[发明专利]web应用的漏洞检测方法、设备及计算机可读存储介质

说明书

本申请提供了一种web应用的漏洞检测方法、设备及计算机可读存储介质。其中，web应用的漏洞检测方法包括：在web容器中加载漏洞检测探针；通过漏洞检测探针，从多种漏洞信息源中分别获取多个相互之间具备异质性的安全漏洞信息；根据安全漏洞信息，判断待测web应用是否存在安全漏洞。本申请能够有效地提升对待测web应用进行漏洞检测时的全面性、准确性和及时性。

【技术领域】

本申请涉及计算机技术领域，尤其涉及一种web应用的漏洞检测方法、设备及计算机可读存储介质。

【背景技术】

相关技术中，web应用的漏洞检测通常基于单一的安全测试技术实现，比如DAST(Dynamic Application Security Testing，动态应用程序安全测试)技术、SAST(StaticApplication Security Testing，静态应用程序安全测试)技术和IAST(InteractiveApplication Security Testing，交互式应用程序安全测试)技术等。这些安全测试技术只能在web应用的测试和开发阶段使用，无法在产线上对web应用进行实时地防护；而且，类似于SAST技术，还需要web应用的源码，这将为web应用的隐私(比如知识产权的代码等)带来极大地泄露风险。

为此，RASP(Runtime Application Self-Protection，运行时应用程序自我保护)技术被引入至web应用的漏洞检测中。目前，基于RASP技术的漏洞检测方法通常是将WAF(Web Application Fireware，web应用防火墙)的规则匹配与硬件相结合，其从分析网络流量的角度出发，并没有真正深入到web应用的代码级别，而且，漏洞信息的来源也较为单一；从而导致对web应用进行漏洞检测时的全面性、及时性和准确性均较低。

因此，有必要对上述基于RASP技术的漏洞检测方法进行改进。

【发明内容】

本申请提供了一种web应用的漏洞检测方法、设备及计算机可读存储介质，旨在解决相关技术中对web应用进行漏洞检测时的全面性、及时性和准确性均较低的问题。

为了解决上述技术问题，本申请实施例第一方面提供了一种web应用的漏洞检测方法，包括：

在web容器中加载漏洞检测探针；

通过所述漏洞检测探针，从多种漏洞信息源中分别获取多个相互之间具备异质性的安全漏洞信息；

根据所述安全漏洞信息，判断待测web应用是否存在安全漏洞。

本申请实施例第二方面提供了一种web应用的漏洞检测设备，包括：存储装置以及一个或多个处理器；所述存储装置用于存储一个或多个程序，其中，当一个或多个所述程序被一个或多个所述处理器执行时，使得一个或多个所述处理器执行如本申请实施例第一方面所述的web应用的漏洞检测方法。

本申请实施例第三方面提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有可执行指令，所述可执行指令被执行时执行如本申请实施例第一方面所述的web应用的漏洞检测方法。

从上述描述可知，与相关技术相比，本申请的有益效果在于：