CN113676460B - 一种Web应用漏洞集成扫描方法、系统、电子设备及存储介质 - Google Patents
一种Web应用漏洞集成扫描方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113676460B CN113676460B CN202110860078.0A CN202110860078A CN113676460B CN 113676460 B CN113676460 B CN 113676460B CN 202110860078 A CN202110860078 A CN 202110860078A CN 113676460 B CN113676460 B CN 113676460B
- Authority
- CN
- China
- Prior art keywords
- attack
- scanner
- model
- vulnerability
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种基于攻击意图同步的Web应用漏洞集成扫描方法及系统,其中方法包括:确定待检测漏洞的当前Web应用目标站点;将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。本发明有效提高了Web应用漏洞检测工具在面对不同的检测目标时的稳定性能。
Description
技术领域
本发明涉及Web应用漏洞扫描技术领域,尤其涉及一种Web应用漏洞集成扫描方法及系统。
背景技术
网络应用在信息系统中使用越来越广泛,发生的安全问题也变得越发普遍。在CVE漏洞库中,Web应用漏洞占了绝大多数,其中的一些漏洞一旦被攻击者利用将可能导致严重的后果。如今,许多不同的方法已经被设计并应用于检测和发现网络应用中的安全问题。其中, Web应用漏洞扫描器是最常用的工具之一。
然而,现有扫描器性能差异的问题主要来自于每个扫描器在构建攻击意图时的策略比较单一。每个扫描器的攻击意图构造机制通常是有偏好的设计,在扫描一些类型的Web应用中可能效果很好,但在其他应用中可能效果不佳。更具体地说,问题在于以下两个方面:
(1)在工作周期的第一阶段,由于无法发现更全面的网站内容,很多扫描器的检测性能受到了限制。对所有不同的检测目标只使用一种内容发现策略,不足以探测到更综合深入的攻击面。如果扫描器一开始没有覆盖到相对完整的页面范围,那么后续的流程和漏洞检测过程将受到很大的限制。
以扫描器Arachni为例,当用它直接扫描SEACMS网站时,它只能覆盖整个网站32.76%的内容,只检测到5个漏洞;当提供更全面的网站结构信息给予Arachni协助时,其覆盖率可以达到75.86%,同时可以发现42个安全问题。
(2)在第二阶段,很多扫描器在生成攻击向量时策略十分有限。对于不同的测试目标,只应用一种攻击向量生成机制是不够的。如果扫描器产生的攻击向量能够更加多样化,那么将其组合成有效攻击意图的概率就会更大。
例如,在扫描SchoolMate网站时,ZAP扫描器只能生成129个不同的攻击请求,并检测到2个漏洞。然而,当协助ZAP生成三倍于此的攻击请求时,扫描器就能够检测到该网站的11个漏洞。
由此可见,虽然Web应用的安全问题十分严峻,目前主流的Web 应用漏洞检测工具在面对不同的检测目标时难以有比较稳定的性能表现,受制于攻击面探测性能有限、攻击向量组成策略单一等关键问题。
发明内容
本发明实施例提供一种Web应用漏洞集成扫描方法及系统,用以解决目前Web应用漏洞检测工具在面对不同的检测目标时性能不稳定的问题。
第一方面,本发明实施例提供一种Web应用漏洞集成扫描方法,包括:
确定待检测漏洞的当前Web应用目标站点;
将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;
其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
优选地,所述集成扫描模型包括任一扫描器和实时意图同步模型;
所述将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述扫描模型输出的漏洞检测结果,包括:
将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,基于当前扫描器发出的请求包得到当前扫描器攻击的具体路径和位置;
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果。
优选地,所述实时意图同步模型包括攻击目标匹配模型和意图转换注入模型;
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果,包括:
将所述当前扫描器攻击的具体路径和位置输入至所述攻击目标匹配模型,基于所述同步攻击意图库输出与当前扫描器攻击位置相关的攻击面和攻击向量;
将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型,输出所述漏洞检测结果。
优选地,所述同步攻击意图库包括攻击面集合和攻击向量池;
所述意图转换注入模型包括攻击面同步模型、攻击向量同步模型和响应注入模型;
所述将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型,输出所述漏洞检测结果,包括:
将所述与当前扫描器攻击位置相关的攻击面输入所述攻击面同步模型,输出适于扫描器识别的补充攻击面;
将所述与当前扫描器攻击位置相关的攻击向量输入所述攻击向量同步模型,输出适于扫描器识别的补充攻击向量;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果。
优选地,将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,包括:
将所述任一扫描器对所述当前Web应用目标站点进行扫描时接收到的响应数据包输入所述响应注入模型;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果,包括:
将所述补充攻击面和所述补充攻击向量注入所述响应数据包得到注入后的响应数据包,并基于所述注入后的响应数据包输出所述漏洞检测结果。
优选地,所述与当前扫描器攻击位置相关的攻击面是通过补充站点元数据响应包得到的;
所述与当前扫描器攻击位置相关的攻击向量包括GET型攻击向量和POST型攻击向量;
所述GET型攻击向量是通过所述多个扫描器对所述当前Web应用目标站点进行扫描时发送的GET型请求包提取得到的;
所述POST型攻击向量是通过所述多个扫描器对所述当前Web 应用目标站点进行扫描时发送的POST型请求包提取得到的。
优选地,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的,包括:
依次获取每个扫描器各自对目标站点样本进行独立扫描时发出的请求包;
依次对每个扫描器发出的请求包进行拆分,提取出主机信息和路径信息的组合构成所述请求包对应的攻击面,同时提取出内容信息和路径信息的组合构成所述请求包对应的攻击向量,直至每个扫描器各自对目标站点样本均独立完成一次扫描;
依次将所述请求包对应的攻击面和所述请求包对应的攻击向量收集入攻击意图时,将所述攻击面进行两两比较后去除重复的攻击面后生成攻击面集合,同时基于包括输入点和输入内容在内对应的攻击类型,将新输入点及旧输入点执行新攻击类型的攻击向量保存后生成攻击向量池;
基于所述攻击面集合和所述攻击向量池构建同步攻击意图库后,得到所述集成扫描模型。
第二方面,本发明实施例提供一种Web应用漏洞集成扫描系统,包括:
目标确定单元,用于确定待检测漏洞的当前Web应用目标站点;
集成扫描单元,用于将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;
其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的任一项所述Web应用漏洞集成扫描方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的任一项所述Web应用漏洞集成扫描方法的步骤。
本发明实施例提供的一种Web应用漏洞集成扫描方法及系统,通过将当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果,所述集成扫描模型是通过多个扫描器构建同步攻击意图库生成的,从而解决了现有Web应用漏洞检测工具攻击面探测性能差、攻击向量组成机制单一及漏洞检测性能受目标站点类型影响大的问题。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种Web应用漏洞集成扫描方法的流程示意图;
图2是本发明提供的集成扫描模型框图;
图3是本发明提供的实时意图同步模型框图;
图4是本发明提供的同步攻击意图库的结构示意图;
图5是本发明提供的意图转换注入模型框图;
图6是本发明提供的实时意图同步工作流程图;
图7是本发明提供的一种Web应用漏洞集成扫描系统的结构示意图;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图8描述本发明提供的一种Web应用漏洞集成扫描方法及系统。
本发明实施例提供了一种Web应用漏洞集成扫描方法。图1为本发明实施例提供的Web应用漏洞集成扫描方法的流程示意图,如图1所示,该方法包括:
步骤110,确定待检测漏洞的当前Web应用目标站点;
步骤120,将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;
其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
具体地,本发明首先通过从多个扫描器发送的请求包中提取攻击信息,有效地聚合攻击面和攻击向量,形成同步攻击意图库。
与现有技术相比,本发明实施例提供的方法,通过从多个扫描器发送的请求包中提取攻击信息,有效地聚合攻击面和攻击向量,形成同步攻击意图库,即通过同步不同扫描器构建的攻击意图,使得整体扫描性能可以更加稳健,鲁棒性强,更好地适用于不同的检测目标。
基于上述任一实施例,如图2所示,所述集成扫描模型200包括任一扫描器210和实时意图同步模型220;
所述将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述扫描模型输出的漏洞检测结果,包括:
将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器210进行扫描,基于当前扫描器发出的请求包得到当前扫描器攻击的具体路径和位置;
具体地,使用任一扫描器在本发明方法的框架下对目标站点进行再次扫描。此时,本框架将会监听扫描器发送的请求包,从中抽取出此时工具正在扫描的站点位置。
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型220,基于所述同步攻击意图库输出所述漏洞检测结果。
具体地,本发明设计了运行时意图同步机制,即通过分析扫描器当前的检测点,实时同步相关的攻击意图,从而引导其检测过程,通过上述方式整合不同扫描器探索的攻击面,共享它们产生的攻击向量。
基于上述任一实施例,如图3所示,所述实时意图同步模型300 包括攻击目标匹配模型310和意图转换注入模型320;
具体地,由不同策略构建的有价值的攻击意图都会被精化并存储在同步攻击意图库中,可以根据当前的检测目标,只将相关的攻击意图同步到每个扫描器上,这样的实时同步机制包含两个步骤,即攻击目标匹配和意图转换注入。
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果,包括:
将所述当前扫描器攻击的具体路径和位置输入至所述攻击目标匹配模型310,基于所述同步攻击意图库输出与当前扫描器攻击位置相关的攻击面和攻击向量;
具体地,从同步攻击意图库中查询出与当前目标相关的攻击面和攻击向量,提供给扫描器以辅助其对目标站点进行高效的漏洞挖掘。
将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型320,输出所述漏洞检测结果。
需要说明的是,在集成扫描中,如果把所有的攻击意图同时塞给扫描器,显然效率很低,从而需要进一步考虑每个工具的扫描进度,为对应的扫描器提供它所需要的部分意图。因此,根据当前的检测点,框架会在适当的时候只从库中选择相关的攻击意图。为了估计扫描器的检测点,框架将自动分析发送的请求数据包。
在每个数据包中,主机部分确定了工具希望扫描的站点,而路径部分确定了它要攻击目标的具体部分。因此,框架将根据请求包的主机部分,从同步攻击意图库中获取相关的攻击面信息;同时,可以根据请求包的路径部分从库中获取相关的攻击向量。通过这样的选择,框架可以随着工具的扫描进度实时检索库中的相关意图,从而提高工作效率。
获得了需要提供给扫描器的意图后,框架即会在扫描过程中用这些信息来引导工具。然而,在工作过程中很难直接干预扫描目标,因为整个过程是作为一个闭环工作的。为了使本发明的框架具有足够的可扩展性,可以集成任何扫描器,提出了一种意图注入的方法,用同步攻击意图库中选择的攻击意图来动态地引导扫描器。
基于上述任一实施例,如图4所示,所述同步攻击意图库400包括攻击面集合410和攻击向量池420;
具体地,使用攻击面集合410和攻击向量池420构建同步攻击意图库400。该库包含了所有参与集成的扫描器所构建的有价值的攻击意图,并把它作为后续扫描的同步数据集。
如图5所示,所述意图转换注入模型500包括攻击面同步模型 510、攻击向量同步模型520和响应注入模型530;
所述将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型500,输出所述漏洞检测结果,包括:
将所述与当前扫描器攻击位置相关的攻击面输入所述攻击面同步模型510,输出适于扫描器识别的补充攻击面;
具体地,引导扫描器在内容发现过程中使用同步攻击意图库得到补充攻击面,如图6所示。
将所述与当前扫描器攻击位置相关的攻击向量输入所述攻击向量同步模型520,输出适于扫描器识别的补充攻击向量;
具体地,引导扫描器利用同步攻击意图库的攻击向量得到补充攻击向量,如图6所示,即将攻击向量转换为扫描器能够识别的格式,并注入到响应数据包中。
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型 530,输出所述漏洞检测结果。
具体地,本发明的集成框架根据当前攻击目标获得相关的攻击意图后,利用页面信息注入机制,并使用共享的攻击意图来引导扫描器充分利用其他工具探索得到的攻击面和生成的攻击向量,从而实现集成扫描。
基于上述任一实施例,将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,包括:
将所述任一扫描器对所述当前Web应用目标站点进行扫描时接收到的响应数据包输入所述响应注入模型;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果,包括:
将所述补充攻击面和所述补充攻击向量注入所述响应数据包得到注入后的响应数据包,并基于所述注入后的响应数据包输出所述漏洞检测结果。
具体地,通过将信息转换为扫描器可以识别的页面元素并注入到响应包内,扫描器即可捕获识别补充的攻击意图信息,从而进一步在其他工具的基础上探索和变异得到更有效、更多样的攻击意图,最终增强漏洞的检测效果和能力。
基于上述任一实施例,所述与当前扫描器攻击位置相关的攻击面是通过补充站点元数据响应包得到的;
具体地,一个网站的元数据通常存储在robots.txt、sitemap.xml 等文件中,以一种特定格式化的文本来提供网站结构的信息。扫描器在进行内容发现时,往往先请求网站元数据作为种子信息来辅助整个过程。因此,可以在这些元数据文件中注入攻击面,以指导扫描器的内容发现过程。
所述与当前扫描器攻击位置相关的攻击向量包括GET型攻击向量和POST型攻击向量;
所述GET型攻击向量是通过所述多个扫描器对所述当前Web应用目标站点进行扫描时发送的GET型请求包提取得到的;
所述POST型攻击向量是通过所述多个扫描器对所述当前Web 应用目标站点进行扫描时发送的POST型请求包提取得到的。
具体来说,将相关的攻击向量按照请求方式分为两部分,GET 型和POST型。GET型请求将参数的名称和值放在链接中。在HTML 规范中,一个“href”元素可以在页面上放置一个链接。POST类型的请求可以通过表单发送,其参数将是该表单的字段。基于HTML标准,“form”元素可以在网页上存储此类信息。因此,对于每一个使用 GET请求方式的攻击向量,框架将读取输入点和输入内容来构造一个“href”元素。对于使用POST请求方式的攻击向量,框架将构造一个“form”元素。然后将这些构造的元素注入到响应包中,并转发给扫描器。由这些攻击向量转换而来的构造元素包含了攻击的细节,同时可以被所有的扫描器很好地识别。这样一来,每个基础扫描器都可以通过触发这些注入的元素来共享和发送其他扫描器产生的攻击向量,而且还可以对这些元素进行变异以构建更复杂的攻击请求。
基于上述任一实施例,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的,包括:
依次获取每个扫描器各自对目标站点样本进行独立扫描时发出的请求包;
依次对每个扫描器发出的请求包进行拆分,提取出主机信息和路径信息的组合构成所述请求包对应的攻击面,同时提取出内容信息和路径信息的组合构成所述请求包对应的攻击向量,直至每个扫描器各自对目标站点样本均独立完成一次扫描;
具体地,配置各扫描器的外部代理为本发明方法的框架地址,使得请求流量流经本框架进行进一步的捕获和处理。
在捕获到扫描器请求包后,框架随即对请求包进行拆分和处理,将其主机信息和路径信息提取出来,形成该请求包所对应的攻击面;同时将请求包的内容部分和路径部分组合提取出来,形成该请求包对应的攻击向量。
重复上述过程,直至所有参与集成的扫描器均对目标站点独立地完成一次扫描,从而收集不同策略下扫描器针对目标站点生成的攻击意图。
依次将所述请求包对应的攻击面和所述请求包对应的攻击向量收集入攻击意图时,将所述攻击面进行两两比较后去除重复的攻击面后生成攻击面集合,同时基于包括输入点和输入内容在内对应的攻击类型,将新输入点及旧输入点执行新攻击类型的攻击向量保存后生成攻击向量池;
具体地,收集攻击意图中,存在许多重复的攻击面,以及无效的攻击向量。为了保证后续同步攻击意图的效率,需要设计机制简并站点的攻击面,减少无效重复的攻击向量。本发明方法提出了意图精化算法,将提取出的攻击面两两比较,去除重复存储的攻击面,最终形成一份完整的站点攻击面列表;迭代提取出的攻击向量,判断其中所包含的输入点以及输入内容所对应的攻击类型,将所有探索到新输入点,以及在旧有输入点上执行新类型攻击的向量保留下来,从而可以提取出较全面的站点攻击入口及信息。
基于所述攻击面集合和所述攻击向量池构建同步攻击意图库后,得到所述集成扫描模型。
具体地,使用多个扫描器单独工作,对目标站点进行扫描,捕获并提取扫描请求包中各扫描器生成的攻击意图。通过解析请求包的主机、路径和内容,抽取请求包中包含的攻击面和攻击向量,并迭代更新形成攻击意图库,以备后续使用。同时提出了攻击意图精化算法,即在各扫描器扫描结束后,进一步合并构建总体站点的攻击面,并排除无效重复的攻击向量,最终形成精简且有效的同步攻击意图库。
下面对本发明提供的一种Web应用漏洞集成扫描系统进行描述,下文描述的与上文描述的一种Web应用漏洞集成扫描方法可相互对应参照。
图7为本发明实施例提供的Web应用漏洞集成扫描系统的结构示意图,如图7所示,该系统包括目标确定单元710和集成扫描单元 720;
所述目标确定单元710,用于确定待检测漏洞的当前Web应用目标站点;
所述集成扫描单元720,用于将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;
其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
与现有技术相比,本发明实施例提供的系统,通过从多个扫描器发送的请求包中提取攻击信息,有效地聚合攻击面和攻击向量,形成同步攻击意图库,即通过同步不同扫描器构建的攻击意图,使得整体扫描性能可以更加稳健,鲁棒性强,更好地适用于不同的检测目标。
基于上述任一实施例,所述集成扫描单元包括任一扫描器和实时意图同步模块;
所述任一扫描器,用于对所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,基于当前扫描器发出的请求包得到当前扫描器攻击的具体路径和位置;
所述实时意图同步模块,用于输入所述当前扫描器攻击的具体路径和位置,基于所述同步攻击意图库输出所述漏洞检测结果。
基于上述任一实施例,所述实时意图同步模块包括攻击目标匹配模块和意图转换注入模块;
所述攻击目标匹配模块,用于输入所述当前扫描器攻击的具体路径和位置,并基于所述同步攻击意图库输出与当前扫描器攻击位置相关的攻击面和攻击向量;
所述意图转换注入模块,用于输入所述与当前扫描器攻击位置相关的攻击面和攻击向量,输出所述漏洞检测结果。
基于上述任一实施例,所述同步攻击意图库包括攻击面集合和攻击向量池;
所述意图转换注入模块包括攻击面同步模块、攻击向量同步模块和响应注入模块;
所述攻击面同步模块,用于输入所述与当前扫描器攻击位置相关的攻击面,输出适于扫描器识别的补充攻击面;
所述攻击向量同步模块,用于输入所述与当前扫描器攻击位置相关的攻击向量,输出适于扫描器识别的补充攻击向量;
所述响应注入模块,用于输入所述补充攻击面和所述补充攻击向量,输出所述漏洞检测结果。
基于上述任一实施例,将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,包括:将所述任一扫描器对所述当前Web应用目标站点进行扫描时接收到的响应数据包输入所述响应注入模块;
所述响应注入模块,具体用于将所述补充攻击面和所述补充攻击向量注入所述响应数据包得到注入后的响应数据包,并基于所述注入后的响应数据包输出所述漏洞检测结果。
基于上述任一实施例,所述与当前扫描器攻击位置相关的攻击面是通过补充站点元数据响应包得到的;
所述与当前扫描器攻击位置相关的攻击向量包括GET型攻击向量和POST型攻击向量;
所述GET型攻击向量是通过所述多个扫描器对所述当前Web应用目标站点进行扫描时发送的GET型请求包提取得到的;
所述POST型攻击向量是通过所述多个扫描器对所述当前Web 应用目标站点进行扫描时发送的POST型请求包提取得到的。
基于上述任一实施例,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的,包括:
依次获取每个扫描器各自对目标站点样本进行独立扫描时发出的请求包;
依次对每个扫描器发出的请求包进行拆分,提取出主机信息和路径信息的组合构成所述请求包对应的攻击面,同时提取出内容信息和路径信息的组合构成所述请求包对应的攻击向量,直至每个扫描器各自对目标站点样本均独立完成一次扫描;
依次将所述请求包对应的攻击面和所述请求包对应的攻击向量收集入攻击意图时,将所述攻击面进行两两比较后去除重复的攻击面后生成攻击面集合,同时基于包括输入点和输入内容在内对应的攻击类型,将新输入点及旧输入点执行新攻击类型的攻击向量保存后生成攻击向量池;
基于所述攻击面集合和所述攻击向量池构建同步攻击意图库后,得到所述集成扫描模型。
综上,本发明实施例可以从同步攻击意图库中同步所需的攻击意图,并在合适的时间发送给扫描器,从而每个扫描器可以根据自己当前的需求共享其他扫描器的攻击信息。因此,本发明运行时同步机制可以扩大攻击面,增加生成的攻击向量的多样性,从而克服了现有扫描器的局限性,在Web应用程序的复杂性漏洞检测效果上体现出显著优势,即为多样化的Web应用提供了鲁棒性更强、检测效果更稳定的集成扫描框架。通过融合多种扫描器生成攻击意图的策略,可以充分发挥各扫描器面对不同目标时生成策略的优势,大大提升了Web 应用漏洞扫描器的效果,解决了单一扫描器面对不同类型Web应用时漏洞检测能力差异较大,性能表现不佳等问题。同时通过中间人代理的方式实现多个扫描器的融合,无需修改原始的扫描器工具,通过直接对网络代理进行配置即可实现集成扫描,使得本发明方法及系统具有一定普适性。
图8为本发明实施例提供的电子设备的结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口 (Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行Web应用漏洞集成扫描方法,该方法包括:确定待检测漏洞的当前Web应用目标站点;将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的Web应用漏洞集成扫描方法,该方法包括:确定待检测漏洞的当前Web应用目标站点;将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的Web应用漏洞集成扫描方法,该方法包括:确定待检测漏洞的当前Web应用目标站点;将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种Web应用漏洞集成扫描方法,其特征在于,包括:
确定待检测漏洞的当前Web应用目标站点;
将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;
其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的;
所述同步攻击意图库包括攻击面集合和攻击向量池;
所述集成扫描模型包括任一扫描器和实时意图同步模型;
所述实时意图同步模型包括攻击目标匹配模型和意图转换注入模型;
所述意图转换注入模型包括攻击面同步模型、攻击向量同步模型和响应注入模型;
所述将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述扫描模型输出的漏洞检测结果,包括:
将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,基于当前扫描器发出的请求包得到当前扫描器攻击的具体路径和位置;
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果;
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果,包括:
将所述当前扫描器攻击的具体路径和位置输入至所述攻击目标匹配模型,基于所述同步攻击意图库输出与当前扫描器攻击位置相关的攻击面和攻击向量;
将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型,输出所述漏洞检测结果;
所述将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型,输出所述漏洞检测结果,包括:
将所述与当前扫描器攻击位置相关的攻击面输入所述攻击面同步模型,输出适于扫描器识别的补充攻击面;
将所述与当前扫描器攻击位置相关的攻击向量输入所述攻击向量同步模型,输出适于扫描器识别的补充攻击向量;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果;
将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,包括:
将所述任一扫描器对所述当前Web应用目标站点进行扫描时接收到的响应数据包输入所述响应注入模型;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果,包括:
将所述补充攻击面和所述补充攻击向量注入所述响应数据包得到注入后的响应数据包,并基于所述注入后的响应数据包输出所述漏洞检测结果。
2.据权利要求1所述的Web应用漏洞集成扫描方法,其特征在于,所述与当前扫描器攻击位置相关的攻击面是通过补充站点元数据响应包得到的;
所述与当前扫描器攻击位置相关的攻击向量包括GET型攻击向量和POST型攻击向量;
所述GET型攻击向量是通过所述多个扫描器对所述当前Web应用目标站点进行扫描时发送的GET型请求包提取得到的;
所述POST型攻击向量是通过所述多个扫描器对所述当前Web应用目标站点进行扫描时发送的POST型请求包提取得到的。
3.根据权利要求1所述的Web应用漏洞集成扫描方法,其特征在于,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的,包括:
依次获取每个扫描器各自对目标站点样本进行独立扫描时发出的请求包;
依次对每个扫描器发出的请求包进行拆分,提取出主机信息和路径信息的组合构成所述请求包对应的攻击面,同时提取出内容信息和路径信息的组合构成所述请求包对应的攻击向量,直至每个扫描器各自对目标站点样本均独立完成一次扫描;
依次将所述请求包对应的攻击面和所述请求包对应的攻击向量收集入攻击意图时,将所述攻击面进行两两比较后去除重复的攻击面后生成攻击面集合,同时基于包括输入点和输入内容在内对应的攻击类型,将新输入点及旧输入点执行新攻击类型的攻击向量保存后生成攻击向量池;
基于所述攻击面集合和所述攻击向量池构建同步攻击意图库后,得到所述集成扫描模型。
4.一种Web应用漏洞集成扫描系统,其特征在于,包括:
目标确定单元, 用于确定待检测漏洞的当前Web应用目标站点;
集成扫描单元,用于将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述集成扫描模型输出的漏洞检测结果;
其中,所述集成扫描模型是基于多个扫描器各自对目标站点样本进行独立扫描后生成的同步攻击意图库得到的;
所述同步攻击意图库包括攻击面集合和攻击向量池;
所述集成扫描模型包括任一扫描器和实时意图同步模型;
所述实时意图同步模型包括攻击目标匹配模型和意图转换注入模型;
所述意图转换注入模型包括攻击面同步模型、攻击向量同步模型和响应注入模型;
所述将所述待检测漏洞的当前Web应用目标站点输入至集成扫描模型中,得到所述扫描模型输出的漏洞检测结果,包括:
将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,基于当前扫描器发出的请求包得到当前扫描器攻击的具体路径和位置;
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果;
将所述当前扫描器攻击的具体路径和位置输入至所述实时意图同步模型,基于所述同步攻击意图库输出所述漏洞检测结果,包括:
将所述当前扫描器攻击的具体路径和位置输入至所述攻击目标匹配模型,基于所述同步攻击意图库输出与当前扫描器攻击位置相关的攻击面和攻击向量;
将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型,输出所述漏洞检测结果;
所述将所述与当前扫描器攻击位置相关的攻击面和攻击向量输入至所述意图转换注入模型,输出所述漏洞检测结果,包括:
将所述与当前扫描器攻击位置相关的攻击面输入所述攻击面同步模型,输出适于扫描器识别的补充攻击面;
将所述与当前扫描器攻击位置相关的攻击向量输入所述攻击向量同步模型,输出适于扫描器识别的补充攻击向量;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果;
将所述待检测漏洞的当前Web应用目标站点通过所述任一扫描器进行扫描,包括:
将所述任一扫描器对所述当前Web应用目标站点进行扫描时接收到的响应数据包输入所述响应注入模型;
将所述补充攻击面和所述补充攻击向量输入所述响应注入模型,输出所述漏洞检测结果,包括:
将所述补充攻击面和所述补充攻击向量注入所述响应数据包得到注入后的响应数据包,并基于所述注入后的响应数据包输出所述漏洞检测结果。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述Web应用漏洞集成扫描方法的步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至3任一项所述Web应用漏洞集成扫描方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110860078.0A CN113676460B (zh) | 2021-07-28 | 2021-07-28 | 一种Web应用漏洞集成扫描方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110860078.0A CN113676460B (zh) | 2021-07-28 | 2021-07-28 | 一种Web应用漏洞集成扫描方法、系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113676460A CN113676460A (zh) | 2021-11-19 |
| CN113676460B true CN113676460B (zh) | 2022-07-22 |
Family
ID=78540599
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110860078.0A Active CN113676460B (zh) | 2021-07-28 | 2021-07-28 | 一种Web应用漏洞集成扫描方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113676460B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117395080B (zh) * | 2023-12-08 | 2024-02-09 | 北京升鑫网络科技有限公司 | 加密系统扫描器的检测方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| CN104683328A (zh) * | 2015-01-29 | 2015-06-03 | 兴华永恒(北京)科技有限责任公司 | 一种跨站漏洞扫描方法及系统 |
| CN110399723A (zh) * | 2018-06-22 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置、存储介质及电子装置 |
| CN111797407A (zh) * | 2020-09-08 | 2020-10-20 | 江苏开博科技有限公司 | 一种基于深度学习模型优化的xss漏洞检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200336507A1 (en) * | 2019-04-17 | 2020-10-22 | Sew, Inc. | Generative attack instrumentation for penetration testing |
-
2021
- 2021-07-28 CN CN202110860078.0A patent/CN113676460B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| CN104683328A (zh) * | 2015-01-29 | 2015-06-03 | 兴华永恒(北京)科技有限责任公司 | 一种跨站漏洞扫描方法及系统 |
| CN110399723A (zh) * | 2018-06-22 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置、存储介质及电子装置 |
| CN111797407A (zh) * | 2020-09-08 | 2020-10-20 | 江苏开博科技有限公司 | 一种基于深度学习模型优化的xss漏洞检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113676460A (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375102B2 (en) | Malicious web site address prompt method and router | |
| US10565240B2 (en) | Systems and methods for document analytics | |
| CN109474568B (zh) | 针对利用域前置技术实现恶意攻击的检测方法及系统 | |
| CN111131544B (zh) | 一种实现nat穿越的方法 | |
| CN104168517B (zh) | 进入直播频道的方法及系统 | |
| CN111683370B (zh) | 无线网络设备的接入认证方法、装置和系统 | |
| CN113676460B (zh) | 一种Web应用漏洞集成扫描方法、系统、电子设备及存储介质 | |
| US10754628B2 (en) | Extracting web API endpoint data from source code to identify potential security threats | |
| CN103607413A (zh) | 一种网站后门程序检测的方法及装置 | |
| CN109768992A (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN103595732A (zh) | 一种网络攻击取证的方法及装置 | |
| CN106713318B (zh) | 一种web站点安全防护方法及系统 | |
| CN106789869B (zh) | 基于Basic认证的流量代理漏洞检测方法及系统 | |
| CN112565226A (zh) | 请求处理方法、装置、设备及系统和用户画像生成方法 | |
| CN105635064A (zh) | Csrf攻击检测方法及装置 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| CN105468981A (zh) | 基于漏洞识别技术的插件安全扫描装置及扫描方法 | |
| CN107741850B (zh) | 动态壁纸包的生成方法、装置及存储介质 | |
| CN113132329A (zh) | Webshell检测方法、装置、设备及存储介质 | |
| US20150019466A1 (en) | System and method for automated generation of web decoding templates | |
| CN111064827A (zh) | 基于域名泛解析的代理检测方法、装置、设备及介质 | |
| CN113709252B (zh) | 基于网页嵌入式脚本代码的在线内部网络环境扫描方法 | |
| CN115801431A (zh) | 一种威胁自动溯源方法、系统、设备及介质 | |
| CN107294920B (zh) | 一种反向信任登录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |