CN117061222B - 一种漏洞数据获取方法及漏洞验证方法 - Google Patents
一种漏洞数据获取方法及漏洞验证方法 Download PDFInfo
- Publication number
- CN117061222B CN117061222B CN202311172446.8A CN202311172446A CN117061222B CN 117061222 B CN117061222 B CN 117061222B CN 202311172446 A CN202311172446 A CN 202311172446A CN 117061222 B CN117061222 B CN 117061222B
- Authority
- CN
- China
- Prior art keywords
- dast
- vulnerability
- iast
- data
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012795 verification Methods 0.000 title abstract description 7
- CSJLBAMHHLJAAS-UHFFFAOYSA-N diethylaminosulfur trifluoride Substances CCN(CC)S(F)(F)F CSJLBAMHHLJAAS-UHFFFAOYSA-N 0.000 claims abstract description 139
- 238000012360 testing method Methods 0.000 claims abstract description 57
- 239000003795 chemical substances by application Substances 0.000 claims abstract description 26
- 230000008569 process Effects 0.000 claims abstract description 13
- 230000004044 response Effects 0.000 claims abstract description 12
- 230000008439 repair process Effects 0.000 abstract description 6
- 230000010354 integration Effects 0.000 abstract description 4
- 238000001514 detection method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 4
- 238000010998 test method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 101001018259 Homo sapiens Microtubule-associated serine/threonine-protein kinase 1 Proteins 0.000 description 1
- 101000693728 Homo sapiens S-acyl fatty acid synthase thioesterase, medium chain Proteins 0.000 description 1
- 102100025541 S-acyl fatty acid synthase thioesterase, medium chain Human genes 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种漏洞数据获取方法及漏洞验证方法,涉及网络信息安全技术领域,解决了DAST与IAST在关联过程中,难以提供有效的漏洞整合信息,不利于漏洞的修复的技术问题。该方法包括:通过IAST对被测应用插入IAST代理,向DAST扫描器和已插桩应用发送测试请求数据;DAST扫描器接收测试请求数据,扫描生成DAST漏洞数据,通过转换器发送给已插桩应用的IAST代理;IAST代理接收所述测试请求数据,在ISAT的响应体里增加对应的IAST请求ID;根据IAST请求ID、DAST请求ID,将IAST漏洞数据和DAST漏洞数据进行关联。本发明能够直观的给开发人员提供漏洞整合信息,便于漏洞的修复。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种漏洞数据获取方法及漏洞验证方法。
背景技术
随着科技的不断发展,许多新兴的互联网信息技术不断涌现,为了方便各类用户进行操作,各种应用系统应运而生。在应用系统运行过程中,经常会出现一些漏洞,这些漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。攻击者可以利用这些漏洞在未授权的情况下访问或破坏系统。因此,在应用系统投入使用之前,通常需要使用各类安全检测技术来对应用系统的漏洞进行检测,以降低攻击者通过漏洞对系统的破坏概率,提升系统的安全性。
常用的应用测试有交互式应用安全测试(Interactive Application SecurityTesting,简称:IAST)、动态应用程序安全测试(Dynamic Application Security Testing,简称:DAST)、静态应用程序安全测试(Static Application Security Testing,简称:SAST)。IAST在自动或手动启动业务测试时,即可自动触发安全测试,通过测试流量即可实时地进行漏洞检测,并不会影响同时运行的其他测试活动,在此过程中不会产生脏数据。IAST的特点决定了它可以提供更高的测试准确性,并可详细地标注漏洞在应用程序代码中的确切位置,帮助开发人员修复。但IAST也存在一定的限制,由于IAST在进行漏洞检测时无需获取Payload,导致对于部分复杂的漏洞场景,难以验证漏洞的可利用性,而验证漏洞的可利用性正是DAST所擅长的。因此,需要将两种测试结合起来,以便于在复杂的漏洞检测场景中验证漏洞,从而降低推进漏洞修复工作的难度。
但现有DAST与IAST的结合过程中,DAST会频繁地扫描被测应用,导致IAST后采集应用所需信息次数过为频繁,使得应用负载过高,会影响开发和运维人员修补漏洞的效率。同时,DAST与IAST两种测试方法所考量的维度不一致,一个是从外部的请求信息及响应去判断是否存在漏洞,而另一个则是从应用内部的方法调用栈去分析是否存在漏洞,不同的检出过程也带来了两者之间结合的困扰,无法给开发人员提供有效的整合信息作为反馈。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
DAST与IAST在关联过程中,难以给开发人员提供有效的漏洞整合信息,不利于漏洞的修复。
发明内容
本发明的目的在于提供一种漏洞数据获取方法及漏洞验证方法,以解决现有技术中存在的DAST与IAST在关联过程中,难以给开发人员提供有效的漏洞整合信息,不利于漏洞的修复技术问题。本发明提供的诸多技术方案中的优选技术方案所能产生的诸多技术效果详见下文阐述。
为实现上述目的,本发明提供了以下技术方案:
本发明提供的一种漏洞数据获取方法,通过IAST和DAST关联实现,包括以下步骤:
S1、通过IAST对被测应用插入IAST代理,得到已插桩应用,向DAST扫描器和所述已插桩应用发送测试请求数据;S2、所述DAST扫描器接收所述测试请求数据,扫描生成DAST漏洞数据,通过转换器发送给所述已插桩应用的IAST代理;其中,所述DAST漏洞数据带有与所述测试请求数据对应的DAST请求ID;S3、所述IAST代理接收所述测试请求数据,根据所述测试请求数据的请求头,在ISAT的响应体里增加对应的IAST请求ID;S4、根据所述IAST请求ID、DAST请求ID,将所述IAST代理采集的IAST漏洞数据,以及所述DAST扫描器扫描的DAST漏洞数据进行关联,得到总的漏洞数据;
步骤S4中,DAST漏洞数据和IAST漏洞数据进行关联,包括以下步骤:S41、获取所述DAST漏洞数据响应头中的DAST请求ID,并上报至所述IAST的结构体中;S42、获取所述DAST漏洞数据中的漏洞信息,与所述IAST漏洞数据中的同种漏洞信息进行关联;S43、将关联后的信息也上报至所述IAST的结构体中。
优选的,步骤S1中,通过DAST代理向所述DAST扫描器、已插桩应用发送测试请求数据,所述DAST代理配置过程中,在所述测试请求数据的请求头中加入请求标识。
优选的,步骤S2中,所述DAST漏洞数据还带有DAST标识。
优选的,所述IAST代理根据所述请求标识、DAST标识区分所述测试请求数据、DAST漏洞数据。
优选的,若所述IAST代理接收所述DAST漏洞数据,则不采集所述DAST漏洞数据的调用栈信息。
优选的,步骤S4中,通过以下两种方式进行关联:接收所述DAST扫描器推送的所述DAST漏洞数据,或主动从所述DAST扫描器的接口拉取所述DAST漏洞数据。
优选的,所述IAST漏洞数据、DAST漏洞数据进行关联之后,在Web页面查看已关联的漏洞数据,和修改关联不正确的漏洞数据;所述漏洞数据包括漏洞等级、各个等级的漏洞数量、漏洞类型和漏洞的Payload信息。
优选的,所述IAST为洞态IAST。
一种漏洞可利用性的验证方法,基于以上任一所述的一种漏洞数据获取方法获取的漏洞数据对漏洞的可利用性进行验证。
实施本发明上述技术方案中的一个技术方案,具有如下优点或有益效果:
本发明通过给IAST漏洞信息和DAST漏洞信息分别增加与测试请求信息相对应的标识,再根据标识将两种漏洞信息关联起来,在IAST检测漏洞后,网安相关的工作人员可通过DAST扫描IAST检测所不能获取的漏洞信息,如Payload信息,对DAST检测验证过的漏洞进行漏洞复现,降低了在无源代码时的漏洞复现成本;同时,将漏洞报送至研发人员,通过具体的Payload信息便于工作人员进行漏洞排查,降低研发修复漏洞的成本。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,附图中:
图1是本发明实施例一一种漏洞数据获取方法的流程图;
图2是本发明实施例一DAST漏洞数据和IAST漏洞数据进行关联的流程图;
图3是本发明实施例一DAST漏洞数据和IAST漏洞数据关联后的第一Web网页图;
图4是本发明实施例一DAST漏洞数据和IAST漏洞数据关联后的第二Web网页图;
图5是本发明实施例一DAST漏洞数据和IAST漏洞数据关联后的第三Web网页图;
图6是本发明实施例一DAST漏洞数据和IAST漏洞数据关联后的第四Web网页图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下文将要描述的各种示例性实施例将要参考相应的附图,这些附图构成了示例性实施例的一部分,其中描述了实现本发明可能采用的各种示例性实施例。除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。应明白,它们仅是与如所附权利要求书中所详述的、本发明公开的一些方面相一致的流程、方法和装置等的例子,还可使用其他的实施例,或者对本文列举的实施例进行结构和功能上的修改,而不会脱离本发明的范围和实质。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”等指示的是基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的元件必须具有的特定的方位、以特定的方位构造和操作。术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。术语“多个”的含义是两个或两个以上。术语“相连”、“连接”应做广义理解,例如,可以是固定连接、可拆卸连接、一体连接、机械连接、电连接、通信连接、直接相连、通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明,仅示出了与本发明实施例相关的部分。
实施例一:
如图1所示,本发明提供了一种漏洞数据获取方法,包括以下步骤:S1、通过IAST对被测应用插入IAST代理,得到已插桩应用,向DAST扫描器和已插桩应用发送测试请求数据;向被测应用插入IAST代理就是在被测应用程序运行时的代码里插入一个额外的agent,即“插桩”,又称“程序插桩”,是指在保证被测程序原有逻辑完整性的基础上在程序中插入“探针”,通过“探针”的执行获取程序的运行特征数据(即运行时数据),并通过对上述特征数据的分析,获得程序的控制流和数据流,进而得到逻辑覆盖等动态信息,从而实现测试目的的方法。其中的“探针”,本质上是进行信息采集的代码片段,可以是赋值语句或采集覆盖信息的函数调用;该agent可以通过HTTP/HTTPS协议与应用程序进行通信,从而监视应用程序的执行路径、数据流和输入输出,该agent即为本实施例的IAST代理;该测试请求数据为用户在浏览器进行测试时,发出的各种请求,如GET请求、POST请求、PUT请求等。
S2、DAST扫描器接收测试请求数据,扫描生成DAST漏洞数据,通过转换器发送给已插桩应用的IAST代理;转换器即适配器,用于将一个类的接口转换成客户希望的另外一个接口,使得原本由于接口不兼容而不能一起工作的类能一起工作,采用转换器将DAST的数据格式转换为IAST的数据格式,便于将IAST漏洞数据和DAST数据进行关联,并且在Web页面上显示;其中,DAST漏洞数据带有与测试请求数据对应的DAST请求ID;在生成DAST漏洞数据的过程中,根据测试请求数据的请求头在DAST漏洞数据的响应体里增加对应的DAST请求ID,便于后续与IAST漏洞数据进行关联。
S3、IAST代理接收测试请求数据,根据测试请求数据的请求头,在ISAT的响应体里增加对应的IAST请求ID;同理,通过两个请求ID便于将两种漏洞数据进行关联。
S4、根据IAST请求ID、DAST请求ID,将IAST代理采集的IAST漏洞数据,以及DAST扫描器扫描的DAST漏洞数据进行关联,得到总的漏洞数据。IAST漏洞数据和DAST漏洞数据都对应有一个测试请求数据,根据请求ID将对应有相同测试请求数据的IAST漏洞数据和DAST漏洞数据进行关联,如一个IAST漏洞数据的IAST请求ID对应GET请求的请求头,一个DAST漏洞数据的DAST请求ID也对应GET请求的请求头,则将这两个漏洞数据进行关联。
本实施例通过给IAST漏洞信息和DAST漏洞信息分别增加与测试请求信息相对应的标识,再根据标识将两种漏洞信息关联起来,在IAST检测漏洞后,网安相关的工作人员可通过DAST扫描IAST检测所不能获取的漏洞信息,如Payload信息,对DAST检测验证过的漏洞进行漏洞复现,降低了在无源代码时的漏洞复现成本;同时,将漏洞报送至研发人员,通过具体的Payload信息便于工作人员进行漏洞排查,降低研发修复漏洞的成本。
作为可选择的实施方式,步骤S1中,通过DAST代理向DAST扫描器、已插桩应用发送测试请求数据,DAST代理配置过程中,在测试请求数据的请求头中加入请求标识。该请求标识为唯一的标识,用于区分IAST代理接收的请求数据是直接经过DAST代理发送的,还是由DAST代理发送给DAST扫描器,再由DAST扫描器发送来的。步骤S2中,DAST漏洞数据还带有DAST标识。该DAST标识也是用来识别测试请求数据是经过DAST扫描器发送来的。IAST代理根据请求标识、DAST标识区分测试请求数据、DAST漏洞数据。IAST代理可以根据请求标识、DAST标识快速且准确无误识别出接收的数据是测试请求数据还是DAST漏洞数据。若IAST代理接收DAST漏洞数据,则不采集DAST漏洞数据的调用栈信息;从而降低被测应用再DAST测试时的负载。若识别到接收的请求为测试请求数据,则IAST代理采集测试请求数据的调用栈信息,并给响应体中生成dt-request-id标记,该dt-request-id标记包含唯一的请求标识和对应的IAST请求ID;用于后续与DAST漏洞信息进行关联。
作为可选择的实施方式,步骤S4中,通过以下两种方式进行关联:接收DAST扫描器推送的DAST漏洞数据,或主动从DAST扫描器的接口(通常为API,应用程序接口)拉取DAST漏洞数据。接收推送数据的实时性较高,主动拉取数据能够减轻DAST扫描器的应用负载,可根据实际情况进行选择。
如图2所示,步骤S4中,DAST漏洞数据和IAST漏洞数据进行关联,包括以下步骤:S41、获取DAST漏洞数据响应头中的DAST请求ID,并上报至IAST的结构体中;S42、获取DAST漏洞数据中的漏洞信息,与IAST漏洞数据中的同种漏洞信息进行关联;S43、将关联后的信息也上报至IAST的结构体中。
如关联漏洞类型信息,根据IAST的漏洞类型vul_type字段,在DAST扫描器的转换器代码vultype.go的Vultype方法中进行关联;若关联漏洞等级信息,则根据IAST的漏洞类型level字段,在DAST扫描器的转换器代码vultype.go中的VulLevel方法中进行关联;若关联漏洞项目信息,则根据IAST代理上报的响应头dt-request-id,获得IAST请求ID,用于关联IAST和DAST至同一个项目;其中,Vultype、VulLevel为两个调用函数名,里面分别包含漏洞类型、漏洞等级的关联名字。通过插桩IAST代理把请求标识写入响应头,则能够在测试数据、IAST漏洞数据和DAST漏洞数据中拿到请求ID,转换器从三份数据中获取关联信息进行绑定,在Web界面中进行漏洞数据展示。本实施例的IAST为洞态IAST。洞态IAST为一种被动式IAST检测产品,支持微服务架构下跨服务漏洞场景检测,应用安全漏洞类型覆盖率高,所有核心规则均开放且可自定义,其Agent稳定、性能占用低,升级维护便捷,是本实施例的优选。
如图3所示,将IAST和DAST的漏洞检测结果进行了关联,并且在洞态Web页面上直观展示,可以看到应用程序内的漏洞信息、其所包含的严重、高危、中危和低危的漏洞数量,以及关联信息。如图4所示,每一个DAST扫描器扫描漏洞都会展示其所有的漏洞信息,开发人员可以根据这些漏洞信息进行漏洞修复,降低获得漏洞信息的成本。如图5所示,每一个DAST漏洞都会展示其详细的Payload信息和返回信息,“Payload”,即“有效载荷”,是指数据传输中被承载运输的实际信息,通常也称作实际数据或数据体;在漏洞验证的攻击测试过程中,“有效载荷”是用于验证被测应用程序是否潜藏相应类型漏洞的有效测试数据;如图6所示,还关联了漏洞等级和漏洞类型,将根据Payload信息验证得到的漏洞等级和漏洞类型信息也和IAST关联,能够自动验证漏洞。
作为可选择的实施方式,IAST漏洞数据、DAST漏洞数据进行关联之后,在Web页面查看已关联的漏洞数据,和修改关联不正确的漏洞数据;漏洞数据包括漏洞等级、各个等级的漏洞数量、漏洞类型和漏洞的Payload信息。在Web页面直观的提供Payload信息,便于工作人员对漏洞进行排查以及修复,还降低了研发漏洞的修复成本。
实施例仅是一个特例,并不表明本发明就这样一种实现方式。
实施例二:
本实施例二与实施例一的不同点在于:一种漏洞可利用性的验证方法,基于实施例一任一所述的一种漏洞数据获取方法获取的漏洞数据对漏洞的可利用性进行验证。漏洞可利用性是指漏洞被攻击者利用的可能性,是漏洞的固有属性。本实施例将IAST和DAST的漏洞检测结果进行关联,能够直观的自动验证漏洞的可利用性,并且在Web界面提供Payload、漏洞等级、漏洞数量等关联信息,便于工作人员进行漏洞排查。
以上所述仅为本发明的较佳实施例而已,本领域技术人员知悉,在不脱离本发明的精神和范围的情况下,可以对这些特征和实施例进行各种改变或等同替换。另外,在本发明的教导下,可以对这些特征和实施例进行修改以适应具体的情况及材料而不会脱离本发明的精神和范围。因此,本发明不受此处所公开的具体实施例的限制,所有落入本申请的权利要求范围内的实施例都属于本发明的保护范围。
Claims (9)
1.一种漏洞数据获取方法,其特征在于,通过IAST和DAST关联实现,包括以下步骤:
S1、通过IAST对被测应用插入IAST代理,得到已插桩应用,向DAST扫描器和所述已插桩应用发送测试请求数据;
S2、所述DAST扫描器接收所述测试请求数据,扫描生成DAST漏洞数据,通过转换器发送给所述已插桩应用的IAST代理;其中,所述DAST漏洞数据带有与所述测试请求数据对应的DAST请求ID;
S3、所述IAST代理接收所述测试请求数据,根据所述测试请求数据的请求头,在ISAT的响应体里增加对应的IAST请求ID;
S4、根据所述IAST请求ID、DAST请求ID,将所述IAST代理采集的IAST漏洞数据,以及所述DAST扫描器扫描的DAST漏洞数据进行关联,得到总的漏洞数据;
步骤S4中,DAST漏洞数据和IAST漏洞数据进行关联,包括以下步骤:
S41、获取所述DAST漏洞数据响应头中的DAST请求ID,并上报至所述IAST的结构体中;
S42、获取所述DAST漏洞数据中的漏洞信息,与所述IAST漏洞数据中的同种漏洞信息进行关联;
S43、将关联后的信息也上报至所述IAST的结构体中。
2.根据权利要求1所述的一种漏洞数据获取方法,其特征在于,步骤S1中,通过DAST代理向所述DAST扫描器、已插桩应用发送测试请求数据,所述DAST代理配置过程中,在所述测试请求数据的请求头中加入请求标识。
3.根据权利要求2所述的一种漏洞数据获取方法,其特征在于,步骤S2中,所述DAST漏洞数据还带有DAST标识。
4.根据权利要求3所述的一种基于IAST和DAST的漏洞数据获取方法,其特征在于,所述IAST代理根据所述请求标识、DAST标识区分所述测试请求数据、DAST漏洞数据。
5.根据权利要求4所述的一种漏洞数据获取方法,其特征在于,若所述IAST代理接收所述DAST漏洞数据,则不采集所述DAST漏洞数据的调用栈信息。
6.根据权利要求1所述的一种漏洞数据获取方法,其特征在于,步骤S4中,通过以下两种方式进行关联:接收所述DAST扫描器推送的所述DAST漏洞数据,或主动从所述DAST扫描器的接口拉取所述DAST漏洞数据。
7.根据权利要求1所述的一种漏洞数据获取方法,其特征在于,所述IAST漏洞数据、DAST漏洞数据进行关联之后,在Web页面查看已关联的漏洞数据,和修改关联不正确的漏洞数据;所述漏洞数据包括漏洞等级、各个等级的漏洞数量、漏洞类型和漏洞的Payload信息。
8.根据权利要求1所述的一种漏洞数据获取方法,其特征在于,所述IAST为洞态IAST。
9.一种漏洞可利用性的验证方法,其特征在于,基于权利要求1-8任一所述的一种漏洞数据获取方法获取的漏洞数据对漏洞的可利用性进行验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311172446.8A CN117061222B (zh) | 2023-09-12 | 2023-09-12 | 一种漏洞数据获取方法及漏洞验证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311172446.8A CN117061222B (zh) | 2023-09-12 | 2023-09-12 | 一种漏洞数据获取方法及漏洞验证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117061222A CN117061222A (zh) | 2023-11-14 |
CN117061222B true CN117061222B (zh) | 2024-05-07 |
Family
ID=88666357
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311172446.8A Active CN117061222B (zh) | 2023-09-12 | 2023-09-12 | 一种漏洞数据获取方法及漏洞验证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061222B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118503992A (zh) * | 2024-07-17 | 2024-08-16 | 杭州孝道科技有限公司 | 一种基于多重特征因子签名的iast应用漏洞聚合方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111125708A (zh) * | 2019-11-25 | 2020-05-08 | 吉林亿联银行股份有限公司 | 漏洞检测方法及装置 |
CN112906011A (zh) * | 2021-05-07 | 2021-06-04 | 北京安普诺信息技术有限公司 | 漏洞发现方法、测试方法、安全测试方法及相关装置、平台 |
CN113158191A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 基于智能探针的漏洞验证方法及相关iast方法、系统 |
CN113254938A (zh) * | 2021-03-30 | 2021-08-13 | 广东华兴银行股份有限公司 | 自动化安全测试结果的处理方法、设备及介质 |
CN115357899A (zh) * | 2022-07-20 | 2022-11-18 | 深圳开源互联网安全技术有限公司 | 基于iast技术检测存储型漏洞的方法及系统 |
CN115906102A (zh) * | 2022-12-19 | 2023-04-04 | 北京天融信网络安全技术有限公司 | 应用程序的漏洞挖掘方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA3116955A1 (en) * | 2018-11-19 | 2020-05-28 | 1230604 BC Ltd. | Automation of task identification in a software lifecycle |
-
2023
- 2023-09-12 CN CN202311172446.8A patent/CN117061222B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111125708A (zh) * | 2019-11-25 | 2020-05-08 | 吉林亿联银行股份有限公司 | 漏洞检测方法及装置 |
CN113254938A (zh) * | 2021-03-30 | 2021-08-13 | 广东华兴银行股份有限公司 | 自动化安全测试结果的处理方法、设备及介质 |
CN112906011A (zh) * | 2021-05-07 | 2021-06-04 | 北京安普诺信息技术有限公司 | 漏洞发现方法、测试方法、安全测试方法及相关装置、平台 |
CN113158191A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 基于智能探针的漏洞验证方法及相关iast方法、系统 |
CN115357899A (zh) * | 2022-07-20 | 2022-11-18 | 深圳开源互联网安全技术有限公司 | 基于iast技术检测存储型漏洞的方法及系统 |
CN115906102A (zh) * | 2022-12-19 | 2023-04-04 | 北京天融信网络安全技术有限公司 | 应用程序的漏洞挖掘方法及装置 |
Non-Patent Citations (1)
Title |
---|
一种基于渗透性测试的Web漏洞扫描系统设计与实现;齐建臣;卫国;;现代电子技术;20090401(07);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117061222A (zh) | 2023-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110730246A (zh) | 一种微服务架构下的分布式链路跟踪方法 | |
McHugh | Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory | |
US9639456B2 (en) | Network-based testing service and method of testing in a network | |
CN101242279B (zh) | 用于web系统的自动化渗透性测试系统和方法 | |
US8079017B2 (en) | Automated QS interface testing framework | |
CN107046526A (zh) | 基于Fuzzing算法的分布式异构网络漏洞挖掘方法 | |
CN117061222B (zh) | 一种漏洞数据获取方法及漏洞验证方法 | |
EP1990972A1 (en) | Method for testing safety access protocol conformity to identification service entity and system thereof | |
CN101902367A (zh) | 一种产生测试用例的方法及装置 | |
CN111813696A (zh) | 应用测试方法、装置、系统及电子设备 | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
Byres et al. | On shaky ground-a study of security vulnerabilities in control protocols | |
CN112199277A (zh) | 一种基于浏览器的缺陷复现方法、装置、设备及存储介质 | |
CN116405412A (zh) | 服务端集群的有效性验证方法和系统 | |
CN112116997B (zh) | 远程诊断的方法、装置及系统、电子设备、计算机可读存储介质 | |
CN113868669A (zh) | 一种漏洞检测方法及系统 | |
CN106972983A (zh) | 网络接口的自动化测试装置及方法 | |
US7653742B1 (en) | Defining and detecting network application business activities | |
CN112799956B (zh) | 资产识别能力测试方法、装置及系统装置 | |
CN115269415A (zh) | 一种基于仿真场景用例的接口测试系统和方法 | |
CN105490878B (zh) | 网管服务器性能测试方法和设备 | |
CN114564387A (zh) | 一种针对OpenStack云平台的场景式自动化测试方法及系统 | |
CN115470095A (zh) | 一种测试方法、系统、电子设备及计算机存储介质 | |
CN112487433A (zh) | 一种漏洞的检测方法、装置及存储介质 | |
CN115473788B (zh) | 一种存储告警测试方法、装置、设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20231117 Address after: Room 301, building 1, No. 5, Xiaguangli, Chaoyang District, Beijing 100027 Applicant after: Beijing keynote Network Inc. Address before: 22, 1st Floor, South Building, Xijiao Hotel, No. 18 Wangzhuang Road, Haidian District, Beijing, 100083 Applicant before: Beijing safety consensus Technology Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |