[发明专利]一种漏洞前端功能点定位方法和系统

说明书

本发明公开了一种漏洞前端功能点定位方法和系统，所述方法包括如下步骤：在web前端浏览器页面安装漏洞定位插件，所述漏洞定位插件监听用户浏览器点击事件、URL跳转事件、表单输入事件；记录上述事件所对应的value值和事件触发的坐标；获取用户操作记录和并生成或获取所述用户操作记录相关的截图，获取用户请求中的URL；将所述用户请求中的URL作为键名key，并将所述用户操作记录和用户操作记录相关截图作为键值value生成用于漏洞定位的键值对；将所述键值对发送给服务器分类存储，执行DAST或IAST漏洞检测，从服务器中定位到漏洞对应的用户操作和用户操作记录相关的截图。

技术领域

本发明涉及网络漏洞检测技术领域，特别涉及一种漏洞前端功能点定位方法和系统。

背景技术

现有技术中，漏洞的检测有IAST(交互式应用安全测试)和DAST(动态应用安全测试，黑盒)，上述漏洞检测方法可以自动化检测应用中的漏洞，但DAST和IAST一般只会上报漏洞的URL和数据流，对于前后端分离的应用，根据URL和数据流很难找到漏洞对应的前端功能点位置，造成漏洞复现困难，目前业界暂无此问题的解决方案。

发明内容

本发明其中一个发明目的在于提供一种漏洞前端功能点定位方法和系统，所述方法和系统基于浏览器漏洞定位插件实现对前端功能点的漏洞定位，所述漏洞定位插件可以实现前端漏洞的快速定位修复。

本发明另一个发明目的在于提供一种漏洞前端功能点定位方法和系统，所述方法和系统采用键值对的方式以对应用户请求URL作为键名，并将对应用户操作记录的截图作为键值生成键值对数据，传输到服务器进行查询，从而可以实现快速定位查询。

本发明另一个发明目的在于提供一种漏洞前端功能点定位方法和系统，所述方法和系统采用分类存储的方式，将持无需持久化存储的用户操作数据、截图、URL等数据保存于Redis数据库中，将对应的漏洞数据写入到mysql数据库中实现分类的持久化存储，从而一方面可以降低数据的存储压力，另一方面保障漏洞的持续监测。

为了实现至少一个上述发明目的，本发明进一步提供一种漏洞前端功能点定位方法，所述方法包括如下步骤：

在web前端浏览器页面安装漏洞定位插件，所述漏洞定位插件监听用户浏览器点击事件、URL跳转事件、表单输入事件；

记录上述事件所对应的value值和事件触发的坐标；

获取用户操作记录和并生成或获取所述用户操作记录相关的截图，获取用户请求中的URL；

将所述用户请求中的URL作为键名key，并将所述用户操作记录和用户操作记录相关截图作为键值value生成用于漏洞定位的键值对；

将所述键值对发送给服务器分类存储，执行DAST或IAST漏洞检测，从服务器中定位到漏洞对应的用户操作和用户操作记录相关的截图。

根据本发明其中一个较佳实施例，在完成所述键值对key-value的构建后，生成所述键值对key-value的map，并将所述map序列化为json格式的字符串发送给服务器。

根据本发明另一个较佳实施例，所述服务器在获取所述json格式的字符串后，将所述json格式的字符串进行反序列化解析，获取解析还原后的键值对key-value的map，并将所述键值对key-value的map保存于Redis数据库中。

根据本发明另一个较佳实施例，执行所述DAST或IAST漏洞检测后，获取漏洞对应的URL，并根据URL对应的key查询定位保存的用户操作记录和用户操作记录相关的截图。

根据本发明另一个较佳实施例，当完成漏洞检测定位前端功能点后，将检测到的漏洞所对应的用户操作和用户操作记录相关的截图写入到mysql数据库中进行持久化存储。