CN116956293A - 一种api安全漏洞检测系统及方法 - Google Patents

Abstract

本发明提供了一种API安全漏洞检测系统及方法，包括：S1、监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；S2、创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；S3、配置漏洞检测规则；S4、将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；S5、基于漏洞检测结果，生成测试报告。本发明有益效果：POC实现配置化，在无需修改源代码的情况下可灵活的依据实际业务新增或修改漏洞检测规则；确保了无害化及检测的准确率。

Description

一种API安全漏洞检测系统及方法

技术领域

本发明属于网络安全领域，尤其是涉及一种API安全漏洞检测系统及方法。

背景技术

在如今的互联网中，web及app与后端服务通信大都采用接口的方式进行数据的传递与交换。由于部分的后端开发人员安全意识薄弱、安全规范未贯彻、现有开发框架存在安全漏洞等问题，导致方法中少部分的接口可能存在安全风险，安全测试人员需要采用合适的工具及方法模拟攻击者尽可能多的找出安全风险，接口安全测试方法的核心是：向网络请求注入漏洞探测载荷；发送请求；根据响应数据判断是否存在安全漏洞。

业内常见的安全测试方法及工具分为如下3种：

拦截重发，启动网络代理拦截http请求，对请求数据进行修改后重新发送以探测安全漏洞，常见的工具有：Burpsuite、Yakit，此类工具在探测单一接口或少量几个接口时非常好用，且针对单一接口可以实现自动化测试，但是此类工具进行自动化测试的缺点是：无法并发测试，每测试一个接口都需要进行一次配置，极大的影响了测试效率；无法确保漏洞检测是否为无害化，若测试载荷存在恶意的攻击语句，可能会对业务方法造成不可预期且无法挽回的破坏；无法生成可读性高的测试报告，不利于开发人员快速进行问题的定位、复现及修复。

主动检测，对指定的URL或API主动发起安全测试，常见的工具有：sqlmap、Appscan、AWVS等，此类工具的数据来源是使用者指定的URL或API请求数据，此类工具的缺点非常明显：高误报率，难以处理复杂的请求数据，高资源消耗，能够检测的漏洞类型较少。

被动检测，启动监听，基于监听到的请求进行自动化安全测试，常见工具有：Xray，此类工具在进行扫描时，会对存在漏洞的框架(如ThinkPHP)进行扫描，并且会检测部分CVE漏洞，而对微服务架构的httprestapi无法很好的支持，并且Xray只在测试报告中记录存在安全风险的接口或请求，对于未检测到风险的接口不做记录，这不利于对业务方法整体安全测试概况的总结。

以上工具还存在一个统一的问题：无法检测逻辑类的安全漏洞，除了现有的工具存在一定不足外，业务方法自身存在某些限制也会对现有工具产生影响，比如：接口进行了签名认证，那么就需要在发生请求前先进行签名计算，所以，针对业务方法自身的特性，如何基于代码架构能够简单灵活的定制针对性功能也至关重要。

发明内容

有鉴于此，本发明旨在提出一种API安全漏洞检测系统及方法，以提高接口黑盒安全测试自动化的效率，降低误报率、漏报率，丰富漏洞检测类型、确保漏洞探测载荷的无害化，生成可读性高的测试报告并针对业务方法如何高效定制化开发。

为达到上述目的，本发明的技术方案是这样实现的：

本发明第一方面提供了，一种API安全漏洞检测方法，包括：

S1、监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；

S2、创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；

S3、配置漏洞检测规则；

S4、将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；

S5、基于漏洞检测结果，生成测试报告。

进一步的，步骤S1的具体过程如下：

S101、定义监听的本地端口号；

S102、将自动化工具的网络代理设置为步骤S101中定义的监听地址及端口号；

S103、将自动化工具发送出的所有测试数据缓存至redis消息队列中。

进一步的，步骤S2的具体过程如下：

S201、从配置文件中解析安全测试配置相关的信息，包括任务名称、线程数、进程数、redis连接信息、被测目标；

S202、从redis消息队列中循环读取测试数据，将测试数据传递至进程池，由进程池启动漏洞检测引擎。

进一步的，步骤S3的具体过程如下：

使用统一格式将POC都编写于配置文件中；当需要增加新的POC、修改现有POC时，在配置文件中进行新增、修改对应的POC；并通过POC规则杜绝采用有害化的攻击载荷。

进一步的，步骤S4的具体过程如下：

通过解析POC配置文件获取POC数据，遍历所有POC数据并对POC数据进行如下处理：

S401、判断POC是否需要对原生请求的请求体进行处理，若是，则判断原生请求中请求体参数是否为空；

S402、若不参数不为空，则对请求体参数进行递归遍历，并根据POC对所有参数进行处理；

S403、判断POC是否需要对原生请求的请求头进行处理，若是则对请求头进行处理，完成第一次变异；

S404、发送变异后的请求，判断是否依据实际的请求进行漏洞判断，若是则根据POC的设置对原生请求进行第二次变异；

S405、根据两次变异请求的响应对比结果判断是否存在安全漏洞。

进一步的，步骤S5的具体过程如下：

测试报告引擎解析漏洞检测引擎生成的测试结果生成测试报告，测试报告包含漏洞探测请求的请求数据和响应数据。

本发明第二方面提供了，一种API安全漏洞检测系统，包括：

被动代理脚本，监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；

启动入口，创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；

POC配置文件，配置漏洞检测规则；

漏洞检测引擎，将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；

测试报告引擎，基于漏洞检测结果，生成测试报告。

本发明第三方面提供了，一种电子设备，包括处理器以及与处理器通信连接，且用于存储所述处理器可执行指令的存储器，其特征在于：所述处理器用于执行上述第一方面任一所述的一种API安全漏洞检测方法。

本发明第四方面提供了，一种服务器，其特征在于：包括至少一个处理器，以及与所述处理器通信连接的存储器，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，以使所述至少一个处理器执行如第一方面任一所述的一种API安全漏洞检测方法。

本发明第五方面提供了，一种计算机可读取存储介质，存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现第一方面任一项所述的一种API安全漏洞检测方法。

相对于现有技术，本发明所述的一种API安全漏洞检测方法具有以下有益效果：

1.POC实现配置化，在无需修改源代码的情况下可灵活的依据实际业务新增或修改漏洞检测规则；确保了无害化及检测的准确率。

2.可调控的高并发设置，依据部署的机器灵活调整进程数及线程数。

3.与现有的自动化工具完美融合，可同时进行接口功能测试和安全测试，测试效率极大提高，节省了人力成本。

4.可检测多种类型的安全漏洞。

5.可依据实际业务灵活的增加定制化功能。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例所述的一种API安全漏洞检测系统的结构示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面将参考附图并结合实施例来详细说明本发明。

实施例一：

一种API安全漏洞检测方法，包括：

S1、监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；

S2、创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；

S3、配置漏洞检测规则；

S4、将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；

S5、基于漏洞检测结果，生成测试报告。

步骤S1的具体过程如下：

S101、定义监听的本地端口号；

S102、将自动化工具的网络代理设置为步骤S101中定义的监听地址及端口号；

S103、将自动化工具发送出的所有测试数据缓存至redis消息队列中。

步骤S2的具体过程如下：

S201、从配置文件中解析安全测试配置相关的信息，包括任务名称、线程数、进程数、redis连接信息、被测目标；

S202、从redis消息队列中循环读取测试数据，将测试数据传递至进程池，由进程池启动漏洞检测引擎。

步骤S3的具体过程如下：

使用统一格式将POC都编写于配置文件中；当需要增加新的POC、修改现有POC时，在配置文件中进行新增、修改对应的POC；并通过POC规则杜绝采用有害化的攻击载荷。

步骤S4的具体过程如下：

通过解析POC配置文件获取POC数据，遍历所有POC数据并对POC数据进行如下处理：

S401、判断POC是否需要对原生请求的请求体进行处理，若是，则判断原生请求中请求体参数是否为空；

S402、若不参数不为空，则对请求体参数进行递归遍历，并根据POC对所有参数进行处理；

S403、判断POC是否需要对原生请求的请求头进行处理，若是则对请求头进行处理，完成第一次变异；

S404、发送变异后的请求，判断是否依据实际的请求进行漏洞判断，若是则根据POC的设置对原生请求进行第二次变异；

S405、根据两次变异请求的响应对比结果判断是否存在安全漏洞。

步骤S5的具体过程如下：

测试报告引擎解析漏洞检测引擎生成的测试结果生成测试报告，测试报告包含漏洞探测请求的请求数据和响应数据。

步骤S3中的漏洞检测规则的配置如下：

poc_type:"访问控制"

poc_title:"请求头【H-Accesstoken】置空检测"

comparison:"notsubset"#第一次变异请求的响应(前者)与第二次变异请求的响应或预设数据(后者)的比较关系:{notsubset:前者不是后者的子集,notequal:不相等,in:后者不在前者中,undecided:待分析(不比较)}

signature:"true"#是否进行接口签名

payload:#第一次变异原生请求时使用的漏洞检测载荷

headers:#请求头

replace:"true"#是否对原生请求头进行替换，是则直接替换，否则进行拼接

data:#具体进行替换或拼接的数据，如何为空则不对请求头进行处理

H-Accesstoken:""

body:#请求体

replace:"false"#是否对原生请求体进行替换，是则直接替换，否则进行拼接

data:

correct_response:"false"#第二次变异的漏洞检测载荷为真实的响应数据还是预设的数据

except:#第二次变异原生请求时使用的漏洞检测载荷，如果correct_response为true，则根据except中设置的headers和body进行第二次变异原生请求，然后根据两次变异请求的结果进行对比判断是否存在漏洞；如果correct_response为false，则不进行第二次变异原生请求，直接将except中预设的headers和body与第一次变异原生请求的响应数据进行对比判断漏洞是否存在

headers:

replace:"false"

data:

body:

replace:"false"

data:

code:'2001'

message:'Tokenisnullorempty'

data:{}

risk_description:"请求头中的【H-Accesstoken】置空绕过访问控制"#风险描述

risk_level:"严重"#风险严重等级。

实施例二：

一种API安全漏洞检测系统，包括：

被动代理脚本，监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；

启动入口，创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；

POC配置文件，配置漏洞检测规则；

漏洞检测引擎，将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；

测试报告引擎，基于漏洞检测结果，生成测试报告。

实施例三：

一种电子设备，包括处理器以及与处理器通信连接，且用于存储所述处理器可执行指令的存储器，所述处理器用于执行上述实施例一任一所述的一种API安全漏洞检测方法。

实施例四：

一种服务器，包括至少一个处理器，以及与所述处理器通信连接的存储器，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，以使所述至少一个处理器执行如实施例一任一所述的一种API安全漏洞检测方法。

实施例五：

一种计算机可读取存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现实施例一任一项所述的一种API安全漏洞检测方法。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的方法和方法，可以通过其它的方式实现。例如，以上所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个方法，或一些特征可以忽略，或不执行。上述单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种API安全漏洞检测方法，其特征在于：

包括：

S1、监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；

S2、创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；

S3、配置漏洞检测规则；

S4、将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；

S5、基于漏洞检测结果，生成测试报告。

2.根据权利要求1所述的一种API安全漏洞检测方法，其特征在于：

步骤S1的具体过程如下：

S101、定义监听的本地端口号；

S102、将自动化工具的网络代理设置为步骤S101中定义的监听地址及端口号；

S103、将自动化工具发送出的所有测试数据缓存至redis消息队列中。

3.根据权利要求1所述的一种API安全漏洞检测方法，其特征在于：

步骤S2的具体过程如下：

S201、从配置文件中解析安全测试配置相关的信息，包括任务名称、线程数、进程数、redis连接信息、被测目标；

S202、从redis消息队列中循环读取测试数据，将测试数据传递至进程池，由进程池启动漏洞检测引擎。

4.根据权利要求1所述的一种API安全漏洞检测方法，其特征在于：

步骤S3的具体过程如下：

使用统一格式将POC都编写于配置文件中；当需要增加新的POC、修改现有POC时，在配置文件中进行新增、修改对应的POC；并通过POC规则杜绝采用有害化的攻击载荷。

5.根据权利要求1所述的一种API安全漏洞检测方法，其特征在于：

步骤S4的具体过程如下：

通过解析POC配置文件获取POC数据，遍历所有POC数据并对POC数据进行如下处理：

S401、判断POC是否需要对原生请求的请求体进行处理，若是，则判断原生请求中请求体参数是否为空；

S402、若不参数不为空，则对请求体参数进行递归遍历，并根据POC对所有参数进行处理；

S403、判断POC是否需要对原生请求的请求头进行处理，若是则对请求头进行处理，完成第一次变异；

S404、发送变异后的请求，判断是否依据实际的请求进行漏洞判断，若是则根据POC的设置对原生请求进行第二次变异；

S405、根据两次变异请求的响应对比结果判断是否存在安全漏洞。

6.根据权利要求1所述的一种API安全漏洞检测方法，其特征在于：

步骤S5的具体过程如下：

测试报告引擎解析漏洞检测引擎生成的测试结果生成测试报告，测试报告包含漏洞探测请求的请求数据和响应数据。

7.一种API安全漏洞检测系统，其特征在于：

包括：

被动代理脚本，监听自动化工具以及网络请求工具发出的http请求，并将http请求缓存至redis消息队列中；

启动入口，创建测试任务，创建进程池，从redis消息队列中取出请求数据交给进程池，由进程池启动漏洞检测引擎；

POC配置文件，配置漏洞检测规则；

漏洞检测引擎，将原生的http请求基于poc变异为漏洞探测请求，并根据poc判断响应数据是否存在安全风险，并将检测结果保存；

测试报告引擎，基于漏洞检测结果，生成测试报告。

8.一种电子设备，包括处理器以及与处理器通信连接，且用于存储所述处理器可执行指令的存储器，其特征在于：所述处理器用于执行上述权利要求1-6任一所述的一种API安全漏洞检测方法。

9.一种服务器，其特征在于：包括至少一个处理器，以及与所述处理器通信连接的存储器，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，以使所述至少一个处理器执行如权利要求1-6任一所述的一种API安全漏洞检测方法。

10.一种计算机可读取存储介质，存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1-6任一项所述的一种API安全漏洞检测方法。