[发明专利]一种无代码的流程可视化漏洞检测方法和系统

说明书

本发明公开了一种无代码的流程可视化漏洞检测方法和系统，针对现有技术中存在的需要人工编写脚本代码或者编制扫描规则配置文件；以及编写扫描规则配置文件也需要基于固定模板，编制流程和逻辑规则，还需要学习和手工插入引擎中的自定义函数，学习特定的流程和语法规范的问题，本发明的技术方案包括：首先程序自动完成测试流程封装操作；用户创建漏洞检测方法时，程序自动完成系统变量初始化，同时保证不同检测方法的变量互不影响；然后用户可自定义全局变量在后续操作中引用；随后新建测试流程，可在流程中引用之前创建的全局变量和系统变量，并将结果绑定到未使用的系统变量；最后添加判断规则集合，并进行逻辑综合判断是否存在漏洞。

技术领域

本发明属于系统安全技术领域，具体涉及一种无代码的流程可视化漏洞检测方法和系统。

背景技术

随着网络技术的发展，信息安全也越来越受到人们的重视。如果网站或者服务器的应用程序存在安全漏洞，不仅会对功能的正常使用造成影响，严重的话造成数据与机密的泄露。造成严重的经济损失和危害。因此对漏洞的检测显得尤为重要。

现有技术中，通常通过漏洞扫描仪对漏洞进行检测。漏洞扫描器的相关产品中，在漏洞扫描规则的处理上，通常有三种形式：第一种是将漏洞扫描和判断机制硬编码在扫描引擎中；第二种是将扫描引擎和扫描脚本分开，扫描脚本以可执行的脚本文件加载到扫描引擎中执行；第三种是将扫描引擎和扫描规则分开，扫描规则以配置文件的形式加载到漏洞扫描引擎中解析执行。

现有技术中存在以下技术问题：

第二种和第三种方式更便于漏洞扫描器扫描规则的扩展，但是这两种方式需要人工编写脚本代码或者编制扫描规则配置文件。编写脚本代码需要熟悉特定的脚本编程语言，如python、ruby等等，还需要熟悉和了解在扫描引擎中封装的自定义函数。编写扫描规则配置文件也需要基于固定模板，编制流程和逻辑规则，还需要学习和手工插入引擎中的自定义函数，学习特定的流程和语法规范。并且这些方式，对编写规则的人来说要较高的编程基础，较强的逻辑和分析、调试能力，调试和执行过程也无法可视化，出现问题调试也较为麻烦。

发明内容

针对现有技术中存在的需要人工编写脚本代码或者编制扫描规则配置文件；以及编写扫描规则配置文件也需要基于固定模板，编制流程和逻辑规则，还需要学习和手工插入引擎中的自定义函数，学习特定的流程和语法规范的问题，本发明提出了一种无代码的流程可视化漏洞检测方法和系统，其目的为：通过可视化界面，在不编写代码的情况下，通过新建流程和填写表单的形式，实现复杂的漏洞扫描流程的定制化开发。

为实现上述目的本发明所采用的技术方案是：提供一种无代码的流程可视化漏洞检测方法，包括：

S1：首先对漏洞扫描中的各类测试的测试流程进行抽象封装成接口，并针对不同的测试流程，内置不同的系统变量，用于绑定测试流程的结果数据和下一个测试流程及逻辑判断中；

S2：通过可视化表单创建测试流程，支持创建多个测试流程，对多个测试流程进行排序和衔接，生成测试流程列表；

S3：不同的测试流程进行执行产生不同的结果数据，将所述结果数据绑定到对应的系统变量中；

S4：根据各个测试流程的执行结果设置综合逻辑判断关系，根据所述综合逻辑判断关系来进行逻辑运算，以最终的逻辑运算结果判断漏洞是否存在。

较优的，本发明S1中，测试流程包括：发送HTTP请求、延迟等待指定时间、识别提取验证码、从响应中提取数据、对数据进行处理。

较优的，本发明S1中还包括设置全局变量：用户通过可视化表单创建全局变量，并为全局变量赋值，支持对全局变量添加处理规则，所述处理规则包括：前缀、后缀、反转、截取、编码字符串和解码字符串。所述处理规则在全局变量引用前生效。

较优的，本发明S2中，创建的测试流程包括：