[发明专利]一种基于众测平台的安全漏洞自动化验证系统

说明书

本发明公开了一种基于众测平台的安全漏洞自动化验证系统，系统执行如下步骤：步骤1，进行验证信息收集；步骤2，实施验证信息封装：将安全漏洞自动化验证系统收集到的各种漏洞详情按所属类型分类处理，对每一个类型的漏洞，提取脆弱性探测结果中漏洞的关键信息，以关键信息为提交漏洞的必要字段数据，按字段收集需要的数据，将数据进行统一接口的模块化封装；步骤3，寻找验证策略，依据可疑的漏洞标识和种类信息，选取合适的攻击脚本模板和漏洞利用工具；步骤4，进行自动化漏洞验证；步骤5，清除验证痕迹；步骤6，生成扫描报告。

技术领域

本发明属于网络安全领域，尤其涉及一种基于众测平台的安全漏洞自动化验证系统。

背景技术

近年来互联网恶意攻击事件频发，各大安全平台捕获的攻击样本数量不断增多，恶意样本分析成为了互联网安全研究领域的重点。漏洞验证即验证样本是否利用了软件漏洞进行攻击，具体的验证内容包括漏洞类型和攻击手段。现有的大部分安全众测平台，对于用户提交的安全漏洞，验证漏洞过程通常采用人工审核和验证的方式，然而人工验证存在效率低下和成本较高的问题，也导致安全众测平台漏洞审核和处置效率较低，响应不及时。因此研究一种漏洞自动化验证的新方法来缓解这些问题就显得很有意义。

漏洞多种多样，从中通服咨询设计研究院有限公司建设运营的“通服众测”平台所收集漏洞的统计情况来看，漏洞包括：1.资源管理错误2.权限许可访问控制3.缓冲区错误4.代码注入5.跨站脚本6.跨站请求伪造7.路径遍历8.SQL注入等等类型。这种缺陷起初可能是一种单纯的软件BUG，比如测试用例覆盖不全，软件业务逻辑混乱，但是经过人为的研究和利用，就变成了让软件脱离正常运行流程或者高等级权限被利用的漏洞。

现在的各大安全平台、安全漏洞扫描工具等都具备了自动化或人工的漏洞发现、漏洞收集功能，但是绝大多数平台和工具的用户缺乏一套高效的漏洞验证手段和流程，未能对漏洞进行及时处置。从实践的角度看，虽然利用漏扫工具能够发现网络中存在的安全隐患，但是目前这种漏洞扫描结果中存在相当的误报，要验证漏洞的存在性需要测试人员具有较高的专业素质，对各类漏洞原理和利用工具有一定的了解，对测试人员的能力提出了要求较高，且花费大量的时间逐个验证，难于实现大规模的漏洞发现与验证。因此，迫切需要提出一种自动化、流程化的漏洞验证方法，能自动识别并验证漏洞，减少对非专业化人员的能力要求，提高漏洞检测效率。

发明内容

针对现有技术中存在的问题，本发明提出了一种基于众测平台的安全漏洞自动化验证系统，包括客户端、控制端和验证端；

所述客户端包括了前、后台用户登录模块，任务配置模块，任务提交模块，结果显示模块和数据传输模块A；

参加众测任务的用户通过前台用户登录模块登录系统，并进行漏洞任务提交；后台用户登录模块是提供给系统管理员的系统入口，用于进行漏洞任务发布、漏洞信息审核验证操作；

所述任务配置模块负责将众测人员提交的漏洞样本以及漏洞样本对应的信息进行配置，管理员通过任务配置模块，对授权并指定的系统或指定资产、URL地址发布众测任务，推送给前台用户；同时任务配置模块还负责设置漏洞提交需要的必要字段，按字段收集漏洞情报，配置成规范化的漏洞样本；

所述任务提交模块负责将用户人工渗透测试挖掘到的漏洞上传，用户需根据任务配置模块设置的信息填写漏洞所需的所有信息，并上传到数据库，等待数据封装和漏洞自动化验证；

所述结果显示模块负责将漏洞样本验证的进度和结果进行回显；

所述数据传输模块A负责将用户的任务信息和漏洞样本信息传输到控制端；

所述控制端包括漏洞信息封装模块、控制模块和数据库模块；

所述控制模块完成漏洞样本的中转过程中与客户端和验证端的控制信息交互和样本验证状态的查询和回传；