[发明专利]用于web应用的动态检测漏洞攻击的方法及系统

权利要求书

1.一种用于web应用的动态检测漏洞攻击的方法，其特征在于，包括：

通过插桩工具插桩待检测web应用程序代码中的输入函数、变异函数和执行函数，

所述输入函数为所述web应用在输入阶段接收消息的关键函数,

所述执行函数为所述web应用在执行阶段执行关键动作的关键函数,

所述变异函数为所述web应用在传播阶段将接收到的参数对象转换为其他不同的对象类型进行表达的传播函数；

通过插桩工具跟踪并获取请求数据在web应用中的整个执行过程的数据流；

提取当前所述执行函数的执行参数，判断所述执行参数中是否存在漏洞攻击代码，如果是，

判断当前请求数据对应的数据流是否经过所述输入阶段，如果是，则对所述执行函数的执行流程进行拦截处理，并可视化展示出所述数据流经过所述变异函数的过程；

所述变异函数包括属于开发框架所具有的常规变异函数和用户自定义的自定义变异函数，所述自定义变异函数的获取方法包括：

通过IAST测试平台运行所述web应用的攻击测试实例，以对所述web应用进行漏洞攻击测试，并通过插桩方式跟踪请求数据从输入阶段到传播阶段，再到执行阶段的整个过程的函数流；

当发现攻击漏洞时，如果请求数据的参数类型发生变化，且如果通过所述常规变异函数不能得到请求数据在传播阶段的完整的操作过程，通过执行阶段的关键函数的参数对象逆向推演到请求数据对象，从而推导出导致所述请求数据对象发生变异的变异函数，即为自定义变异函数，然后以所述web应用为键值对的关键字，以推演出的所述自定义变异函数为键值对的值构成键值对存储在数据库中，以供插桩工具调用。

2.根据权利要求1所述的用于web应用的动态检测漏洞攻击的方法，其特征在于，当判断出所述执行参数中存在漏洞攻击代码时，进一步判断所述执行参数是否来源于传播阶段，如果否，则定义本次漏洞攻击为误触发。

3.根据权利要求1所述的用于web应用的动态检测漏洞攻击的方法，其特征在于，还包括对得到的所述自定义变异函数进行优化的方法：

得到所述自定义变异函数后，取消所述IAST测试平台对所述传播阶段的除所述变异函数外的其他传播函数的跟踪；

对所述攻击测试实例进行请求重发，检测攻击测试实例中的所有攻击漏洞是否被检出，如果否，取未被检出攻击漏洞的带有漏洞攻击代码的请求实例所对应的原始函数流进行二次分析，以找到遗漏的自定义变异函数。