[发明专利]一种Web API安全威胁检测方法及装置

权利要求书

1.一种WebAPI安全威胁发现方法，其步骤包括：

1)依据若干API接口文档中提取出的关键信息，组成若干API操作，并对各API操作进行依赖关系确定，生成API操作序列；

2)根据收集的攻击载荷、不同安全威胁的漏洞检测特征及针对不同安全威胁的漏洞注入点，构建漏洞库；

3)从漏洞库中选择攻击载荷，并根据对应的漏洞注入点，对API操作序列进行载荷装配，得到测试用例；

4)结合漏洞库中的漏洞检测特征分析测试用例响应结果，得到该测试用例的安全威胁发现结果。

2.如权利要求1所述的方法，其特征在于，所述API操作为一接口地址、方法、协议、请求参数、响应的五元组，其中所述响应包括：响应状态码和响应参数。

3.如权利要求2所述的方法，其特征在于，请求参数与响应参数分别包括：参数名、参数示例值、参数位置、参数类型、参数最小值、参数最大值、参数的必要性、参数的最大长度和参数的最小长度。

4.如权利要求2所述的方法，其特征在于，通过以下步骤生成API操作序列：

1)通过比较各API操作响应参数及请求参数之间的相似性，判断任两个API操作之间是否存在数据依赖关系；

2)根据数据依赖关系，以API操作为点，API操作之间的所依赖的数据为边，构建数据依赖图；

3)基于数据依赖图，确定API操作之间的依赖顺序，得到API操作序列。

5.如权利要求4所述的方法，其特征在于，通过依次比较请求参数与响应参数之间的参数主体、参数类型以及参数名称，得到所述相似性。

6.如权利要求1所述的方法，其特征在于，通过以下步骤得到漏洞检测特征：

1)根据漏洞的风险点，选择转移对象，以转移对象的多种状态作为图中的节点，各种状态之间的转移条件作为边上的值，构建漏洞状态转移图。

2)根据生成的漏洞状态转移图，确定转移对象终点为具有安全威胁的状态，并提取从起点到终点之间的所有可达路径。

3)将所有的可达路径使用形式化的方法，提取漏洞表达式作为最终的漏洞检测特征。

7.如权利要求1所述的方法，其特征在于，通过以下步骤得到测试用例：

1)对API操作序列中第一个API操作C₁的参数进行正常参数填充后，发送请求，并从第一个API操作C₁的响应结果中提取依赖数据值P₁；

2)将依赖数据值P_i-1填充到API操作序列中第i个API操作C_i的参数中，且对第i个API操作C_i的剩余进行正常参数填充后，发送请求，并从第i个API操作C_i的响应结果中提取依赖数据值P_i，其中2≤i≤n-1，n为API操作序列中API操作的数量；

3)将依赖数据值P_n-1填充到API操作序列中第n个API操作C_n的参数中，且利用漏洞库中选择的攻击载荷，对第n个API操作C_n的剩余参数进行载荷装配后，得到测试用例。

8.如权利要求1所述的方法，其特征在于，通过以下策略得到该测试用例的安全威胁发现结果：

1)若从漏洞库中选择攻击载荷的漏洞特征类别为关键信息特征回显检测特征，则依据测试用例响应结果中包含的特定关键特征，获取该测试用例的安全威胁发现结果；

2)通过比较测试用例响应结果与正常响应结果中的响应状态码、响应头字段与响应体内容，计算测试用例响应结果与正常响应结果的差异；若存在差异，则该测试用例检测出风险；否则，进入步骤3)；

3)若从漏洞库中选择攻击载荷的漏洞特征类别为无回显检测特征，则通过借助第三方平台使用过的带外数据方式，判断从漏洞库中选择攻击载荷是否生效，得到该测试用例的安全威胁发现结果。