[发明专利]web白盒扫描方法及装置

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种web白盒扫描方法及装置。

背景技术

现有技术的web白盒代码扫描工具采用的扫描技术均为静态代码扫描，具体可分为两种：第一种是从用户输入跟踪变量，进行传递式的静态代码扫描；第二种是根据易产生安全问题的关键字列表遍历，进行代码回溯式的静态代码扫描。

由于从用户输入来跟踪变量的传递也是需要关键的，因此目前的白盒代码扫描工具以第二种居多，或者两种同时采用。具体的工作流程如下：

1、利用关键字遍历代码；

2、基于词法分析模式进行跟踪/回溯代码；

3、跟踪至风险点/回溯至用户输入；

4、将风险点到用户输入整个过程及其所属漏洞类型输出到报告。

现有技术存在的问题是，只是单纯地静态扫描代码，扫描过程中容易因各种代码逻辑、处理方式不同等因素而导致在跟踪/回溯代码期间无法回溯到用户输入，直接将风险点输出到报告，从而导致报告中的结果误报率很高，因此需要人工重新验证报告中代码安全漏洞的真实性，降低工作效率。

发明内容

本发明旨在至少解决上述技术问题之一。

为此，本发明的一个目的在于提出一种可以提高代码审计的效率和准确度的web白盒扫描方法。

本发明的另一目的在于提出一种web白盒扫描装置。

为了实现上述目的，根据本发明的第一方面实施例的web白盒扫描包括以下步骤：搭建web环境；使用关键字遍历所述web环境的静态代码；根据遍历结果并基于词法分析对所述静态代码进行跟踪和/或回溯；当跟踪到风险点并回溯至用户输入时，反馈所述风险点到所述用户输入的过程以及所述风险点的漏洞类型；根据所述漏洞类型、所述风险点以及所述用户输入构造攻击请求；将所述攻击请求发送到所述web环境；以及根据所述web环境对所述攻击请求的响应页面判断所述漏洞是否是真实漏洞。

根据本发明实施例的web白盒扫描方法，通过构造攻击请求进行真实攻击判断漏洞的真实性，大幅度提高了代码安全审计的准确度，降低误报率，同时大大提高了代码安全审计的效率，降低开发成本。

为了实现上述目的，根据本发明的第二方面实施例的web白盒扫描装置包括：搭建模块，所述搭建模块用于搭建web环境；遍历模块，所述遍历模块用于使用关键字遍历所述web环境的静态代码；跟踪模块，所述跟踪模块用于根据遍历结果并基于词法分析对所述静态代码进行跟踪和/或回溯；反馈模块，所述反馈模块用于当跟踪到风险点并回溯至用户输入时，反馈所述风险点到所述用户输入的过程以及所述风险点的漏洞类型；构造模块，所述构造模块用于根据所述漏洞类型、所述风险点以及所述用户输入构造攻击请求；发送模块，所述发送模块用于将所述攻击请求发送到所述web环境；以及判断模块，所述判断模块用于根据所述web环境对所述攻击请求的响应页面判断所述漏洞是否是真实漏洞。

根据本发明实施例的web白盒扫描装置，通过构造模块构造攻击请求进行攻击，并通过判断模块根据攻击请求的响应页面判断漏洞的真实性，大幅度提高了代码安全审计的准确度，降低误报率，同时大大提高了代码安全审计的效率，降低开发成本。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，

图1是根据本发明一个实施例的web白盒扫描方法的流程图；

图2是根据本发明一个实施例的web白盒扫描方法的流程图；

图3是根据本发明一个实施例的web白盒扫描装置的结构框图；以及

图4是根据本发明一个实施例的web白盒扫描装置的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。