[发明专利]基于智能探针的漏洞验证方法及相关IAST方法、系统有效
申请号: | 202110576575.8 | 申请日: | 2021-05-26 |
公开(公告)号: | CN113158191B | 公开(公告)日: | 2022-01-07 |
发明(设计)人: | 张涛;宁戈;牛伟颖;刘恩炙 | 申请(专利权)人: | 北京安普诺信息技术有限公司 |
主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/57 |
代理公司: | 北京万象新悦知识产权代理有限公司 11360 | 代理人: | 贾晓玲 |
地址: | 100085 北京市海淀区*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 智能 探针 漏洞 验证 方法 相关 iast 系统 | ||
本申请提供一种基于智能探针的漏洞验证方法及相关IAST方法、系统,并涉及计算机网络信息安全领域。其中,包括:通过对目标程序插桩智能探针,和在接受模拟攻击测试时,使相应的智能探针能够对目标程序中可能潜藏的已知类型漏洞作出验证,以实现服务端的漏洞主动验证;以及在此基础上,通过配套可控的测试单元,提供所需的模拟攻击测试,来实现主动型IAST灰盒测试。较之现有技术,能够通过内置轻量级智能探针,提供更为智能的、高效的、易用的且低侵入性和使被测程序无感知的IAST灰盒测试。
技术领域
本公开的实施例主要涉及计算机软件安全测试领域,并且更具体地,涉及一种基于智能探针的漏洞验证方法及相关IAST方法、系统。
背景技术
随着数字时代的到来,基于B/S的Web应用技术被广泛用于政企业务数字化转型中。然而,随之而来的应用安全威胁也显著增加。相关研究显示,越来越多的安全漏洞发生在应用程序层,而非我们以往认知的网络层。为了确保应用程序在交付部署后能够安全稳定的提供服务,通常都会在交付前通过应用安全测试发现和修复其中的薄弱点和漏洞,以防止相关应用程序被黑客及非法人员利用而造成安全危害。然而,由于攻击侧技术的发展和开源组件应用给防守侧带来的安全挑战,加之在出于市场竞争等因素迫使开发者实体/个人开始转向能够满足频繁更新、快速发版的开发模式的大前提下,无益都给相关软件产品在交付前的应用安全测试提出了新的课题和要求。此时,面对上述情形,如何提供一种更为高效且可靠的应用安全测试以满足赋能开发测试人员快速完成相关应用业务代码交付上线前安全测试,成为一个技术难题。
发明内容
根据本公开的示例实施例,提供一种基于智能探针的漏洞验证方案,以及基于此进一步提供一种IAST灰盒安全测试方案。
在本公开的第一方面中,提供一种基于智能探针的漏洞验证方法。该方法基于Agent技术,具体包括:在服务端,对目标程序中的目标关键函数插桩相应的智能探针;其中,目标关键函数,是指相对于目标类型漏洞的关键函数;对应目标类型漏洞,在目标程序中包括至少一个的目标关键函数;所述智能探针,被配置为接收相应的模拟攻击测试的报文的有效报文内容,和在所述模拟攻击测试的数据流执行到所述智能探针的插桩点时获取有效运行时数据,以及根据所述有效运行时数据和其对应的被插桩目标关键函数信息,及接收的所述模拟攻击测试报文有效报文内容,判断该被插桩目标关键函数在受到所述模拟攻击时是否异常执行,进而确定目标程序中是否潜藏目标类型漏洞;其中,所述模拟攻击测试,是指基于模拟攻击用于检测是否存在目标类型漏洞的测试;所述模拟攻击测试报文,应携带有能够触发目标类型漏洞的有效载荷;所述目标关键函数信息,即标识目标关键函数的信息,例如可以是目标关键函数的函数名称等。
在本公开的第二方面中,提供一种基于内置智能探针的主动型IAST方法。作为一种新型的灰盒测试方法,在第一方面述及的漏洞验证方法的基础上,该IAST方法包括:在服务端执行第一方面述及的漏洞验证方法的操作,对目标程序插桩智能探针,和在接受模拟攻击测试时,通过相应的智能探针对目标程序中可能潜藏的已知类型漏洞进行验证性检测;以及在测试端产生模拟攻击测试流量,模拟攻击服务端目标程序,提供相应的模拟攻击测试;其中,所述模拟攻击测试,是指基于模拟攻击用于检测是否存在目标类型漏洞的测试;使产生的所述模拟攻击流量中包括相应的模拟攻击测试报文;所述模拟攻击测试报文,应携带有能够触发目标类型漏洞的有效载荷。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安普诺信息技术有限公司,未经北京安普诺信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110576575.8/2.html,转载请声明来源钻瓜专利网。