[发明专利]漏洞检测方法、装置、电子设备及计算机可读介质在审
| 申请号: | 202111580679.2 | 申请日: | 2021-12-22 |
| 公开(公告)号: | CN114238136A | 公开(公告)日: | 2022-03-25 |
| 发明(设计)人: | 肖芫莹 | 申请(专利权)人: | 中国电信股份有限公司 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 北京律智知识产权代理有限公司 11438 | 代理人: | 王辉;阚梓瑄 |
| 地址: | 100033 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 漏洞 检测 方法 装置 电子设备 计算机 可读 介质 | ||
本公开涉及一种漏洞检测方法、装置、电子设备及计算机可读介质,属于计算机技术领域。该方法包括:获取针对于应用系统的外部请求,并根据所述外部请求得到目标请求参数;获取预先定义的漏洞负载列表,其中,所述漏洞负载列表中包含预先定义的用于引发漏洞的初始请求内容;根据所述漏洞负载列表中的初始请求内容以及所述目标请求参数生成针对于所述应用系统的测试请求;根据所述测试请求得到对应的测试结果,并根据所述测试结果确定所述应用系统的安全漏洞。本公开通过在交互式应用安全检测系统的基础上,基于用户自定义参数进行规则的扩展,可以提高安全检测的覆盖率,提高安全漏洞的检出率。
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种漏洞检测方法、漏洞检测装置、电子设备及计算机可读介质。
背景技术
交互式应用安全检测结合了动静态安全检测,通过对请求进行分析和处理,达到发现安全漏洞的目的。它具备能够溯源漏洞的同时准确度较高的特点。
然而,交互式应用安全检测作为一种较为新颖的检测技术,目前存在检测规则较少,漏洞检出率较低,无法满足用户需求等问题。
鉴于此,本领域亟需一种能够提高安全检测的覆盖率,提高安全漏洞的检出率的漏洞检测方法。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种漏洞检测方法、漏洞检测装置、电子设备及计算机可读介质,进而至少在一定程度上提高安全检测的覆盖率,提高安全漏洞的检出率。
根据本公开的第一个方面,提供一种漏洞检测方法,包括:
获取针对于应用系统的外部请求,并根据所述外部请求得到目标请求参数;
获取预先定义的漏洞负载列表,其中,所述漏洞负载列表中包含预先定义的用于引发漏洞的初始请求内容;
根据所述漏洞负载列表中的初始请求内容以及所述目标请求参数生成针对于所述应用系统的测试请求;
根据所述测试请求得到对应的测试结果,并根据所述测试结果确定所述应用系统的安全漏洞。
在本公开的一种示例性实施例中,所述根据所述外部请求得到目标请求参数,包括:
判断所述外部请求是否为目标请求;
若所述外部请求为所述目标请求,则根据所述外部请求得到目标请求参数。
在本公开的一种示例性实施例中,所述判断所述外部请求是否为目标请求,包括:
获取预先定义的目标检测请求种类,并将所述外部请求与所述目标检测请求种类进行比对;
若所述外部请求属于所述目标检测请求种类,则将所述外部请求确定为目标请求。
在本公开的一种示例性实施例中,所述根据所述测试结果确定所述应用系统的安全漏洞,包括:
将所述测试结果与预先定义的目标检测结果进行比对,判断所述应用系统的安全漏洞是否存在。
在本公开的一种示例性实施例中,所述将所述测试结果与预先定义的目标检测结果进行比对,判断所述应用系统的安全漏洞是否存在,包括:
判断所述测试结果与预先定义的目标检测结果是否相同;
若所述测试结果与预先定义的目标检测结果相同,则判定所述应用系统的安全漏洞存在。
在本公开的一种示例性实施例中,所述判断所述测试结果与预先定义的目标检测结果是否相同,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电信股份有限公司,未经中国电信股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111580679.2/2.html,转载请声明来源钻瓜专利网。
