[发明专利]一种WEB应用漏洞检测方法及系统

说明书

本发明提出一种WEB应用漏洞检测方法及系统，方法包括：获取目标WEB应用的程序标识，并根据程序标识得到目标WEB应用的源代码；对目标WEB应用的源代码进行命令注入漏洞检测；根据命令注入漏洞检测的结果向目标WEB应用的源代码中插入反馈代码；向目标WEB应用发送漏洞测试样例以触发潜在漏洞；如果潜在漏洞触发成功，则生成漏洞测试脚本；如果潜在漏洞触发失败，则获取目标WEB应用产生的反馈结果，并根据反馈结果调整漏洞测试样例。该方法基于渗透测试的基本流程，加入测试反馈机制，根据每次测试反馈信息，动态修改下一轮测试样例，提高漏洞检测能力,提高对Web漏洞的检测精确率,并降低漏洞误报率。

技术领域

本发明属于网络安全技术领域，尤其涉及一种WEB应用漏洞检测方法及系统。

背景技术

近年来，我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界界限，对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大，网络空间威胁和风险日益增多。其中，Web应用安全是网络安全问题中的重要一环，Web应用程序在社交网络、电子邮件、银行、购物等日常活动中扮演重要的角色，因此Web应用一旦出现漏洞，会出现较大危害。

目前对Web应用进行渗透测试是很多Web安全研究人员经常使用的方法，但该方法需要大量先验知识，需要Web安全研究人员拥有丰富的Web漏洞挖掘经验，因此，研究如何自动化进行渗透测试很有必要。

另外就是Web漏洞动态检测技术，该技术首先需要获取目标Web应用的可访问路径即URL，从该URL出发，爬取该Web应用所有能够访问页面的URL；对每个URL下的HTML页面进行html结构解析，分析其中可能存在的漏洞，针对可能存在的漏洞进行测试，如果发现存在漏洞，输出漏洞检测结果。该技术被广大web安全研究员接受和使用的原因是自动化程度高，只需要提供目标Web应用URL即可自动进行漏洞探测，相对于静态检测方法，其优点是发现的漏洞具有可达性，可复现；但其性能受限于爬虫规则，且无法绕过一些路径约束，导致其无法探测Web应用的所有路径，导致路径覆盖率低，漏洞漏报率高，且仅是简单的遍历测试难以较好的验证漏洞是否存在，导致漏洞检测能力低下。

发明内容

为解决上述技术问题，本发明提出一种WEB应用漏洞检测的技术方案，以解决现有技术中漏洞动态检测技术存在的路径覆盖率低和漏洞漏报率高的问题。

本发明第一方面公开了一种WEB应用漏洞检测方法；所述方法包括：

步骤S1、获取目标WEB应用的程序标识，并根据所述程序标识得到所述目标WEB应用的源代码；

步骤S2、对所述目标WEB应用的源代码进行命令注入漏洞检测；

步骤S3、根据命令注入漏洞检测的结果向所述目标WEB应用的源代码中插入反馈代码；

步骤S4、向所述目标WEB应用发送漏洞测试样例以触发潜在漏洞；

步骤S5、如果所述潜在漏洞触发成功，则生成漏洞测试脚本；

步骤S6、如果所述潜在漏洞触发失败，则获取所述目标WEB应用产生的反馈结果，并根据所述反馈结果调整所述漏洞测试样例。

根据本发明第一方面的方法，在所述步骤S1中，获取目标WEB应用的程序标识，并根据所述程序标识得到所述目标WEB应用的源代码，具体包括：

获取所述目标WEB应用的程序标识；

如果获取的所述程序标识为超文本预处理器，则根据所述程序标识得到所述目标WEB应用的源代码。

根据本发明第一方面的方法，在所述步骤S2中，对所述目标WEB应用的源代码进行命令注入漏洞检测，具体包括：