[发明专利]大型企业内部自开发信息系统代码的安全测评方法及系统

权利要求书

1.一种大型企业内部自开发信息系统代码的安全测评方法，所述安全测评方法包括以下步骤：

步骤一，在对信息系统进行常规功能测试时，流量采集模块以对于用户而言完全透明的方式自动抓取http/https的流量，最终采集的所有流量都保存至存储中心数据库；

步骤二，通过流量分析模块分析存储中心数据库中的请求流量、数据流量，分析出目标站点的请求方式，接口URL和请求体，最后结构化存储至存储中心数据库，以供后续模块调用；

步骤三，调用爬虫模块，根据分布式消息队列中提取的目标网站域名或地址，尝试向目标地址发起HTTP请求进行HTML文本爬取，然后解析响应的HTML文本中的URI端点，同时将爬虫的请求和响应的HTML文本与URI端点存入存储中心数据库，以供后续模块调用；

步骤四，漏洞检测引擎从存储中心数据库取出已经识别到的信息系统URL，对该信息系统所有URL进行多线程扫描，并将扫描结果插入可视化集成管理平台数据库；

步骤五，分析存储中心数据库存储的代码安全漏洞扫描结果数据，进行漏洞分析和图表展示。

2.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述流量采集的模块包括代理模块、插桩模块、流量嗅探模块、以及日志导入模块。

3.根据权利要求2所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述插桩模块能够支持通用漏洞、业务逻辑漏洞以及第三方组件的风险检测，还能够覆盖加密、验证码的一次性接口场景；插桩模块无需重放请求、无脏数据，能够直接定位到代码位置、代码内容以及数据流信息，完整地展现漏洞从输入、传播到最终执行的全过程。

4.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述流量分析模块能够分析HTTP协议流量，在功能性测试中，采集请求和响应数据，解析HTTP请求协议包和HTTP响应协议包。

5.根据权利要求4所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述HTTP响应协议包含有请求行中的方法、协议版本和资源URI，请求头中的协议字段和字段值，请求体中的参数和参数值。

6.根据权利要求4所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述HTTP响应协议包含有响应行中返回的协议版本和状态码，响应头中的参数和参数值，响应体中的HTML文本。

7.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述爬虫模块的工作流程如下：

1)爬虫模块从分布式消息队列系统中获取信息系统的URL地址字符串，通过正则匹配将URL地址字符串进行分割，然后得到独立的协议类型字符串以及地址和参数信息，以完成URL地址的识别和分割；

2)通过加入Header请求头和请求参数，构造一个Request请求对象，然后对分割出来的目标地址发起标准的HTTP方法调用，目标服务器响应标准的HTML文本，从而完成获取目标站点HTML文本的步骤；

3)将HTML文本转换为DOM树，通过对应的HTML标签获取到对应标签内容以及属性和属性值，然后通过匹配筛选将与目标地址相关的URI端点进行提取并保存进存储中心数据库，从而完成HTML文本解析和提取URI端点的步骤。

8.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述漏洞检测引擎通过检测集群的方法，快速对项目漏洞进行检测。

9.根据权利要求1所述的大型企业内部自开发信息系统代码的安全测评方法，其特征在于，所述漏洞分析包括漏洞数统计、项目漏洞排名、以及漏洞趋势分布，所述图表展示通过代码安全可视化集成管理控制台进行。