[发明专利]基于模拟攻击的Web应用程序漏洞检测方法

说明书

技术领域

本发明属于漏洞检测方法，特别是基于模拟攻击的Web应用程序漏洞检测方法。

背景技术

随着Internet技术的发展，Web应用程序得到了日益广泛的应用，也融入到人们的日常生活中。一方面，Internet由早期的静态站点发展到动态站点，近年来的Ajax，DOJO等技术标志着Web2.0时代的到来；另一方面程序逐渐覆盖到生活的各个领域，如网上银行，电子商务，微博客等。Web应用程序的广泛应用使得人们的生活变得更加方便和快捷，但同时也导致漏洞可能带来更加危险的安全隐患，产生更加危险的后果。

Web应用程序的出现使得网络安全边界发生了新的变化，新的安全边界要求所有应用程序设计和开发人员要主动承担起保护用户的责任，研究漏洞攻击、防御和检测技术，设计出更高水平的具有更高安全性的Web应用程序，使用户免受Web应用程序漏洞攻击的危害。

为了更好的保护Web应用程序，使之免受非法入侵和攻击，Web应用程序漏洞检测系统的开发者采用模拟攻击的方式，主动地对Web应用程序进行漏洞检测，使得该技术成为了一项非常重要的网络防护工具开发的技术。在模拟攻击检测技术中，开发者模拟黑客对待测Web应用程序发起攻击，并根据返回结果判断Web应用程序中是否包含特定的漏洞。因此，怎样在检测中全面的覆盖Web应用程序中的漏洞以及怎样准确、快速地检测就成了研究的重要课题。

发明内容

本发明的目的在于提供一种基于模拟攻击的Web应用程序漏洞检测方法，采用模拟攻击的检测模式，模拟恶意攻击者向Web应用程序发动攻击，实现通过Web应用程序的返回信息来判断漏洞是否存在。

实现本发明目的的技术解决方案为： 基于模拟攻击的Web应用程序漏洞检测方法，该方法包括漏洞检测系统，目标系统和后台数据库三部分，具体包括步骤如下：

步骤1：通过爬虫模块遍历整个Web应用程序，分析HTML源代码并从中提取关键信息，得到传递数据使用的方式，同时根据远程文件包含漏洞、文件上传漏洞和路径遍历漏洞的特征将可能存在漏洞的页面进行分类并做出标记；

步骤2：进行模拟攻击，模拟攻击检测模块通过爬虫模块获得URL地址，发送经过参数替换的URL地址向目标Web应用程序请求数据，并通过Web应用程序返回信息来判断是否存在漏洞；

步骤3：采取分级漏洞检测方法，在同一个Web应用程序中设置有不同等级漏洞的页面，针对同一个页面使用不同的包含参数，通过使用不同包含参数改造的URL地址请求得到的Web应用程序的反应来判断该页面的漏洞级别。

本发明与现有技术相比，其显著优点：

1)采用模拟攻击的检测模式，更具有实用性；

2)将各漏洞检测引擎模块化、插件化，便于不同漏洞检测引擎的整合以及新的漏洞检测引擎的扩充；

3)对Web应用程序的漏洞进行了分类，使安全检测更全面准确；

4)运行效率较高，能够出具全面、详细、直观的检测报告和分析报告。

附图说明

图1是Web应用程序漏洞检测系统结构图。

图2是漏洞检测系统流程图。

图3是页面爬虫流程图。

图4是分级检测流程图。

图5是模拟攻击检测模块交互图。

具体实施方式

下面结合附图和实施例来进一步描述本发明。

图1是Web应用程序漏洞检测系统结构图，该系统中主要包括漏洞检测系统、目标系统和后台数据库三个部分。所述的漏洞检测系统包括控制模块、设置模块、爬虫模块、模拟攻击检测模块和显示分析模块，分别用于完成整体控制、检测设置、Web页面爬虫和结构提取、模拟攻击以及显示分析功能。所述的目标系统包括六种常见Web应用程序漏洞，分别为SQL注入漏洞、动态执行漏洞、不安全的直接对象引用漏洞、远程文件包含漏洞、文件上传漏洞和路径遍历漏洞，通过使用Web应用程序漏洞检测系统对该目标系统进行检测得到实验结果，并将该结果与预期值进行比较，得出系统性能、效率及准确度的相关数据。