试字符串，以构造与所述运行请求对应的测试请求；

为所述测试请求添加唯一特征。

可选地，所述可疑漏洞的安全性包括安全和危险；以及

基于所述运行请求识别所述可疑漏洞的安全性，包括：

查询所述运行请求中是否携带有所述测试字符串；

若有，所述可疑漏洞的安全性为危险，上报所述可疑漏洞；

若无，所述可疑漏洞的安全性为安全。

可选地，根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞之后，还包括：

判断所述运行请求是否携带有所述唯一特征；

若所述运行请求未携带所述唯一特征，则所述运行请求是可疑请求；

若所述运行请求携带有所述唯一特征，则所述运行请求是所述测试请求。

可选地，所述漏洞检测函数是钩子函数。

为实现上述目的，根据本发明实施例的又一方面，提供了一种检测安全漏洞的装置。

本发明实施例的一种检测安全漏洞的装置包括：

获取模块，用于利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果；

确定模块，用于根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞；

构造模块，用于在所述运行请求是可疑请求时，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，并向所述被检测程序发送所述测试请求；

查询模块，用于在所述运行请求是所述测试请求时，基于所述运行请求识别所述可疑漏洞的安全性。

可选地，所述漏洞检测函数包括第一检测函数和第二检测函数；以及

所述获取模块还用于：

运行被检测程序前，在所述被检测程序的字节码中关键方法函数的前后分别插入所述第一检测函数和所述第二检测函数；

利用所述第一检测函数获取所述被检测程序接收的运行请求；

利用所述第二检测函数获取所述关键方法函数的运行结果。

可选地，所述确定模块还用于：

根据所述第一检测函数的插入位置确定目标关键方法函数；

获取与所述目标关键方法函数对应的至少一个已知可疑结果；其中，所述已知可疑结果对应于所述可疑漏洞的类型；

当所述目标关键方法函数的运行结果与任意一个所述已知可疑结果一致时，确定所述目标关键方法函数存在所述可疑漏洞，并基于所述已知可疑结果确定所述可疑漏洞的类型。

可选地，所述构造模块还用于：

根据所述可疑漏洞的类型将所述运行请求的参数值修改为测试字符串，以构造与所述运行请求对应的测试请求；

为所述测试请求添加唯一特征。

可选地，所述可疑漏洞的安全性包括安全和危险；以及

所述查询模块还用于：

查询所述运行请求中是否携带有所述测试字符串；

若有，所述可疑漏洞的安全性为危险，上报所述可疑漏洞；

若无，所述可疑漏洞的安全性为安全。

可选地，还包括判断模块，用于：

判断所述运行请求是否携带有所述唯一特征；

若所述运行请求未携带所述唯一特征，则所述运行请求是可疑请求；

若所述运行请求携带有所述唯一特征，则所述运行请求是所述测试请求。

可选地，所述漏洞检测函数是钩子函数。

为实现上述目的，根据本发明实施例的又一方面，提供了一种检测安全漏洞的电子设备。

本发明实施例的一种检测安全漏洞的电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明实施例的一种检测安全漏洞的方法。

为实现上述目的，根据本发明实施例的再一方面，提供了一种计算机可读存储介质。

本发明实施例的一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例的一种检测安全漏洞的方法。

上述发明中的一个实施例具有如下优点或有益效果：因为采用利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果；根据漏洞检测函数的插入位置和运行结果确定可疑漏洞；当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求；当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性的技术手段，所以克服了检测结果的准确性较低，容易出现漏报和误报的情况；以及动态测试非常依赖待测试接口采集完整度以及攻击代码片段的通用性、静态测试通常依赖于源代码的技术问题，进而达到提高检测安全漏洞的速度和准确度，减少漏报或误报的情况，同时降低实现难度和使用成本的技术效果。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的检测安全漏洞的方法的主要步骤的示意图；

图2是根据本发明一个可参考实施例的检测安全漏洞的方法的检测框架的示意图；

图3是根据本发明一个可参考实施例的检测安全漏洞的方法的插入钩子函数的示意图；

图4是根据本发明一个可参考实施例的检测安全漏洞的方法的主要流程的示意图；

图5是根据本发明实施例的检测安全漏洞的装置的主要模块的示意图；

图6是本发明实施例可以应用于其中的示例性系统架构图；

图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

需要指出的是，在不冲突的情况下，本发明的实施例以及实施例中的技术特征可以相互结合。

本发明实施例提供的检测安全漏洞的方法，基于代码插桩技术和模糊测试(Fuzzing)技术，采用动态扫描与应用内部检测相结合的检测方法，根据不同检测点构造不同的用于进行启发式扫描的测试请求，启发式扫描不同于传统黑盒扫描，对指定漏洞只需要发送一个测试请求，从而弱化扫描对业务造成的影响。代码插桩技术是指在代码特定位置插入用户自定义代码的行为，本领域常用的有面向对象编程语言(Java)代码插桩技术等。Fuzzing技术是通过编写fuzzer工具向目标程序提供某种形式的输入并观察其响应来发现问题，这种输入可以是完全随机的或精心构造的。启发式扫描是指没有攻击或利用被检测程序的代码，仅在向被检测程序发送的请求中携带特定的字符串(即测试字符串)，通过一个测试请求能够检测出多个安全漏洞。

本发明实施例的检测安全漏洞的方法，通过在被检测程序的内部植入检测点(即漏洞检测函数)，获取被检测程序的请求和结果数据(即运行请求和运行结果)，再结合Fuzzing技术基于请求和结果数据构建测试请求，向被检测程序发送该测试请求，并根据被检测程序的过滤结果来判断是否存在安全漏洞。

本发明实施例的检测安全漏洞的方法，结合了现有技术中动态测试和静态测试的优点，同时避免了动态测试和静态测试的缺点，能够提高检测漏洞的速度和准确度，同时降低了部署成本和使用成本，具体地，

相对于动态测试方法，不需要爬虫、流量监听或者人工收集获取检测的相关数据，而是在被检测程序内部插入漏洞检测函数获取相关数据；同时，不需要根据响应特征就能判断安全漏洞是否存在，还可以确定产生安全漏洞的代码位置；

相对于传统静态测试方法，不需要程序源代码，但由于是被检测程序边运行边检测，可以获取更多被检测程序的真实运行信息。

图1是根据本发明实施例的检测安全漏洞的方法的主要步骤的示意图。

如图1所示，本发明实施例的检测安全漏洞的方法主要包括以下步骤：

步骤S101：利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果。

漏洞检测函数是添加在代码中的功能函数，其用于特定处理。

运行结果是指被检测程序中关键方法函数执行后产生的结果，即每个运行结果对应于一个关键方法函数。

运行请求所包含的信息包括但不限于：主机信息(host，包含互联网协议(IP)地址和主机名(Host name)的映射关系)、搜索路径(path，设备可执行文件的搜索路径)、参数名(queryString)或查询数据(postData)等等。

研发人员、测试人员或黑盒扫描器等人员或装置在向被检测程序发起请求时，被检测程序会接收到运行请求，被检测程序根据运行请求执行某些功能后可以得到至少一个运行结果。本发明实施例的检测安全漏洞的方法利用漏洞检测函数从被检测程序的内部收集这些运行请求和运行结果。

此外，利用漏洞检测函数获取到的信息，可以在进行漏洞检测的同时，确定安全漏洞的位置，从而不需要依赖被检测程序的源代码，也不必实时监控被检测程序的代码。

在本发明实施例中，漏洞检测函数包括第一检测函数和第二检测函数；以及步骤S101可以通过以下方式实现：运行被检测程序前，在被检测程序的字节码中关键方法函数的前后分别插入第一检测函数和第二检测函数；利用第一检测函数获取被检测程序接收的运行请求；利用第二检测函数获取关键方法函数的运行结果。

字节码(Byte-code)是一种包含执行程序、由一序列操作码/数据对组成的二进制文件。每个被检测程序的字节码中至少包括一个关键方法函数，本发明实施例的检测安全漏洞的方法中，需要在两类关键方法函数的前后插入漏洞检测函数，一类是请求处理的关键方法函数，该类关键方法函数用于处理被检测程序接收到的运行请求；另一类是容易产生漏洞的关键方法函数。在这两类方法函数之前插入第一检测函数、之后插入第二检测函数，第一检测函数用于获取被检测程序接收到的运行请求，第二检测函数用于获取关键方法函数的运行结果。

需要说明的是，可以预先对被检测程序的字节码进行分析，以确定出哪些关键方法函数是需要插入漏洞检测函数的，在对被检测程序进行检测时利用某些方法函数或代码指令等技术将漏洞检测函数插入指定位置。

漏洞检测函数可以是钩子函数等用于收集信息的功能函数。在本发明实施例中，漏洞检测函数可以是钩子函数。钩子函数是在被检测程序运行前添加到被检测程序的字节码中的功能函数，其用于特定处理(即在被检测程序的内部收集运行请求和运行结果等信息)。此外，若选用钩子函数作为漏洞检测函数，则第一检测函数是第一钩子函数、第二检测函数是第二钩子函数。

步骤S102：根据漏洞检测函数的插入位置和运行结果确定可疑漏洞。

通过运行请求经过钩子函数的插入位置和关键方法函数的运行结果，可以初步判断出该插入位置所对应的关键方法函数是否存在的漏洞(即可疑漏洞)。

在本发明实施例中，步骤S102可以通过以下方式实现：根据第一检测函数的插入位置确定目标关键方法函数；获取与目标关键方法函数对应的至少一个已知可疑结果；当目标关键方法函数的运行结果与任意一个已知可疑结果一致时，确定目标关键方法函数存在可疑漏洞，并基于已知可疑结果确定可疑漏洞的类型。

每个关键方法函数可能存在的每类安全漏洞都对应有一种已知可疑结果，该已知可疑结果可以根据历史数据预先得到。由于每个漏洞检测函数对应于一个关键方法函数，可以根据漏洞检测函数的插入位置知道当前的方法函数具体是哪一方法函数(即目标关键方法函数)，在确定可疑漏洞时，如果目标关键方法函数的运行结果能够和与其对应的已知可疑结果中的任意一个相匹配(即一致)，则表示目标关键方法函数的代码中存在可疑漏洞，基于与运行结果一致的已知可疑结果则可以进一步确定出可疑漏洞的类型；如果目标关键方法函数的运行结果和与其对应的已知可疑结果都不匹配(即不一致)，则表示目标关键方法函数不存在可疑漏洞。

每个关键方法函数所对应的已知可疑结果与可疑漏洞的类型一一对应。可疑漏洞的类型可以包括SQL注入漏洞、服务器端请求伪造漏洞(SSRF)、跨站脚本漏洞、HTTP报头追踪漏洞、Struts2远程命令执行漏洞、框架钓鱼漏洞、文件上传漏洞、应用程序测试脚本泄露、应用程序测试脚本泄露、私有IP地址泄露漏洞或敏感信息泄露漏洞等等。其中，结构化查询语言(SQL)注入漏洞是发生在应用程序的数据库层上的安全漏洞，被广泛用于非法获取网站控制权。服务器端请求伪造漏洞是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。跨站脚本漏洞发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。HTTP报头追踪漏洞用于欺骗合法用户并得到他们的私人信息。Struts2远程命令执行漏洞是指开放源代码架构(Apache Struts)的输入过滤错误，在遇到转换错误时可被利用注入和执行任意Java代码。框架钓鱼漏洞是针对IE浏览器(InternetExplorer)攻击的一种，这种攻击导致Internet Explorer不检查结果框架的目的网站，因而允许任意代码跨框架存取。文件上传漏洞是指可通过网络访问的目录上传任意文件，包括网站后门文件(webshell)，进而远程控制网站服务器。应用程序测试脚本泄露被用于以网络进程权限在系统上查看任意文件内容。私有IP地址泄露漏洞被用于获取用户的IP地址。敏感信息泄露漏洞被用于获取敏感信息。

本发明实施例的检测安全漏洞的方法中，测试请求可以通过启发式扫描的方式构造，通过启发式扫描的方式，可以在降低请求发送数量的同时降低安全漏洞的判断难度，构造并发送启发式的测试请求的过程即称为启发式扫描。由于利用启发式的测试请求进行检测，对于被检测程序，启发式的测试请求会被认定为外部发来的请求，即被检测程序接收到的运行请求有可能是用于检测安全漏洞的测试请求，因此，在获取到被检测程序接收的运行请求后先判断运行请求是不是测试请求。

在本发明实施例中，判断运行请求是否携带有唯一特征；若运行请求未携带唯一特征，则运行请求是可疑请求；若运行请求携带有唯一特征，则运行请求是测试请求。

需要说明的是，唯一特征是在测试请求中添加的一种标识，用于与被检测程序接收的其它信息进行区分。以及被检测程序在正常运行时接收的请求有三种，即外部发来的正常请求、外部发来的可疑请求(可能存在漏洞才会接收到可疑请求)和用于检测的测试请求，当接收到可疑请求和测试请求时表示被检测程序可能存在漏洞，而正常请求是外界与被检测程序的正常交互，本发明实施例的检测安全漏洞的方法不需要对其进行处理或分析。

步骤S103：当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求。

如果发现了可疑漏洞，且该可疑漏洞所对应的运行请求不是测试请求，则需要对对被检测程序进行检测，以及时修复安全漏洞或排除可疑漏洞，可以利用该运行请求和该可疑漏洞的类型来构造测试请求，该测试请求用于对被检测程序进行检测。

在本发明实施例中，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求可以采用以下方式实现：根据可疑漏洞的类型将运行请求的参数值修改为测试字符串，以构造与运行请求对应的测试请求；为测试请求添加唯一特征。

构造测试请求是将运行请求的某个或几个参数的值修改为测试字符串，例如，将运行请求的host、path、queryString或postData的值修改为测试字符串。该测试字符串可以是任意字段、地址、标志字符或二进制块等，且每个测试字符串对应于一种类型的可疑漏洞。构造出测试请求后，可以在测试请求的超文本传输协议(HTTP)头部添加自定义的唯一特征，其中，该唯一特征可以通过字符串标记生成类(java.util.UUID)生成，也可以采用其它公知的方式为测试请求生成唯一特征，且该唯一特征还可以添加在其它位置。

步骤S104：当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性。

本发明实施例的检测安全漏洞的方法，以发送请求的方式向被检测程序发送测试请求，根据到达第一检测函数的插入位置的运行请求的内容，可以识别出插入位置对应的可疑漏洞是否为安全漏洞(即确认可疑漏洞的安全性)。

由于以发送请求的方式向被检测程序发送测试请求，且在测试请求中携带了测试字符串，因此，判断安全漏洞是否存在的依据可以是：启发式的测试请求中测试字符串是否被过滤，即是否直接出现在漏洞检测函数的插入位置。具体地，如果运行请求中携带有测试字符串，则可疑漏洞是安全漏洞，需要上报；如果运行请求中未携带测试字符串，则可疑漏洞不是安全漏洞，不需要上报。

在本发明实施例中，基于运行请求识别可疑漏洞的安全性可以采用以下方式实现：查询运行请求中是否携带有测试字符串；若有，可疑漏洞的安全性为危险，上报可疑漏洞；若无，可疑漏洞的安全性为安全。

根据本发明实施例的检测安全漏洞的方法可以看出，因为采用利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果；根据漏洞检测函数的插入位置和运行结果确定可疑漏洞；当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求；当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性的技术手段，所以克服了检测结果的准确性较低，容易出现漏报和误报的情况；以及动态测试非常依赖待测试接口采集完整度以及攻击代码片段的通用性、静态测试通常依赖于源代码的技术问题，进而达到提高检测安全漏洞的速度和准确度，减少漏报或误报的情况，同时降低实现难度和使用成本的技术效果。

图2是根据本发明一个可参考实施例的检测安全漏洞的方法的检测框架的示意图。

如图2所示，该检测框架主要包括请求获取单元、漏洞检测单元、动态Fuzzing单元和漏洞上报单元，能够实现本发明实施例的检测安全漏洞的方法。

其中，请求获取单元、漏洞检测单元和漏洞上报单元与被检测程序运行在同一进程空间内。动态Fuzzing单元为独立运行的子进程，与被检测程序不在同一进程空间，且通过进程间通讯与请求获取单元、漏洞检测单元和漏洞上报单元交换信息。以及请求获取单元和漏洞检测单元可以在被检测程序启动后设置于被检测程序的内部，动态Fuzzing单元和漏洞上报单元可以设置于被检测程序的外部。选用钩子函数作为漏洞检测函数，第一检测函数是第一钩子函数、第二检测函数是第二钩子函数。

请求获取单元可以通过第一钩子函数从被检测程序的内部收集运行请求、通过第二钩子函数获取关键方法函数的运行结果。

漏洞检测单元对第一钩子函数收集的运行请求进行判断，判断运行请求是否为测试请求：

若是，可以根据测试请求(即运行请求)中携带的测试字符串是否被过滤掉来确定是否存在安全漏洞，即如果运行请求中携带有测试字符串，则可疑漏洞的安全性为危险，可疑漏洞是安全漏洞；如果运行请求中未携带测试字符串，则可疑漏洞的安全性为安全，可疑漏洞不是安全漏洞；

若不是，可以根据运行请求经过第一钩子函数的插入位置和关键方法函数的运行结果，初步判断出可能存在漏洞的代码位置，即发现可疑漏洞。

漏洞上报单元可以通过进程间通讯，将漏洞检测单元发现的可疑漏洞发送给动态Fuzzing单元；或将漏洞检测单元得出的漏洞检测结果(即可疑漏洞的安全性)上报给分析、处理或存储漏洞信息的部门。

动态Fuzzing单元接收到漏洞上报单元发送的可疑漏洞后，根据运行请求和可疑漏洞的类型构造针对性的测试请求，该构造好的测试请求将用于发起动态Fuzzing测试。

图3是根据本发明一个可参考实施例的检测安全漏洞的方法的插入钩子函数的示意图。

如图3所示，选用钩子函数作为漏洞检测函数，则第一检测函数为第一钩子函数(hook 1)、第二检测函数为第二钩子函数(hook 2)。通过在被检测程序的字节码中，关键方法函数之前插入hook 1，hook 1用于获取被检测程序接收到的运行请求，在关键方法函数之后插入hook 2，hook 2用于获取关键方法函数的运行结果。

通过hook 1和hook 2实现运行请求和运行结果的获取，进而实现检测安全漏洞的逻辑。

图4是根据本发明一个可参考实施例的检测安全漏洞的方法的主要流程的示意图。

如图4所示，当本发明实施例的检测安全漏洞的方法应用于图2所示的检测框架时，假设漏洞检测函数是钩子函数，则第一检测函数为第一钩子函数(hook 1)、第二检测函数为第二钩子函数(hook 2)，则本发明实施例的检测安全漏洞的方法的主要流程包括:

步骤S401：运行被检测程序：

由于步骤S402需要在被检测程序启动后且运行前(即premain阶段)修改Java字节码，可以在启动命令行指定Java字节码的修改位置；

步骤S402：初始化检测框架：

在被检测程序运行进入装置代码时，先得用复刻(fork)函数创建出子进程，子进程用于启动外部的动态Fuzzing单元，再向被检测程序的字节码中关键方法函数的前后插入hook 1和hook 2。

其中，包括但不限于使用premain()函数作为装置运行的起始点，premain()函数的功能是程序运行前加载；

插入hook 1和hook 2可以但不限于在premain()函数执行阶段实现java.lang.instrument.ClassFileTransformer接口，该java.lang.instrument.ClassFileTransformer接口能够获取Java字节码，并对Java字节码进行一次修改；

需要在两类关键方法函数的前后插入hook 1和hook 2，hook 1用于获取被检测程序接收到的运行请求，hook 2用于获取关键方法函数的运行结果，两类关键方法函数分别是

一类是请求处理的关键方法函数，在小型应用程序容器(tomcat)中可以但不限于通过hook apache.catalina.connector.CoyoteAdapter.serv ice()函数实现，在其他Java服务容器中也可以通过类似的方式实现；

另一类容易产生漏洞的关键方法函数，可以但不限于通过以下函数实现：java.io.FileInputStream()、java.io.ObjectInputStream.resolveCla ss或com.mysql.jdbc.PreparedStatement等；

步骤S403：通过请求获取单元获取并记录运行请求及其对应的运行结果，同时通过漏洞检测单元发现可疑漏洞：

用户的请求数据(即运行请求)首先经过请求获取单元，其中，运行请求的发起方包括但不限于研发人员、测试人员、黑盒扫描器等人员或装置；

请求获取单元通过hook1从被检测程序的内部收集运行请求、通过hook2获取运行请求对应的运行结果；

运行请求包括但不限于host、path、queryString或postData等信息，该信息可以保存在当前进程空间内，以便可供后续步骤使用，在本次请求处理完成后可以将其销毁；

漏洞检测单元通过运行请求经过hook1的插入位置和请求单元记录的运行结果来初步判断可能存在漏洞的代码位置，并确定可疑漏洞的类型；

漏洞上报单元通过进程间通讯将可疑漏洞的类型和代码位置以及对应的运行请求发送给动态Fuzzing单元；

步骤S404：判断漏洞上报单元发来的可疑漏洞对应的运行请求是否来自于动态Fuzzing单元的测试请求：

根据步骤S403中请求获取单元记录的运行请求判断该次请求是否为动态Fuzzing单元的一次检测，判断方法可以基于动态Fuzzing模块在测试请求的HTTP头部添加自定义的唯一特征的方式实现。其中，Http头部自动自定义唯一特征实现方式包括但不限于使用java.util.UUID生成；

如果判断该次请求是来自于动态Fuzzing单元，则进入步骤S406；

如果判断该次请求不是来自于动态Fuzzing单元，则进入步骤S405；

步骤S405：根据运行请求和可疑漏洞的类型构造测试请求，并进行动态Fuzzing测试：

动态Fuzzing单元接收到漏洞上报单元发送的信息后，根据运行请求和可疑漏洞的类型针对性的构造测试请求；

其中，构造测试请求可以通过启发式扫描的方式构造，且测试请求构造和可疑漏洞的类型有关，例如，SQL注入漏洞对应的测试字符串包括但不限于“1or‘1’＝‘1#”--”，SSRF对应的测试字符串包括但不限于“https://erp.***.com”；

构造的测试请求将用于动态Fuzzing单元发起的对被检测程序的动态Fuzzing测试；

另外，构造的测试请求可以在HTTP头部添加自定义的唯一特征，该唯一特征通过动态Fuzzing测试步骤，在下一次被hook1从被检测程序的内部获取到，并用于判断可疑漏洞是否为安全漏洞的辅助依据；该步骤完成后可以结束本次检测流程。

步骤S406：漏洞检测单元获取来自动态Fuzzing测试的测试请求，判断安全漏洞是否存在：

从步骤S403中获取的运行请求(此时就是测试请求)，结合步骤S405中添加的测试字符串，综合判断可疑漏洞是否为安全漏洞(即可疑漏洞的安全性)，例如测试字符串“1or‘1’＝‘1#“--”直接出现在prepareStatement()函数处，则确定该prepareStatement()函数处存在SQL注入漏洞；测试字符串“https://erp.***.com”直接出现在HttpUrl类的parse()函数处，则确定该parse()函数处存在SSRF。

步骤S407：上报漏洞检测结果：

步骤S406中的漏洞检测结果(即可疑漏洞的安全性)和步骤S403中的运行请求(即可疑请求)，通过漏洞上报单元上报给分析、处理或存储漏洞信息的部门，例如漏洞信息存储单元。

图5是根据本发明实施例的检测安全漏洞的装置的主要模块的示意图。

如图5所示，本发明实施例的检测安全漏洞的装置500包括：获取模块501、确定模块502、构造模块503和查询模块504。

其中，

获取模块501，用于利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果；

确定模块502，用于根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞；

构造模块503，用于在所述运行请求是可疑请求时，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，并向所述被检测程序发送所述测试请求；

查询模块504，用于在所述运行请求是所述测试请求时，基于所述运行请求识别所述可疑漏洞的安全性。

所述漏洞检测函数可以包括第一检测函数和第二检测函数。

在本发明实施例中，所述获取模块501还可以用于：

运行被检测程序前，在所述被检测程序的字节码中关键方法函数的前后分别插入所述第一检测函数和所述第二检测函数；

利用所述第一检测函数获取所述被检测程序接收的运行请求；

利用所述第二检测函数获取所述关键方法函数的运行结果。

在本发明实施例中，所述确定模块502还可以用于：

根据所述第一检测函数的插入位置确定目标关键方法函数；

获取与所述目标关键方法函数对应的至少一个已知可疑结果；其中，所述已知可疑结果对应于所述可疑漏洞的类型；

当所述目标关键方法函数的运行结果与任意一个所述已知可疑结果一致时，确定所述目标关键方法函数存在所述可疑漏洞，并基于所述已知可疑结果确定所述可疑漏洞的类型。

在本发明实施例中，所述构造模块503还可以用于：

根据所述可疑漏洞的类型将所述运行请求的参数值修改为测试字符串，以构造与所述运行请求对应的测试请求；

为所述测试请求添加唯一特征。

所述可疑漏洞的安全性可以包括安全和危险。

在本发明实施例中，所述查询模块504还可以用于：

查询所述运行请求中是否携带有所述测试字符串；

若有，所述可疑漏洞的安全性为危险，上报所述可疑漏洞；

若无，所述可疑漏洞的安全性为安全。

此外，本发明实施例的检测安全漏洞的装置500还可以包括判断模块(图中并未示出)，用于：

判断所述运行请求是否携带有所述唯一特征；

若所述运行请求未携带所述唯一特征，则所述运行请求是可疑请求；

若所述运行请求携带有所述唯一特征，则所述运行请求是所述测试请求。

此外，所述漏洞检测函数可以是钩子函数。

根据本发明实施例的检测安全漏洞的装置可以看出，因为采用利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果；根据漏洞检测函数的插入位置和运行结果确定可疑漏洞；当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求；当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性的技术手段，所以克服了检测结果的准确性较低，容易出现漏报和误报的情况；以及动态测试非常依赖待测试接口采集完整度以及攻击代码片段的通用性、静态测试通常依赖于源代码的技术问题，进而达到提高检测安全漏洞的速度和准确度，减少漏报或误报的情况，同时降低实现难度和使用成本的技术效果。

图6示出了可以应用本发明实施例的检测安全漏洞的方法或检测安全漏洞的装置的示例性系统架构600。

如图6所示，系统架构600可以包括终端设备601、602、603，网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备601、602、603通过网络604与服务器605交互，以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器605可以是提供各种服务的服务器，例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理，并将处理结果(例如目标推送信息、产品信息)反馈给终端设备。

需要说明的是，本发明实施例所提供的检测安全漏洞的方法一般由服务器605执行，相应地，检测安全漏洞的装置一般设置于服务器605中。

应该理解，图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

下面参考图7，其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，计算机系统700包括中央处理单元(CPU)701，其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中，还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。

以下部件连接至I/O接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括获取模块、确定模块、构造模块和查询模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，获取模块还可以被描述为“利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果的模块”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：步骤S101：利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果；步骤S102：根据漏洞检测函数的插入位置和运行结果确定可疑漏洞；步骤S103：当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求；步骤S104：当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性。

根据本发明实施例的技术方案，因为采用利用被检测程序中的漏洞检测函数获取被检测程序接收的运行请求及其对应的运行结果；根据漏洞检测函数的插入位置和运行结果确定可疑漏洞；当运行请求是可疑请求时，基于运行请求和可疑漏洞的类型构造与运行请求对应的测试请求，并向被检测程序发送测试请求；当运行请求是测试请求时，基于运行请求识别可疑漏洞的安全性的技术手段，所以克服了检测结果的准确性较低，容易出现漏报和误报的情况；以及动态测试非常依赖待测试接口采集完整度以及攻击代码片段的通用性、静态测试通常依赖于源代码的技术问题，进而达到提高检测安全漏洞的速度和准确度，减少漏报或误报的情况，同时降低实现难度和使用成本的技术效果。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (10)

1.一种检测安全漏洞的方法，其特征在于，包括：

利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果；

根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞；

当所述运行请求是可疑请求时，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，并向所述被检测程序发送所述测试请求；

当所述运行请求是所述测试请求时，基于所述运行请求识别所述可疑漏洞的安全性。

2.根据权利要求1所述的方法，其特征在于，所述漏洞检测函数包括第一检测函数和第二检测函数；以及

利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果，包括：

运行被检测程序前，在所述被检测程序的字节码中关键方法函数的前后分别插入所述第一检测函数和所述第二检测函数；

利用所述第一检测函数获取所述被检测程序接收的运行请求；

利用所述第二检测函数获取所述关键方法函数的运行结果。

3.根据权利要求2所述的方法，其特征在于，根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞，包括：

根据所述第一检测函数的插入位置确定目标关键方法函数；

获取与所述目标关键方法函数对应的至少一个已知可疑结果；其中，所述已知可疑结果对应于所述可疑漏洞的类型；

当所述目标关键方法函数的运行结果与任意一个所述已知可疑结果一致时，确定所述目标关键方法函数存在所述可疑漏洞，并基于所述已知可疑结果确定所述可疑漏洞的类型。

4.根据权利要求3所述的方法，其特征在于，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，包括：

根据所述可疑漏洞的类型将所述运行请求的参数值修改为测试字符串，以构造与所述运行请求对应的测试请求；

为所述测试请求添加唯一特征。

5.根据权利要求4所述的方法，其特征在于，所述可疑漏洞的安全性包括安全和危险；以及

基于所述运行请求识别所述可疑漏洞的安全性，包括：

查询所述运行请求中是否携带有所述测试字符串；

若有，所述可疑漏洞的安全性为危险，上报所述可疑漏洞；

若无，所述可疑漏洞的安全性为安全。

6.根据权利要求4所述的方法，其特征在于，根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞之后，还包括：

判断所述运行请求是否携带有所述唯一特征；

若所述运行请求未携带所述唯一特征，则所述运行请求是可疑请求；

若所述运行请求携带有所述唯一特征，则所述运行请求是所述测试请求。

7.根据权利要求1-6中任一所述的方法，其特征在于，所述漏洞检测函数是钩子函数。

8.一种检测安全漏洞的装置，其特征在于，包括：

获取模块，用于利用被检测程序中的漏洞检测函数获取所述被检测程序接收的运行请求及其对应的运行结果；

确定模块，用于根据所述漏洞检测函数的插入位置和所述运行结果确定可疑漏洞；

构造模块，用于在所述运行请求是可疑请求时，基于所述运行请求和所述可疑漏洞的类型构造与所述运行请求对应的测试请求，并向所述被检测程序发送所述测试请求；

查询模块，用于在所述运行请求是所述测试请求时，基于所述运行请求识别所述可疑漏洞的安全性。

9.一种检测安全漏洞的电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。

10.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。

Images