CN114785581A - 一种攻击载荷生成方法、装置及计算机可读存储介质 - Google Patents
一种攻击载荷生成方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114785581A CN114785581A CN202210390944.9A CN202210390944A CN114785581A CN 114785581 A CN114785581 A CN 114785581A CN 202210390944 A CN202210390944 A CN 202210390944A CN 114785581 A CN114785581 A CN 114785581A
- Authority
- CN
- China
- Prior art keywords
- function
- attack
- user input
- determining
- input data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
根据本申请方案所提供的攻击载荷生成方法、装置及计算机可读存储介质,监听用户输入数据的数据流转过程;当用户输入数据流转到各数据流转节点对应的目标函数时,确定目标函数对用户输入数据的函数处理方式;判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法;针对能生成函数绕过方法的所有数据流转节点,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷。通过本申请方案的实施,根据用户输入数据在数据流转时确定的函数处理方法,生成对应的函数绕过方法,再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷,有效提高漏洞扫描效率以及扫描准确率,降低部署服务器的配置要求。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种攻击载荷生成方法、装置及计算机可读存储介质。
背景技术
随着开发人员网络安全意识的提升,开发的应用对各种请求的数据进行了过滤和校验。但是目前黑盒扫描技术还停留在使用不同的攻击载荷进行尝试,根据响应结果来生成新的攻击载荷继续攻击尝试,直到不能再生成攻击载荷(安全)或生成有效攻击载荷完成攻击(有漏洞),这样就导致需要更多的攻击载荷才能完成漏洞的扫描覆盖。所以传统的黑盒扫描就会存在以下问题:随着防护技术的增强,需要越来越多的攻击载荷来完整覆盖漏洞检测;攻击载荷的增多,会导致对部署服务器的配置要求越来越高,同时也降低了扫描效率;攻击载荷的增加还是不能覆盖漏洞漏报的问题。
发明内容
本申请实施例提供了一种攻击载荷生成方法、装置及计算机可读存储介质,至少能够解决相关技术中攻击载荷的增多导致对部署服务器的配置要求越来越高,降低了扫描效率以及不能覆盖漏洞漏报的问题。
本申请实施例第一方面提供了一种攻击载荷生成方法,包括:
监听用户输入数据的数据流转过程;
当所述用户输入数据流转到各数据流转节点对应的目标函数时,确定所述目标函数对所述用户输入数据的函数处理方式;
判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法;其中,所述函数绕过方法为绕过所述函数处理方式的攻击方法;
针对能生成所述函数绕过方法的所有所述数据流转节点,根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷;其中,所述节点有效载荷为所述函数绕过方法的有效攻击代码。
本申请实施例第二方面提供了一种攻击载荷生成装置,包括:
监听模块,用于监听用户输入数据的数据流转过程;
确定模块,用于当所述用户输入数据流转到各数据流转节点对应的目标函数时,确定所述目标函数对所述用户输入数据的函数处理方式;
判断模块,用于判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法;其中,所述函数绕过方法为绕过所述函数处理方式的攻击方法;
生成模块,用于针对能生成所述函数绕过方法的所有所述数据流转节点,根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷;其中,所述节点有效载荷为所述函数绕过方法的有效攻击代码。
本申请实施例第三方面提供了一种电子设备,其特征在于,包括存储器及处理器,其中,所述处理器用于执行存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时上述本申请实施例第一方面提供的攻击载荷生成方法中的各步骤。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,实现上述本申请实施例第一方面提供的攻击载荷生成方法中的各步骤。
由上可见,根据本申请方案所提供的攻击载荷生成方法、装置及计算机可读存储介质,监听用户输入数据的数据流转过程;当所述用户输入数据流转到各数据流转节点对应的目标函数时,确定所述目标函数对所述用户输入数据的函数处理方式;判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法;针对能生成所述函数绕过方法的所有所述数据流转节点,根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷。通过本申请方案的实施,根据用户输入数据在数据流转时确定的函数处理方法,生成对应的函数绕过方法,再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷,有效提高漏洞扫描效率以及扫描准确率,降低部署服务器的配置要求。
附图说明
图1为本申请第一实施例提供的攻击载荷生成方法的基本流程示意图;
图2为本申请第一实施例提供的DAST攻击载荷生成示意图;
图3为本申请第二实施例提供的攻击载荷生成方法的细化流程示意图;
图4为本申请第三实施例提供的攻击载荷生成装置的程序模块示意图;
图5为本申请第四实施例提供的电子装置的结构示意图。
具体实施内容
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决相关技术中攻击载荷的增多导致对部署服务器的配置要求越来越高,降低了扫描效率以及不能覆盖漏洞漏报的问题,本申请第一实施例提供了一种攻击载荷生成方法,如图1为本实施例提供的攻击载荷生成方法的基本流程图,该攻击载荷生成方法包括以下步骤:
步骤101、监听用户输入数据的数据流转过程。
具体的,在本实施例中,如图2为本实施例所提供的DAST攻击载荷生成示意图,通过IAST(Interactive application security testing,交互式应用程序安全测试)来监听用户输入数据的数据流转过程。IAST方法指基于请求、代码数据流/控制流来综合分析应用程序的安全风险,通过该技术可以获取到请求、代码数据流/控制流的上下文信息。
在本实施例一种可选的实施方式中,监听用户输入数据的数据流转过程的步骤,包括:获取用户输入数据;对用户输入数据添加污点标记;根据污点标记对用户输入数据的数据流转过程进行监听。
具体的,在实际应用中,现有的DAST(Dynamic Application Security Testing,动态应用程序安全测试)难以实时对用户输入数据的流转过程进行跟踪监听,所以难以及时的在数据流转时做出反应,在本实施例中,在获取到用户输入数据时,对用于输入数据添加污点标记,根据对污点标记的跟踪对用户输入数据的数据流转过程进行实时监听,有效提高漏洞扫描效率以及扫描准确率。
步骤102、当用户输入数据流转到各数据流转节点对应的目标函数时,确定目标函数对用户输入数据的函数处理方式。
具体的,在实际应用中,当用户输入数据流转到目标函数时,目标函数会对用户输入数据进行响应,通过相应的函数处理方式对用户输入数据中相应的函数进行处理,但无法确定具体的函数处理方式,在本实施例中,如图2所示,通过SAST(Static ApplicationSecurity Testing,静态应用程序安全测试)方法确定各数据流转节点对应的目标函数针对用户输入数据生成的对应的函数处理方式,SAST是一种在开发阶段对源代码进行安全测试发现安全漏洞的测试方法,也是一种白盒测试方法,在SAST中的代码具有高度可视性,能够检测更丰富的问题,包括函数处理方式、安全漏洞及代码规范等问题。
在本实施例一种可选的实施方式中,确定目标函数对用户输入数据的函数处理方式的步骤之前,还包括:对用户输入数据进行代码审计;根据代码审计结果判断用户输入数据中是否存在危险函数;确定目标函数对用户输入数据的函数处理方式的步骤,包括:当用户输入数据存在危险函数时,确定目标函数对用户输入数据中危险函数的函数处理方式。
具体的,在本实施例中,当监听到用户输入数据跳转到目标函数时,针对每一次的数据跳转,通过SAST方法对用户输入数据进行代码审计,从而判断用户输入数据中是否存在危险函数,若存在危险函数,那么目标函数会根据预设的自我防御措施对该危险函数进行函数处理,从而确定对应的函数处理方式。
步骤103、判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法。
具体的,本实施例的函数绕过方法为绕过函数处理方式的攻击方法,在本实施例中,在确定好所有的函数处理方式之后,针对每一个函数处理方式,判断是否能够生成对应的函数绕过方法,通过函数绕过方法在对目标函数进行请求时绕过目标函数的函数处理方式,直接对目标函数发起攻击。
步骤104、针对能生成函数绕过方法的所有数据流转节点,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷。
具体的,在实际应用中,相关技术在各数据流转节点都会生成对应的攻击载荷,增加了部署服务器的负担以及配置要求,本实施例的节点有效载荷为函数绕过方法的有效攻击代码,即图2所示的节点payload,在所有的函数处理方式中,确定所有能够生成函数绕过方法的函数处理方式,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷,大大降低了部署服务器的负担以及配置要求,并且该攻击载荷对于漏洞检测更具有针对性,提高检测效率。
应当说明的是,若存在函数处理方式不能生成函数绕过方法,则说明该函数处理方式是安全的,不会产生对应的安全漏洞,终止对该安全漏洞的检测流程。
在本实施例一种可选的实施方式中,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷的步骤,包括:确定所生成的所有函数绕过方法相应的所有节点有效载荷;根据目标函数的重要性评估指标确定函数绕过方法的危险性评估指标;根据所有函数绕过方法的危险性评估指标确定所有节点有效载荷的代码拼接顺序;根据代码拼接顺序对所有节点有效载荷进行拼接,生成攻击载荷。
具体的,在本实施例中,目标函数的重要性指标代表着相应的目标函数在整个应用中的重要程度,决定着生成的攻击载荷对目标函数发送攻击请求的先后顺序,而目标函数对应着相应的函数绕过方法,所以根据根据目标函数的重要性评估指标可以确定函数绕过方法的危险性评估指标,再根据所有函数绕过方法的危险性评估指标确定所有节点有效载荷的代码拼接顺序,从而根据代码拼接顺序对所有节点有效载荷进行拼接生成的攻击载荷,对相应目标函数所存在安全漏洞更具有针对性。
进一步的,在本实施例一种可选的实施方式中,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷的步骤之后,还包括:控制攻击载荷按照代码拼接顺序,依次向存在函数绕过方法的目标函数发送攻击请求;获取存在函数绕过方法的目标函数对攻击载荷的响应信息;根据响应信息确定攻击载荷的攻击是否成功;若攻击载荷对存在函数绕过方法的目标函数攻击成功,则根据攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。
具体的,在本实施例中,攻击载荷按照代码拼接顺序依次在对应的数据流转节点向目标函数发起攻击请求,获取目标函数对攻击载荷的响应信息,响应信息包含有目标函数在各个数据处理阶段对攻击载荷的响应,若攻击载荷攻击到目标函数的底层执行函数时,则确定攻击载荷攻击成功,该目标函数存在相应的安全漏洞,并根据攻击载荷对目标函数的攻击类型确定安全漏洞类型,通过更具针对性的攻击载荷攻击目标函数,大大提高安全漏洞检测效率。
再进一步的,在本实施例一种可选的实施方式中,根据响应信息确定攻击载荷的攻击是否成功的步骤之后,还包括:若攻击载荷对存在函数绕过方法的目标函数攻击失败,则获取攻击载荷的攻击过程信息;根据攻击过程信息检测攻击请求是否存在第三方软件干扰;若存在第三方软件干扰,则确定攻击载荷的攻击有效,则根据攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。
具体的,在本实施例中,虽然攻击载荷是根据函数绕过方法生成的,但是该攻击载荷依旧存在攻击失败的可能性,若攻击失败,则获取该攻击载荷的攻击过程信息,根据攻击过程信息查看攻击载荷的整个攻击过程,确定攻击失败的原因,若在攻击过程中存在第三方软件干扰,例如预设的实时防护的安全产品,则依旧认为攻击载荷的攻击有效,即目标函数中存在相应的安全漏洞,并根据攻击载荷对相应目标函数的攻击类型确定安全漏洞类型,使安全漏洞检测更加准确。
更进一步的,在本实施例一种可选的实施方式中,根据攻击载荷对相应目标函数的攻击类型确定安全漏洞类型的步骤之后,还包括:根据安全漏洞类型查询预设安全漏洞库;从安全漏洞库中获取与安全漏洞类型对应的安全漏洞解决方案;基于安全漏洞类型以及安全漏洞解决方案上报安全漏洞提示。
具体的,在本实施例中,在确定安全漏洞类型之后,查询预设安全漏洞库,从安全漏洞库中获取与安全漏洞类型对应的安全漏洞解决方案,再将安全漏洞类型以及安全漏洞解决方案打包,上报安全漏洞提示,该安全漏洞解决方案在用户处理安全漏洞时起参考作用,有助于用户快速解决对应的安全漏洞。
基于上述申请的实施例方案,监听用户输入数据的数据流转过程;当用户输入数据流转到各数据流转节点对应的目标函数时,确定目标函数对用户输入数据的函数处理方式;判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法;针对能生成函数绕过方法的所有数据流转节点,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷。通过本申请方案的实施,根据用户输入数据在数据流转时确定的函数处理方法,生成对应的函数绕过方法,再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷,有效提高漏洞扫描效率以及扫描准确率,降低部署服务器的配置要求。
图3中的方法为本申请第二实施例提供的一种细化的攻击载荷生成方法,该攻击载荷生成方法包括:
步骤301、监听用户输入数据的数据流转过程。
步骤302、当用户输入数据流转到各数据流转节点对应的目标函数时,对用户输入数据进行代码审计;
步骤303、根据代码审计结果判断用户输入数据中是否存在危险函数;
步骤304、当用户输入数据存在危险函数时,确定目标函数对用户输入数据中危险函数的函数处理方式。
具体的,在本实施例中,当监听到用户输入数据跳转到目标函数时,针对每一次的数据跳转,通过SAST方法对用户输入数据进行代码审计,从而判断用户输入数据中是否存在危险函数,若存在危险函数,那么目标函数会根据预设的自我防御措施对该危险函数进行函数处理,从而确定对应的函数处理方式。
步骤305、判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法。
步骤306、针对能生成函数绕过方法的所有数据流转节点,确定所生成的所有函数绕过方法相应的所有节点有效载荷;
步骤307、根据目标函数的重要性评估指标确定函数绕过方法的危险性评估指标;
步骤308、根据所有函数绕过方法的危险性评估指标确定所有节点有效载荷的代码拼接顺序;
步骤309、根据代码拼接顺序对所有节点有效载荷进行拼接,生成攻击载荷。
具体的,在本实施例中,目标函数的重要性指标代表着相应的目标函数在整个应用中的重要程度,决定着生成的攻击载荷对目标函数发送攻击请求的先后顺序,而目标函数对应着相应的函数绕过方法,所以根据根据目标函数的重要性评估指标可以确定函数绕过方法的危险性评估指标,再根据所有函数绕过方法的危险性评估指标确定所有节点有效载荷的代码拼接顺序,从而根据代码拼接顺序对所有节点有效载荷进行拼接生成的攻击载荷,对相应目标函数所存在安全漏洞更具有针对性。
应当理解的是,本实施例中各步骤的序号的大小并不意味着步骤执行顺序的先后,各步骤的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成唯一限定。
根据本申请方案所提供的攻击载荷生成方法,监听用户输入数据的数据流转过程;当用户输入数据流转到各数据流转节点对应的目标函数时,对用户输入数据进行代码审计;根据代码审计结果判断用户输入数据中是否存在危险函数;当用户输入数据存在危险函数时,确定目标函数对用户输入数据中危险函数的函数处理方式;判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法;针对能生成函数绕过方法的所有数据流转节点,确定所生成的所有函数绕过方法相应的所有节点有效载荷;根据目标函数的重要性评估指标确定函数绕过方法的危险性评估指标;根据所有函数绕过方法的危险性评估指标确定所有节点有效载荷的代码拼接顺序;根据代码拼接顺序对所有节点有效载荷进行拼接,生成攻击载荷。通过本申请方案的实施,根据用户输入数据在数据流转时确定的函数处理方法,生成对应的函数绕过方法,再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷,有效提高漏洞扫描效率以及扫描准确率,降低部署服务器的配置要求。
图4为本申请第三实施例提供的一种攻击载荷生成装置。该攻击载荷生成装置可用于实现前述实施例中的攻击载荷生成方法。如图4所示,该攻击载荷生成装置主要包括:
监听模块401,用于监听用户输入数据的数据流转过程;
确定模块402,用于当所述用户输入数据流转到各数据流转节点对应的目标函数时,确定所述目标函数对所述用户输入数据的函数处理方式;
判断模块403,用于判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法;其中,所述函数绕过方法为绕过所述函数处理方式的攻击方法;
生成模块404,用于针对能生成所述函数绕过方法的所有所述数据流转节点,根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷;其中,所述节点有效载荷为所述函数绕过方法的有效攻击代码。
在本实施例一种可选的实施方式中,该攻击载荷生成装置还包括:审计模块。审计模块用于:对所述用户输入数据进行代码审计。判断模块还用于:根据代码审计结果判断所述用户输入数据中是否存在危险函数。确定模块具体用于:当所述用户输入数据存在所述危险函数时,确定所述目标函数对所述用户输入数据中的所述危险函数的函数处理方式。
在本实施例一种可选的实施方式中,生成模块具体用于:确定所生成的所有所述函数绕过方法相应的所有节点有效载荷;根据所述目标函数的重要性评估指标确定所有所述函数绕过方法的危险性评估指标;根据所述所有所述函数绕过方法的危险性评估指标确定所有所述节点有效载荷的代码拼接顺序;根据所述代码拼接顺序对所有所述节点有效载荷进行拼接,生成攻击载荷。
进一步的,在本实施例一种可选的实施方式中,该攻击载荷生成装置还包括:发送模块、获取模块。发送模块用于:控制所述攻击载荷按照所述代码拼接顺序,依次向存在所述函数绕过方法的目标函数发送攻击请求。获取模块用于:获取存在所述函数绕过方法的目标函数对所述攻击载荷的响应信息。确定模块还用于:根据所述响应信息确定所述攻击载荷的攻击是否成功;若所述攻击载荷对存在所述函数绕过方法的目标函数攻击成功,则根据所述攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。
再进一步的,在本实施例一种可选的实施方式中,该攻击载荷生成装置还包括:检测模块。获取模块还用于:若所述攻击载荷对存在所述函数绕过方法的目标函数攻击失败,则获取所述攻击载荷的攻击过程信息。检测模块用于:根据所述攻击过程信息检测所述攻击请求是否存在第三方软件干扰。确定模块还用于:若存在所述第三方软件干扰,则确定所述攻击载荷的攻击有效,则根据所述攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。
更进一步的,在本实施例一种可选的实施方式中,该攻击载荷生成装置还包括:查询模块、上报模块。查询模块用于:根据所述安全漏洞类型查询预设安全漏洞库。获取模块还用于:从所述安全漏洞库中获取与所述安全漏洞类型对应的安全漏洞解决方案。上报模块用于:基于所述安全漏洞类型以及所述安全漏洞解决方案上报安全漏洞提示。
在本实施例一种可选的实施方式中,监听模块具体用于:获取用户输入数据;对所述用户输入数据添加污点标记;根据所述污点标记对所述用户输入数据的数据流转过程进行监听。
应当说明的是,第一、二实施例中的攻击载荷生成方法均可基于本实施例提供的攻击载荷生成装置实现,所属领域的普通技术人员可以清楚的了解到,为描述的方便和简洁,本实施例中所描述的攻击载荷生成装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
根据本申请方案所提供的攻击载荷生成装置,监听用户输入数据的数据流转过程;当用户输入数据流转到各数据流转节点对应的目标函数时,确定目标函数对用户输入数据的函数处理方式;判断相应数据流转节点的函数处理方式能否生成对应的函数绕过方法;针对能生成函数绕过方法的所有数据流转节点,根据所生成的所有函数绕过方法相应的所有节点有效载荷生成攻击载荷。通过本申请方案的实施,根据用户输入数据在数据流转时确定的函数处理方法,生成对应的函数绕过方法,再将各函数绕过方法对应的节点有效载荷组合生成攻击载荷,有效提高漏洞扫描效率以及扫描准确率,降低部署服务器的配置要求。
图5为本申请第四实施例提供的一种电子装置。该电子装置可用于实现前述实施例中的攻击载荷生成方法。如图5所示,该电子装置主要包括:
存储器501、处理器502、总线503及存储在存储器501上并可在处理器502上运行的计算机程序,存储器501和处理器502通过总线503连接。处理器502执行该计算机程序时,实现前述实施例中的攻击载荷生成方法。其中,处理器的数量可以是一个或多个。
存储器501可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器501用于存储可执行程序代码,处理器502与存储器501耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子装置中,该计算机可读存储介质可以是前述图5所示实施例中的存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的攻击载荷生成方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或模块的间接耦合或通讯连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本申请所提供的攻击载荷生成方法、装置及计算机可读存储介质的描述,对于本领域的技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种攻击载荷生成方法,其特征在于,包括:
监听用户输入数据的数据流转过程;
当所述用户输入数据流转到各数据流转节点对应的目标函数时,确定所述目标函数对所述用户输入数据的函数处理方式;
判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法;其中,所述函数绕过方法为绕过所述函数处理方式的攻击方法;
针对能生成所述函数绕过方法的所有所述数据流转节点,根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷;其中,所述节点有效载荷为所述函数绕过方法的有效攻击代码。
2.根据权利要求1所述的攻击载荷生成方法,其特征在于,所述确定所述目标函数对所述用户输入数据的函数处理方式的步骤之前,还包括:
对所述用户输入数据进行代码审计;
根据代码审计结果判断所述用户输入数据中是否存在危险函数;
所述确定所述目标函数对所述用户输入数据的函数处理方式的步骤,包括:
当所述用户输入数据存在所述危险函数时,确定所述目标函数对所述用户输入数据中所述危险函数的函数处理方式。
3.根据权利要求1所述的攻击载荷生成方法,其特征在于,所述根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷的步骤,包括:
确定所生成的所有所述函数绕过方法相应的所有节点有效载荷;
根据所述目标函数的重要性评估指标确定所述函数绕过方法的危险性评估指标;
根据所述所有所述函数绕过方法的危险性评估指标确定所有所述节点有效载荷的代码拼接顺序;
根据所述代码拼接顺序对所有所述节点有效载荷进行拼接,生成攻击载荷。
4.根据权利要求3所述的攻击载荷生成方法,其特征在于,所述根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷的步骤之后,还包括:
控制所述攻击载荷按照所述代码拼接顺序,依次向存在所述函数绕过方法的目标函数发送攻击请求;
获取存在所述函数绕过方法的目标函数对所述攻击载荷的响应信息;
根据所述响应信息确定所述攻击载荷的攻击是否成功;
若所述攻击载荷对存在所述函数绕过方法的目标函数攻击成功,则根据所述攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。
5.根据权利要求4所述的攻击载荷生成方法,其特征在于,所述根据所述响应信息确定所述攻击载荷的攻击是否成功的步骤之后,还包括:
若所述攻击载荷对存在所述函数绕过方法的目标函数攻击失败,则获取所述攻击载荷的攻击过程信息;
根据所述攻击过程信息检测所述攻击请求是否存在第三方软件干扰;
若存在所述第三方软件干扰,则确定所述攻击载荷的攻击有效,则根据所述攻击载荷对相应目标函数的攻击类型确定安全漏洞类型。
6.根据权利要求5所述的攻击载荷生成方法,其特征在于,所述根据所述攻击载荷对相应目标函数的攻击类型确定安全漏洞类型的步骤之后,还包括:
根据所述安全漏洞类型查询预设安全漏洞库;
从所述安全漏洞库中获取与所述安全漏洞类型对应的安全漏洞解决方案;
基于所述安全漏洞类型以及所述安全漏洞解决方案上报安全漏洞提示。
7.根据权利要求1至6中任意一项所述的攻击载荷生成方法,其特征在于,所述监听用户输入数据的数据流转过程的步骤,包括:
获取用户输入数据;
对所述用户输入数据添加污点标记;
根据所述污点标记对所述用户输入数据的数据流转过程进行监听。
8.一种攻击载荷生成装置,其特征在于,包括:
监听模块,用于监听用户输入数据的数据流转过程;
确定模块,用于当所述用户输入数据流转到各数据流转节点对应的目标函数时,确定所述目标函数对所述用户输入数据的函数处理方式;
判断模块,用于判断相应所述数据流转节点的所述函数处理方式能否生成对应的函数绕过方法;其中,所述函数绕过方法为绕过所述函数处理方式的攻击方法;
生成模块,用于针对能生成所述函数绕过方法的所有所述数据流转节点,根据所生成的所有所述函数绕过方法相应的所有节点有效载荷生成攻击载荷;其中,所述节点有效载荷为所述函数绕过方法的有效攻击代码。
9.一种电子设备,其特征在于,包括存储器以及处理器,其中:
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中的任意一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210390944.9A CN114785581B (zh) | 2022-04-14 | 2022-04-14 | 一种攻击载荷生成方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210390944.9A CN114785581B (zh) | 2022-04-14 | 2022-04-14 | 一种攻击载荷生成方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114785581A true CN114785581A (zh) | 2022-07-22 |
| CN114785581B CN114785581B (zh) | 2023-08-11 |
Family
ID=82428940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210390944.9A Active CN114785581B (zh) | 2022-04-14 | 2022-04-14 | 一种攻击载荷生成方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114785581B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110390202A (zh) * | 2019-07-30 | 2019-10-29 | 中国工商银行股份有限公司 | 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质 |
| WO2019212565A1 (en) * | 2018-05-04 | 2019-11-07 | Google Llc | Detecting injection vulnerabilities of client-side templating systems |
| CN110516448A (zh) * | 2019-09-02 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 一种灰盒测试方法、装置、设备及可读存储介质 |
| CN111259399A (zh) * | 2020-04-28 | 2020-06-09 | 深圳开源互联网安全技术有限公司 | 用于web应用的动态检测漏洞攻击的方法及系统 |
| CN111385302A (zh) * | 2020-03-06 | 2020-07-07 | 北京计算机技术及应用研究所 | 一种载荷自动化生成系统 |
| CN112182583A (zh) * | 2020-09-27 | 2021-01-05 | 国网山东省电力公司电力科学研究院 | 一种基于web应用的文件上传漏洞检测方法及系统 |
| WO2021057017A1 (zh) * | 2019-09-29 | 2021-04-01 | 河海大学 | 一种现场总线中自动化重放攻击测试方法 |
| CN113312633A (zh) * | 2021-06-25 | 2021-08-27 | 深信服科技股份有限公司 | 一种网站漏洞扫描方法、装置、设备及存储介质 |
| CN113761519A (zh) * | 2021-08-19 | 2021-12-07 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
| US11201896B1 (en) * | 2019-05-07 | 2021-12-14 | Rapid7, Inc. | Vulnerability validation using lightweight offensive payloads |
| CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
| CN114329484A (zh) * | 2021-12-24 | 2022-04-12 | 安天科技集团股份有限公司 | 一种目标网安全风险自动评估方法、装置、设备及介质 |
-
2022
- 2022-04-14 CN CN202210390944.9A patent/CN114785581B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019212565A1 (en) * | 2018-05-04 | 2019-11-07 | Google Llc | Detecting injection vulnerabilities of client-side templating systems |
| US11201896B1 (en) * | 2019-05-07 | 2021-12-14 | Rapid7, Inc. | Vulnerability validation using lightweight offensive payloads |
| CN110390202A (zh) * | 2019-07-30 | 2019-10-29 | 中国工商银行股份有限公司 | 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质 |
| CN110516448A (zh) * | 2019-09-02 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 一种灰盒测试方法、装置、设备及可读存储介质 |
| WO2021057017A1 (zh) * | 2019-09-29 | 2021-04-01 | 河海大学 | 一种现场总线中自动化重放攻击测试方法 |
| CN111385302A (zh) * | 2020-03-06 | 2020-07-07 | 北京计算机技术及应用研究所 | 一种载荷自动化生成系统 |
| CN111259399A (zh) * | 2020-04-28 | 2020-06-09 | 深圳开源互联网安全技术有限公司 | 用于web应用的动态检测漏洞攻击的方法及系统 |
| CN112182583A (zh) * | 2020-09-27 | 2021-01-05 | 国网山东省电力公司电力科学研究院 | 一种基于web应用的文件上传漏洞检测方法及系统 |
| CN113312633A (zh) * | 2021-06-25 | 2021-08-27 | 深信服科技股份有限公司 | 一种网站漏洞扫描方法、装置、设备及存储介质 |
| CN113761519A (zh) * | 2021-08-19 | 2021-12-07 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
| CN114329484A (zh) * | 2021-12-24 | 2022-04-12 | 安天科技集团股份有限公司 | 一种目标网安全风险自动评估方法、装置、设备及介质 |
| CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| ZHONGLIN LIU;YONG FANG;CHENG HUANG; YIJIA XU: "GAXSS: Effective Payload Generation Method to Detect XSS Vulnerabilities Based on Genetic Algorithm", 《SECURITY AND COMMUNICATION NETWORKS》 * |
| 倪萍: "基于模糊测试和代码标识的跨站脚本漏洞防范方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, pages 139 - 130 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114785581B (zh) | 2023-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11042647B1 (en) | Software assurance system for runtime environments | |
| CN109076063A (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| CN103562923A (zh) | 应用程序安全测试 | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| CN113342673A (zh) | 漏洞检测方法、设备及可读存储介质 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| EP4160455A1 (en) | Behavior analysis based on finite-state machine for malware detection | |
| WO2021146988A1 (en) | Method and apparatus for protecting smart contracts against attacks | |
| WO2021057005A1 (zh) | 用于发布智能合约的方法和装置 | |
| US11397812B2 (en) | System and method for categorization of .NET applications | |
| CN115373798A (zh) | 一种智能物联终端容器逃逸攻击检测和防御方法 | |
| CN114003794A (zh) | 资产收集方法、装置、电子设备和介质 | |
| US20230376591A1 (en) | Method and apparatus for processing security events in container virtualization environment | |
| CN101599113A (zh) | 驱动型恶意软件防御方法和装置 | |
| CN116610326A (zh) | 区块链智能合约的安全性检测方法、设备及存储介质 | |
| CN116340931A (zh) | 基于rasp的sca联动防护方法、装置、设备及介质 | |
| He et al. | Toward hybrid static-dynamic detection of vulnerabilities in IoT firmware | |
| CN109495436B (zh) | 一种可信云平台度量系统及方法 | |
| CN113312620A (zh) | 一种程序安全检测方法及装置、处理器芯片、服务器 | |
| CN114785581A (zh) | 一种攻击载荷生成方法、装置及计算机可读存储介质 | |
| CN115225531B (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
| CN111339507A (zh) | 一种访问请求处理的方法、系统、设备及可读存储介质 | |
| CN116089920A (zh) | 一种敏感字段预警方法、系统、计算机设备及介质 | |
| KR102433386B1 (ko) | 취약점 진단방법 및 이를 위한 진단장치 | |
| CN114328065A (zh) | 中断验证方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |