[发明专利]一种Web应用程序的检测方法、装置及存储介质

说明书

本发明提供了一种Web应用程序的检测方法、装置及存储介质，通过对Web应用程序中的目标函数进行动态跟踪，得到插桩函数；通过拦截器对所述插桩函数对应的入参请求进行分析，得到攻击特征；将所述攻击特征与漏洞库进行关联，判断所述Web应用程序是否存在安全漏洞。由此，在Web应用程序中插桩函数来进行攻击特征分析，以实时对Web应用程序进行安全漏洞检测，实现对产线上的应用及时防护，提高了应用程序安全防护的有效性。

技术领域

本发明涉及Web应用程序分析技术领域，尤其涉及一种Web应用程序的检测方法、装置及存储介质。

背景技术

随着互联网信息化的不断发展，Web应用得到了迅速发展，为互联网的发展发挥着非常重要的作用。同时，安全问题也随之而来，因此，为了确保Web应用安全，进行不断尝试新的安全防护措施。

现有的Web应用安全防护技术基本上都是基于应用安全测试，具体包括动态应用程序安全测试、静态应用程序安全测试以及交互式应用程序安全测试。但是这些安全防护技术存在一些缺点，如：只能应用在Web应用的测试和开发阶段，没法在产线上进行应用实时防护；其中，静态应用程序安全测试需要产品的源码进行分析，这在隐私保护和code机密泄露上面存在隐患。

因此，迫切需要一种方法对产线上的应用进行实时的保护，在发现漏洞时进行及时阻断及修护。

发明内容

本发明提供了一种Web应用程序的检测方法、装置及存储介质，以解决现有的Web应用程序检测方法无法对产线上的应用进行实时防护的问题。

为了解决上述技术问题，本申请第一方面提供一种Web应用程序的检测方法，所述方法包括：

对Web应用程序中的目标函数进行动态跟踪，得到插桩函数；

通过拦截器对所述插桩函数对应的入参请求进行分析，得到攻击特征；

将所述攻击特征与漏洞库进行关联，判断所述Web应用程序是否存在安全漏洞。

本申请第二方面提供一种Web应用程序的检测装置，所述装置包括：

获取模块，用于对Web应用程序中的目标函数进行动态跟踪，得到插桩函数；

分析模块，用于通过拦截器对所述插桩函数对应的入参请求进行分析，得到攻击特征；

判断模块，用于将所述攻击特征与漏洞库进行关联，判断所述Web应用程序是否存在安全漏洞。

本申请第三方面提供一种电子设备，所述电子设备包括处理器、存储器及通信总线；

所述通信总线用于实现所述存储器、处理器之间的连接通信；所述处理器用于执行所述存储器中存储的计算机程序，以使得所述设备执行第一方面中的Web应用程序的检测方法。

本申请第四方面提供一种计算机可读存储介质，用于存储计算机程序，包括指令，所述计算机程序被执行时，实现第一方面中的Web应用程序的检测方法。

本发明的有益效果在于：通过对Web应用程序中的目标函数进行动态跟踪，得到插桩函数；通过拦截器对所述插桩函数对应的入参请求进行分析，得到攻击特征；将所述攻击特征与漏洞库进行关联，判断所述Web应用程序是否存在安全漏洞。由此，在Web应用程序中插桩函数来进行攻击特征分析，以实时对Web应用程序进行安全漏洞检测，实现对产线上的应用及时防护，提高了应用程序安全防护的有效性。

附图说明

图1为本发明的第一实施例的Web应用程序的检测方法的整体流程图。

图2为本发明的第一实施例的Web应用程序中插桩函数获取方法的流程图。

图3为本发明的第二实施例的Web应用程序的检测装置的程序模块框图。