CN113868670B 一种漏洞检测流程检验方法及系统 （前锦网络信息技术(上海)有限公司）

司本发明涉及一种漏洞检测流程检验方法和据包按照预置检测策略对所述功能点进行漏洞列表中的已检测功能点没有覆盖所述功能点列2获取测试项目的配置参数，其中所述配置参数至少包括测试基于测试项目参数组中的源代码生成功能点列表，其中所述功能在安全工程师按照检测流程通过测试端浏览器发送对测试项目功能点的测试请求时，基于所述镜像数据包按照预置检测策略对所述功能点进行漏洞检标识中的哈希值进行比较，判断作为功能点身份标识的第一哈希值是否在功能点列表中；解析到的参数判断功能点的功能并对URL标识响应于检测流程结束请求，对比所述检测结测结果列表中的已检测功能点没有覆盖所述功能点列表中的功能点，禁止检测流程结束，其中响应于检测流程结束请求进一步包括：查询所述功能点列表中功能点的URL功能3.根据权利要求1所述的方法，其中响应于查项目检测管理模块，经配置以获取测试项目的配置参数3测试端浏览器，经配置以通过代理端口向测试目标发送数的URL和参数计算第一哈希值，基于所述镜像数据包按照预置检测策略对所述功能点进流程检验模块，其分别与所述项目检测管理模块和自动检测其中流程检验模块进一步经配置以：查询所述功能点列表中功能点的URL功能标识字功能点检验单元，经配置以对比所述检测结果列表中的和在查询到功能点的URL功能标识字段未标记的标识内容时生成并显示标记提醒消息；和在检测结果列表中的漏洞少于默认参数中的漏洞时生成并4目的理解等因素，无法保证安全测试策略得到很好地执行以及待检测业务功能的全量覆权限类安全漏洞及需要交互如存储型XSS类型的安全漏5标识；所述测试端浏览器经配置以通过代理端口向测试目标发送功能点测试请求数据包，[0012]本发明在漏洞检测过程中检验其检测流程，能够保证对[0022]图9是根据本发明的一个实施例提供的对运行态漏洞组的一个漏洞的检测流程6通过所述测试端浏览器1发送的测试请求可由自动检测工具3截取。手动检测工具2为可选7接，根据管理界面41配置的关于测试目标的参数及测试目标的源代码生成待测功能点列[0033]图3是根据本发明的一个实施例提供的漏洞检测方法流程图，安全工程师执行漏[0034]步骤S1，安全工程师通过所述项目检测管理模块4的管理界面41进行相应的配置[0035]步骤S2，项目检测管理模块4的功能列表生成单元42根据管理界面41配置的关于功能点身份标识字段在一个实施例中可以为基于URL和参数计算的哈希值，其为该功能点发框架例如为基于MVC的开源框架或自定义框架、基于三层架构的自定义框架或其它的一8[0039]而后解析所述文件列表中的文件，得到文件中的控制器[0041]步骤S3，安全工程师通过测试端浏览器1点击测试目标的某个功能点而发出测试[0044]步骤S52，自动检测工具3从代理端口P获取来自于测试端浏览器的测试请求的镜[0046]步骤S81，监测单元43在接收到检测结束指令时查询所述功能点列表的检测完成私有功能等URL标识内容，用以表明所述功能点的业务功能，对应每个URL标识内容包括有9工程师发现其按下结束按钮时检测并没有结束，并且出现要求其标记URL功能标识字段的据包和响应数据包进行解析，从所述镜像数据包中至少获取去除参数的URL、参数及参数[0055]标记单元323与所述请求包解析单元321相连接，在所述请求包解析单元321的解析完成后，读取解析得到参数及参数值，并根据管理界面41已配置的参数确定所述功能点可以访问自己私有功能URL和公用的首页上的功能URL；当使用NoAuth(未登录用户)账户访问A账户的私有功能URL和公用的首页功能时，结果应该是对A账户私有的功能URL访问失败，公用的首页功能URL访问成功。因而在检测过程中如果发现使用A账号和NoAuth账号都块开启爬虫引擎使用NoAuth(未登录用户)账户或GeneralAuth(普通用户)抓取功能链接，如果能够抓取到功能链接，说明该功能点不具有权限功能，所述功能点可能是前述的公用首页功能，因而通知所述标记单元323将此功能点URL功能标识字段的“账户权限”标记为[0056]哈希值计算单元324与所述请求包解析单元321相连接，根据去除参数的URL和参检测模型单元用于完成一种校验类型的漏洞组的检测。检测管理单元330按照扫描策略协的指令按照检测策略完成一个校验类型的漏[0061]步骤S3a，判断作为功能点身份标识的第一哈希值是否在功能点列表中，如果没为初始化响应内容校验型，对应的检测模型单元331基于镜像数据包(即原始数据包)分别[0067]步骤S2b，判断所述镜像数据包是否达到请求队列的顶部，如果达到请求队列顶正则表达式识别响应内容的参数值中是否包含数字，当响应内容的参数值中包含了数字时像数据包中的原来的用户认证凭证替换为预置的认证凭证而构成第一自于响应校验测试的敏感信息泄露漏洞等；有些测试条件则规定了需要根据URL标记字段中[0082]对于需要针对URL功能标识字段中的标识内容的标记状态进行校验的漏洞，例如在对未授权访问漏洞进行粗检测发现疑似风险时，查询所述功能点的URL功能标识字段中平越权漏洞进行检测出现疑似风险时，首先查询所述功能点的URL功能标识字段中的标识还未被安全工程师进行标记时，开启爬虫引擎，使用NoAuth(未登录用户)账户或General果对功能点的“信息存储功能”标记为“是”时，安全工程师需手动在表单项写入指定[0088]检测管理单元330接收检测模型单元331得到的校验结果，当检测管理单元330接[0094]检测管理单元330在全部功能点检测完成且所述的URL标记字段中的所有标识内检测仅配置少量最优的测试用例，如出现疑似漏洞再调用大量而精准的测试用例进行复[0100]步骤S103，基于所述镜像数据包按照预置检测策略对所检测结果列表包括前述的请求记录表，其中有记录已检测过的功能点URL，功能点身份标理界面41点击结束按钮来结束当前的漏洞检测流程。在收到检测结束请求时，执行步骤列表中每个功能点的URL功能标识字段包括有多个标识内容，在检测过程中的镜像数据解标记内容是否标记。如果有功能点的URL标记内容未标记，则在步骤S207禁止检测流程结述流程检验模块5分别与所述项目检测管理模块和自动检测工具经配置相连接，经配置以所述功能点检验单元51用以对比所述检测结果列表中的功能点是否覆盖了功能点列表中的功能点；经过对比确认了所述检测结果列表中的功能点没有覆盖功能点列表中的功能元52用于查询所述功能点列表中功能点的URL功能标识字段的标记情况，在查询到功能点