[发明专利]Web安全漏洞处理方法、系统及计算机可读存储介质有效
| 申请号: | 201810901064.7 | 申请日: | 2018-08-08 |
| 公开(公告)号: | CN109165511B | 公开(公告)日: | 2022-07-15 |
| 发明(设计)人: | 朱杨军;冯庆磊 | 申请(专利权)人: | 深圳前海微众银行股份有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/60 |
| 代理公司: | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人: | 胡海国;魏兰 |
| 地址: | 518052 广东省深圳市前海深港合作区前*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | web 安全漏洞 处理 方法 系统 计算机 可读 存储 介质 | ||
1.一种Web安全漏洞处理方法,应用于Web安全漏洞处理系统,其特征在于,所述系统包括数据采集模块与扫描器,所述Web安全漏洞处理方法包括以下步骤:
当Web服务器上接收到新的https请求时,数据采集模块获取所述https请求被解密后的https数据,其中,所述数据采集模块部署在Web服务器上;
将所述https数据上传至扫描器,以供所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告,其中,所述扫描器部署在Web服务器上,或者所述扫描器为Web服务器的外置设备,其中,当所述扫描器为Web服务器的外置设备时,所述将所述https数据上传至扫描器的步骤包括:所述数据采集模块通过数据上传代理模块将所述https数据上传至扫描器控制模块,以供扫描器控制模块将所述https数据分发至不同扫描器进行处理;
其中,所述数据采集模块获取所述https请求被解密后的https数据的实现方式包括:
A、当Web服务器支持所述数据采集模块作为Module插件进行部署时,所述https请求由Web服务器端进行解密,所述数据采集模块获取解密后的所述https数据;
B、所述数据采集模块捕获加密的https请求数据包,并使用Web服务器的私钥对加密的https请求数据包进行解密,得到所述https数据;
C、当Web服务器不支持所述数据采集模块作为Module插件进行部署时,所述https请求由Web服务器端发送至其他支持Module插件的服务器,以供其他支持Module插件的服务器进行解密后反馈解密后的https数据给Web服务器,所述数据采集模块获取解密后的所述https数据。
2.如权利要求1中任一项所述的Web安全漏洞处理方法,其特征在于,所述扫描器对所述https数据进行Web安全漏洞扫描处理,并输出漏洞扫描报告的方式包括:
当接收到所述数据采集模块上传的所述https数据时,所述扫描器加载漏洞扫描规则与漏洞扫描插件;
基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理,得到扫描结果数据;
加载漏洞扫描报告模板,将所述扫描结果数据填充到所述漏洞扫描报告模板中以生成漏洞扫描报告,并输出所述漏洞扫描报告。
3.如权利要求2所述的Web安全漏洞处理方法,其特征在于,所述漏洞扫描规则包括:接口扫描规则、插件扫描规则,所述漏洞扫描插件包括:SQL注入插件,所述基于漏洞扫描规则与漏洞扫描插件,对所述https数据进行Web安全漏洞扫描处理包括:
所述扫描器基于所述接口扫描规则,对所述https数据进行https接口过滤,以判断所述https数据是否需要进行漏洞扫描;
若是,则对所述https数据进行注入点预处理,以标识出所述https数据中的注入点;
以所述SQL注入插件的模糊测试数据作为所述注入点的替换值,生产测试请求包并发送至Web服务器;
接收Web服务器返回的测试请求包对应的测试响应包;
基于所述插件扫描规则,对所述测试请求包与所述测试响应包进行分析,以判断所述https数据中是否存在Web安全漏洞。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳前海微众银行股份有限公司,未经深圳前海微众银行股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810901064.7/1.html,转载请声明来源钻瓜专利网。
