[发明专利]大型企业内部自开发信息系统代码的安全测评方法及系统在审

专利信息
申请号: 202111191655.8 申请日: 2021-10-13
公开(公告)号: CN115964713A 公开(公告)日: 2023-04-14
发明(设计)人: 梁泰崧;冷炜镧;王雷;武文斌;程翀;刘亚奇;江涛;刘炯 申请(专利权)人: 中国石油天然气集团有限公司;中国石油集团川庆钻探工程有限公司
主分类号: G06F21/57 分类号: G06F21/57;H04L9/40
代理公司: 成都中玺知识产权代理有限公司 51233 代理人: 邢伟
地址: 100007 *** 国省代码: 北京;11
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 大型企业 内部 开发 信息系统 代码 安全 测评 方法 系统
【权利要求书】:

1.一种大型企业内部自开发信息系统代码的安全测评方法,所述安全测评方法包括以下步骤:

步骤一,在对信息系统进行常规功能测试时,流量采集模块以对于用户而言完全透明的方式自动抓取http/https的流量,最终采集的所有流量都保存至存储中心数据库;

步骤二,通过流量分析模块分析存储中心数据库中的请求流量、数据流量,分析出目标站点的请求方式,接口URL和请求体,最后结构化存储至存储中心数据库,以供后续模块调用;

步骤三,调用爬虫模块,根据分布式消息队列中提取的目标网站域名或地址,尝试向目标地址发起HTTP请求进行HTML文本爬取,然后解析响应的HTML文本中的URI端点,同时将爬虫的请求和响应的HTML文本与URI端点存入存储中心数据库,以供后续模块调用;

步骤四,漏洞检测引擎从存储中心数据库取出已经识别到的信息系统URL,对该信息系统所有URL进行多线程扫描,并将扫描结果插入可视化集成管理平台数据库;

步骤五,分析存储中心数据库存储的代码安全漏洞扫描结果数据,进行漏洞分析和图表展示。

2.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述流量采集的模块包括代理模块、插桩模块、流量嗅探模块、以及日志导入模块。

3.根据权利要求2所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述插桩模块能够支持通用漏洞、业务逻辑漏洞以及第三方组件的风险检测,还能够覆盖加密、验证码的一次性接口场景;插桩模块无需重放请求、无脏数据,能够直接定位到代码位置、代码内容以及数据流信息,完整地展现漏洞从输入、传播到最终执行的全过程。

4.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述流量分析模块能够分析HTTP协议流量,在功能性测试中,采集请求和响应数据,解析HTTP请求协议包和HTTP响应协议包。

5.根据权利要求4所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述HTTP响应协议包含有请求行中的方法、协议版本和资源URI,请求头中的协议字段和字段值,请求体中的参数和参数值。

6.根据权利要求4所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述HTTP响应协议包含有响应行中返回的协议版本和状态码,响应头中的参数和参数值,响应体中的HTML文本。

7.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述爬虫模块的工作流程如下:

1)爬虫模块从分布式消息队列系统中获取信息系统的URL地址字符串,通过正则匹配将URL地址字符串进行分割,然后得到独立的协议类型字符串以及地址和参数信息,以完成URL地址的识别和分割;

2)通过加入Header请求头和请求参数,构造一个Request请求对象,然后对分割出来的目标地址发起标准的HTTP方法调用,目标服务器响应标准的HTML文本,从而完成获取目标站点HTML文本的步骤;

3)将HTML文本转换为DOM树,通过对应的HTML标签获取到对应标签内容以及属性和属性值,然后通过匹配筛选将与目标地址相关的URI端点进行提取并保存进存储中心数据库,从而完成HTML文本解析和提取URI端点的步骤。

8.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述漏洞检测引擎通过检测集群的方法,快速对项目漏洞进行检测。

9.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法,其特征在于,所述漏洞分析包括漏洞数统计、项目漏洞排名、以及漏洞趋势分布,所述图表展示通过代码安全可视化集成管理控制台进行。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国石油天然气集团有限公司;中国石油集团川庆钻探工程有限公司,未经中国石油天然气集团有限公司;中国石油集团川庆钻探工程有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/202111191655.8/1.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top