1、第一读取模块423和第一匹配处理模块425。
[0122] 其中,触发模块421,用于触发漏洞扫描器扫描应用程序运行过程中记录的执行命 令,获取扫描执行命令过程中得到的扫描特征;第一读取模块423,用于读取黑名单命令集 合,黑名单命令集合为预先保存的包含有监控特征的命令;第一匹配处理模块425,用于将 漏洞扫描器扫描到的扫描特征与黑名单命令集合中的监控特征进行匹配处理,其中,如果 漏洞扫描器扫描到的扫描特征与黑名单命令集合中的监控特征匹配成功,则确定执行命令 包含监控特征。
[0123] 此处需要说明的是,上述触发模块421、第一读取模块423和第一匹配处理模块 425对应于实施例一中的步骤S221a至步骤S225a,三个模块与对应的步骤所实现的示例和 应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的 一部分可以运行在实施例一提供的计算机终端10中。
[0124] 基于上述各个装置实施例,如图9所示,本申请可以提供另外一种可选的实施例, 上述监控模块42可以包括:采集模块422、第二读取模块424和第二匹配处理模块426。
[0125] 其中,采集模块422,用于采集网络漏洞扫描器扫描应用程序的扫描结果,扫描 结果包括扫描应用程序运行执行命令过程中的扫描特征;第二读取模块424,用于读取黑 名单命令集合,黑名单命令集合为预先保存的包含有监控特征的命令;第二匹配处理模块 426,用于将采集到的扫描结果与黑名单命令集合中的监控特征进行匹配处理,其中,如果 采集到的扫描结果与黑名单命令集合中的监控特征匹配成功,则确定执行命令包含监控特 征。
[0126] 此处需要说明的是,上述采集模块422、第二读取模块424和第二匹配处理模块 426对应于实施例一中的步骤S221b至步骤S225b,三个模块与对应的步骤所实现的示例和 应用场景相同,但不限于上述实施例一所公开的内容。需要说明的是,上述模块作为装置的 一部分可以运行在实施例一提供的计算机终端10中。
[0127] 优选地,在本申请可以提供的可选实施例中,在执行记录模块40实现的记录应用 程序运行过程中的执行命令的功能之前,装置还可以包括:安装模块30,用于安装用于记 录应用程序运行过程中的执行命令的命令记录系统。
[0128] 由此可知,本申请提供的方案通过在主机终端部署安装命令记录系统,来记录执 行应用程序过程中的所有执行命令或部分执行命令之后,利用扫描器扫描记录的执行命令 来获取扫描特征,进而通过将扫描器扫描到的扫描特征与黑名单命令集合中的监控特征进 行匹配,来确定当前web应用程序运行过程中的执行命令是否包含监控特征,如果包含监 控特征则回溯黑名单命令集合匹配的执行命令的父进程是否有命令分隔符和黑名单命令 特征,并且回溯父父进程是否为Webserver或php等进程,来确定当前应用程序时的执行命 令为命令注入漏洞。
[0129] 实施例3
[0130] 本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中 的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终 端等终端设备。
[0131] 可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中 的至少一个网络设备。
[0132] 在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的 程序代码:记录应用程序运行过程中的执行命令;监控计算机终端执行命令是否包含监控 特征,其中,在计算机终端执行命令包含计算机终端监控特征的情况下,回溯计算机终端执 行命令的父进程是否具有命令注入漏洞的属性;如果计算机终端执行命令的计算机终端父 进程具有计算机终端命令注入漏洞的属性,则确定计算机终端执行命令存在命令注入的漏 洞。
[0133] 此处需要说明的是,上述计算机终端群中的任意一个计算机终端可以与网站服务 器和扫描器建立通信关系,扫描器可以扫描计算机终端上Php执行的web应用程序的执行 命令。
[0134] 可选地,图10是根据本发明实施例的一种计算机终端的结构框图。如图10所示, 该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器51、存储器53、以及传输 装置55。
[0135] 其中,存储器53可用于存储软件程序以及模块,如本发明实施例中的安全漏洞检 测方法和装置对应的程序指令/模块,处理器51通过运行存储在存储器53内的软件程序 以及模块,从而执行各种功能应用以及数据处理,即实现上述的系统漏洞攻击的检测方法。 存储器53可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储 装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器53可进一步包括相对于 处理器51远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实 例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
[0136] 上述的传输装置55用于经由一个网络接收或者发送数据。上述的网络具体实例 可包括有线网络及无线网络。在一个实例中,传输装置55包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网 或局域网进行通讯。在一个实例中,传输装置55为射频(Radio Frequency,RF)模块,其用 于通过无线方式与互联网进行通讯。
[0137] 其中,具体地,存储器53用于存储预设动作条件和预设权限用户的信息、以及应 用程序。
[0138] 处理器51可以通过传输装置调用存储器53存储的信息及应用程序,以执行下述 步骤:记录应用程序运行过程中的执行命令;监控执行命令是否包含监控特征,其中,在执 行命令包含监控特征的情况下,回溯执行命令的父进程是否具有命令注入漏洞的属性;如 果执行命令的父进程具有命令注入漏洞的属性,则确定执行命令存在命令注入的漏洞。
[0139] 可选的,上述处理器51还可以执行如下步骤的程序代码:扫描包含有监控特征的 执行命令的父进程;判断执行命令的父进程是否具有多命令集合且包含监控特征的属性; 如果父进程为多命令集合且包含监控特征,则确定执行命令存在命令注入的漏洞。
[0140] 可选的,上述处理器51还可以执行如下步骤的程序代码:判断执行命令的父进程 的父进程是否为网站应用程序中运行的进程,如果是,则确定执行命令存在命令注入的漏 洞。
[0141] 可选的,上述处理器51还可以执行如下步骤的程序代码:在应用程序为网站应用 软件程序的情况下,检测执行命令的父进程是否包含网站解析命令所固有的头字段,其中, 如果父进程包含网站解析命令所固有的头字段,则执行判断执行命令的父进程是否具有多 命令集合且包含监控特征的属性的步骤。
[0142] 可选的,上述处理器51还可以执行如下步骤的程序代码:触发漏洞扫描器扫描应 用程序运行过程中记录的执行命令,获取扫描执行命令过程中得到的扫描特征;读取黑名 单命令集合,黑名单命令集合为预先保存的包含有监控特征的命令;将漏洞扫描器扫描到 的扫描特征与黑名单命令集合中的监控特征进行匹配处理,其中,如果漏洞扫描器扫描到 的扫描特征与黑名单命令集合中的监控特征匹配成功,则确定执行命令包含监控特征。
[0143] 可选的,上述处理器51还可以执行如下步骤的程序代码:采集网络漏洞扫描器扫 描应用程序的扫描结果,扫描结果包括扫描应用程序运行执行命令过程中的扫描特征;读 取黑名单命令集合,黑名单命令集合为预先保存的包含有监控特征的命令;将采集到的扫 描特征与黑名单命令集合中的监控特征进行匹配处理,其中,如果采集到的扫描特征与黑 名单命令集合中的监控特征匹配成功,则确定执行命令包含监控特征。
[0144] 可选的,上述处理器51还可以执行如下步骤的程序代码:安装用于记录应用程序 运行过程中的执行命令的命令记录系统。
[0145] 采用本发明实施例,提供了一种在计算机互联网络中,监测应用程序的执行命令 是否为命令注入漏洞的方案。通过检测当前运行的应用程序的执行命令是否包括监控特征 来确定该执行命令是否具有注入命令漏洞的潜在风险,由于在确定该执行命令具有注入命 令漏洞的潜在风险之后,进一步通过回溯该执行命令的父进程是否具有命令注入漏洞的属 性,从而确认当前执行命令存在命令注入的漏洞,因此,本申请提供了一种对具有命令注入 漏洞风险的执行命令进行进一步的命令注入验证的功能,即对该执行命令已经具有的属性 特征进行验证,从而确定该执行命令的最终性质。由于上述过程可以应用于应用程序运行 过程中的每个执行命令,因此,整个操作遍历到了应用程序中的所有执行命令,而且每个执 行命令所要验证的属性特征都是静态的,从而达到了大幅降低了监测命令注入攻击的漏报 和误报的情况的目的,进而解决了现有技术用于监测命令注入攻击的方法存在漏报率高、 误报率高的技术问题。本方案还可以改善现有的漏洞检测系统开发周期长,难度大,开发后 的运营成本也较高的问题。
[0146] 本领域普通技术人员可以理解,图10所示的结构仅为示意,计算机终端也可以 是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备 (Mobile Internet Devices,MID)、PAD等终端设备。图10其并不对上述电子装置的结构造 成限定。例如,计算机终端10还可包括比图10中所示更多或者更少的组件(如网络接口、 显示装置等),或者具有与图10所示不同的配置。
[0147] 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可 以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质 中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory, ROM)、随机存取器(Random Access Memory, RAM)、磁盘或光盘等。
[0148] 实施例4
[0149] 本发明的实施例还提供了 一种存储介质。可选地,在本实施例中,上述存储介质可 以用于保存上述实施例一所提供的应用程序的漏洞检测方法所执行的程序代码。
[0150] 可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的 任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
[0151] 可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:记 录应用程序运行过程中的执行命令;监控执行命令是否包含监控特征,其中,在执行命令包 含监控特征的情况下,回溯执行命令的父进程是否具有命令注入漏洞的属性;如果执行命 令的父进程具有命令注入漏洞的属性,则确定执行命令存在命令注入的漏洞。
[0152] 此处需要说明的是,上述计算机终端群中的任意一个可以与网站服务器和扫描器 建立通信关系,扫描器可以扫描计算机终端上Php执行的web应用程序的值命令。
[0153] 可选地,存储介质还被设置为存储用于执行以...