[发明专利]一种基于JAVA的WEB动态安全漏洞检测方法

摘要

本发明涉及WEB应用安全测试，旨在提供一种基于JAVA的WEB动态安全漏洞检测方法。该种基于JAVA的WEB动态安全漏洞检测方法，对WEB应用系统进行安全漏洞检测，包括步骤：修改JAVA中间件、进行fuzzing测试和动态漏洞跟踪。本发明能快速地发现更多的WEB安全漏洞问题；能覆盖黑盒测试的安全漏洞范围，并发现更多的深层次WEB安全问题；能降低白盒测试中高成本的问题；能准确定位漏洞代码的具体位置；可以保证检测过程中更低的漏报率和误报率。

主权项

一种基于JAVA的WEB动态安全漏洞检测方法，基于JAVA的WEB应用系统程序并非直接编译成机器码进行执行，而是编译成字节码，然后通过JAVA虚拟机运行程序，其特征在于，WEB应用系统程序采用JavaAgent启动或运行时进行代理，基于JAVA的WEB动态安全漏洞检测方法，对WEB应用系统进行安全漏洞检测包括以下步骤：步骤A：修改JAVA中间件：将Agent.jar包当做一个JavaAgent附加到WEB应用系统程序中，Agent.jar包是劫持和判断漏洞的关键数据包，Agent.jar代码中使用Javassist动态修改目标测试程序及中间件的字节码，使用java agent方式启动Agent.jar，使其能在程序运行后动态进行目标修改，而不是直接修改文件；Agent.jar的代码中包含了所有需要劫持的关键函数，关键函数是通过分析WEB中间件及java源码获得的函数；步骤B：进行fuzzing测试，具体包括以下步骤：a）分别启动步骤A中修改过的JAVA中间件和一个进行代理fuzzing测试的代理工具，准备发送测试数据；b）将浏览器的代理设置到代理工具上，通过浏览器进行普通的功能测试，进行各个页面模块的普通访问；c）代理工具抓取到请求数据包后，生成预先设定的带有攻击测试向量POC的fuzzing数据，并发送到经过步骤A处理的JAVA中间件程序中，POC是指在漏洞测试中为能完成漏洞展现的数据包；步骤C：动态漏洞跟踪，具体包括以下步骤：d）当步骤B中的fuzzing数据被JAVA中间件程序接收后，JAVA中间件程序发现请求中包含了攻击测试向量POC，Agent.jar包中的程序启动跟踪流程；e）Agent.jar包中的程序跟踪HTTP请求数据在关键函数中的流转，并确认fuzzing数据是否已到达任意一个关键的函数，如果已到达全部关键函数，结束处理，将请求释放，并在代理工具中记录跟踪信息；f）继续等待其他fuzzing测试，如果接收到新的fuzzing数据，则跳到步骤d。