[发明专利]基于智能探针的漏洞验证方法及相关IAST方法、系统

权利要求书

1.一种基于智能探针的漏洞验证方法，其特征在于，该方法基于Agent技术，包括：

在服务端，对目标程序中的目标关键函数插桩相应的智能探针；对应目标类型漏洞，在目标程序中包括至少一个的目标关键函数；以及对目标程序插桩第一辅助探针；

所述智能探针，被配置为接收相应的模拟攻击测试的报文的有效报文内容，和在所述模拟攻击测试的数据流执行到所述智能探针的插桩点时获取有效运行时数据，以及根据所述有效运行时数据和其对应的被插桩目标关键函数信息，及接收的所述模拟攻击测试报文有效报文内容，判断该被插桩目标关键函数在受到所述模拟攻击时是否异常执行，进而确定目标程序中是否潜藏目标类型漏洞；

所述第一辅助探针，被配置为用于获取所述的模拟攻击测试报文有效报文内容、并提供给所述智能探针；且使所述第一辅助探针能够被复用，用于获取不同的目标类型漏洞的模拟攻击测试报文有效报文内容；

其中，所述模拟攻击测试，是指基于模拟攻击用于检测是否存在目标类型漏洞的测试；所述模拟攻击测试报文，应携带有能够触发目标类型漏洞的有效载荷。

2.根据权利要求1所述的方法，其特征在于，

所述智能探针判断其所插桩的目标关键函数在受到针对性的模拟攻击时是否异常执行的过程，包括：

D1：判断所述模拟攻击测试报文的有效报文内容中是否包括能够触发目标类型漏洞的有效载荷参数；若是，则继而，D2：根据所述模拟攻击测试报文中的有效载荷参数内容，和所述有效运行时数据、目标关键函数信息，判断所述有效运行时数据中是否包括经无害化处理的所述模拟攻击测试报文的有效载荷参数内容；若否，则判定目标关键函数异常执行；

或包括：

配置得使所述智能探针接收的所述模拟攻击测试报文的有效报文内容中还应包括请求参数值；D1：判断所述模拟攻击测试报文的有效报文内容中是否包括能够触发目标类型漏洞的有效载荷参数；若是，则继而，D2：根据所述模拟攻击测试报文中的有效载荷参数内容，和所述有效运行时数据、目标关键函数信息，判断所述有效运行时数据中是否包括经无害化处理的所述模拟攻击测试报文的有效载荷参数内容；以及，D3：判断所述有效运行时数据中是否包括所述请求参数值；若D2为否且D3为是，则判定目标关键函数异常执行。

3.根据权利要求1所述的方法，其特征在于，

对于目标类型漏洞，对目标程序插入的智能探针，能够独立地用于确定目标程序中是否潜藏了目标类型漏洞；

和/或，

对目标程序插桩第二辅助探针；所述第二辅助探针，被用于获取目标程序返回给测试端的响应报文；其中，所述的响应报文，用于目标类型漏洞验证的辅助分析。

4.根据权利要求3所述的方法，其特征在于，

所述的第二辅助探针，能够被复用于不同的目标类型漏洞的验证过程中的有着相同获取位点、符合相同内容格式要求的响应报文的获取，和为相应的漏洞验证辅助分析过程提供相应的响应报文。

5.根据权利要求1或3任一所述的方法，其特征在于，

采用运行时插桩的方式，对目标程序插桩相应的探针。

6.根据权利要求1所述的方法，其特征在于，

所述有效运行时数据，还包括：函数调用栈信息；所述的函数调用栈信息，包括能够确定目标类型漏洞触发的代码行信息；所述函数调用栈信息，用于准确定位目标类型漏洞的位置。

7.一种基于内置智能探针的主动型IAST方法，其特征在于，该IAST方法包括：

在服务端，执行权利要求1-6任一所述的漏洞验证方法的操作，对目标程序插桩智能探针，和在接受模拟攻击测试时，通过相应的智能探针对目标程序中可能潜藏的已知类型漏洞进行验证性检测；以及在测试端产生模拟攻击测试流量，模拟攻击服务端目标程序，提供相应的模拟攻击测试；其中，所述模拟攻击测试，是指基于模拟攻击用于检测是否存在目标类型漏洞的测试；使产生的所述模拟攻击流量中包括相应的模拟攻击测试报文；所述模拟攻击测试报文，应携带有能够触发目标类型漏洞的有效载荷。