[发明专利]基于业务规则的网站安全漏洞检测方法及装置

说明书

 

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于业务规则的网站安全漏洞检测方法及装置。

 

背景技术

在网络日益普及的今天，信息安全显得尤其重要。如果网站或者服务器端的应用程序存在安全漏洞，将会严重影响功能的正常使用，甚至会给用户或者网站拥有者带来严重的经济损失。现有技术在进行网站安全漏洞检测时，常见的安全检测方法是基于工具扫描的自动检测。其基本原理是，首先使用网页爬虫抓取被测网站包含的所有网页链接，然后依据现有的安全漏洞信息，将网页链接中的参数替换为设计好的测试用例，发送给服务器端，并根据服务器端返回结果判断是否存在安全漏洞。通过此方法发现的常见安全漏洞有跨站点脚本编制、跨站点脚本伪造、SQL注入等。发明人发现现有技术至少存在以下问题：

通过工具扫描方法进行的安全测试，由于无法理解网站内容和业务逻辑规则，只能依据设定好的通用测试用例进行检测，查找最普遍发现的一些安全漏洞，而无法识别由于网站具体业务逻辑等规则限制而导致的安全漏洞和问题。

 

发明内容

有鉴于此，本发明提供了一种基于业务规则的网站安全漏洞检测方法及装置，通过根据网站具体业务和内容来设定业务规则，从而能够更准确的检测出与网站业务相关的安全漏洞，提高安全测试的覆盖度和测试质量，弥补现有安全测试方案无法发现业务相关安全漏洞的问题。

本发明提供的一种基于业务规则的网站安全漏洞检测方法，包括：

步骤1：提取所述网站的业务规则；

步骤2：根据所述业务规则，获取与每项业务规则相关的业务流程； 

步骤3：基于业务流程，生成对应于每条业务流程的测试点；

步骤4：对每个测试点生成测试例；

步骤5：采用安全测试方法对测试例进行测试，得到测试结果；

步骤6：对测试结果进行分析，判断是否存在违反业务规则的安全漏洞。

所述步骤1包括：

步骤1.1：确定网站的业务范围或者具体功能；

步骤1.2：基于确定的业务范围或者具体功能，提取所述网站的业务规则。

或者，所述步骤1包括：

步骤1.1：根据网站的业务范围或者具体功能对网站进行分类；

步骤1.2：基于网站类型，从基本业务规则库中查找对于所述网站类型的业务规则。

所述步骤1还包括：

步骤1.3：根据网站的业务范围或者具体功能，提取网站的特殊业务规则；

步骤1.4：将从基本业务规则库中查找到的业务规则和特征业务规则一起作为提取的所述网站的业务规则。

所述步骤2包括：

步骤2.1：基于每项业务规则，对网站的全部业务流程进行分析；

步骤2.2：分别确定与每项业务规则相关的业务流程。

所述步骤4对测试点添加输入、操作步骤以及输出后形成测试例。

所述步骤5采用截获通信、修改权限或记录连接对测试例进行测试，得到测试结果。

本发明还提供一种基于业务规则的网站安全漏洞检测装置，包括：

业务规则提取模块：用于提取所述网站的业务规则；

业务流程获取模块：用于根据业务规则提取模块提取的业务规则，获取与每项业务规则相关的业务流程； 

测试点生成模块：用于根据业务流程获取模块获取的业务流程，生成对应于每条业务流程的测试点；

测试例生成模块：用于对每个测试点生成测试例；

测试模块：用于采用安全测试方法对测试例进行测试，得到测试结果；

结果分析模块：用于对测试结果进行分析，确定是否存在违反业务规则的安全漏洞。

所述业务规则提取模块包括：

确定子模块：用于确定网站的业务范围或者具体功能；

提取子模块：用于基于确定子模块确定的业务范围或者具体功能，提取所述网站的业务规则。

或者，所述业务规则提取模块包括：

确定子模块：用于确定网站的业务范围或者具体功能；

分类子模块：用于根据确定子模块确定的业务范围或者具体功能对网站进行分类；

查找子模块：用于基于分类子模块得到的网站类型，从基本业务规则库中查找对于所述网站类型的业务规则。

所述业务规则提取模块还包括：

特殊业务规则提取子模块：用于根据确定子模块确定的业务范围或者具体功能，提取网站的特殊业务规则；