下步骤的程序代码:扫描包含有监 控特征的执行命令的父进程;判断执行命令的父进程是否具有多命令集合且包含监控特征 的属性;如果父进程为多命令集合且包含监控特征,则确定执行命令存在命令注入的漏洞。
[0154] 可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:判断执行命令 的父进程的父进程是否为网站应用程序中运行的进程,如果是,则确定执行命令存在命令 注入的漏洞。
[0155] 可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:在应用程序为 网站应用软件程序的情况下,检测执行命令的父进程是否包含网站解析命令所固有的头字 段,其中,如果父进程包含网站解析命令所固有的头字段,则执行判断执行命令的父进程是 否具有多命令集合且包含监控特征的属性的步骤。
[0156] 可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:触发漏洞扫描 器扫描应用程序运行过程中记录的执行命令,获取扫描执行命令过程中得到的扫描特征; 读取黑名单命令集合,黑名单命令集合为预先保存的包含有监控特征的命令;将漏洞扫描 器扫描到的扫描特征与黑名单命令集合中的监控特征进行匹配处理,其中,如果漏洞扫描 器扫描到的扫描特征与黑名单命令集合中的监控特征匹配成功,则确定执行命令包含监控 特征。
[0157] 可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:采集网络漏洞 扫描器扫描应用程序的扫描结果,扫描结果包括扫描应用程序运行执行命令过程中的扫描 特征;读取黑名单命令集合,黑名单命令集合为预先保存的包含有监控特征的命令;将采 集到的扫描特征与黑名单命令集合中的监控特征进行匹配处理,其中,如果采集到的扫描 特征与黑名单命令集合中的监控特征匹配成功,则确定执行命令包含监控特征。
[0158] 可选的,存储介质还被设置为存储用于执行以下步骤的程序代码:安装用于记录 应用程序运行过程中的执行命令的命令记录系统。
[0159] 可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(R0M, Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光 盘等各种可以存储程序代码的介质。
[0160] 可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示 例,本实施例在此不再赘述。
[0161] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0162] 上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品 销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技 术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软 件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一 台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例 所述方法的全部或部分步骤。
[0163] 在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有 详述的部分,可以参见其他实施例的相关描述。
[0164] 在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方 式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一 种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者 可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之 间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连 接,可以是电性或其它的形式。
[0165] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显 示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个 网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目 的。
[0166] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以 是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单 元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0167] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视为本发明的保护范围。
【主权项】
1. 一种应用程序的漏洞检测方法,其特征在于,包括: 记录应用程序运行过程中的执行命令; 监控所述执行命令是否包含监控特征,其中, 在所述执行命令包含所述监控特征的情况下,回溯所述执行命令的父进程是否具有命 令注入漏洞的属性;以及 如果所述执行命令的所述父进程具有所述命令注入漏洞的属性,则确定所述执行命令 存在命令注入的漏洞。2. 根据权利要求1所述的方法,其特征在于,回溯所述执行命令的父进程是否具有命 令注入漏洞的属性,如果所述执行命令的所述父进程具有所述命令注入漏洞的属性,则确 定所述执行命令存在命令注入的漏洞的步骤包括: 扫描包含有所述监控特征的所述执行命令的父进程; 判断所述执行命令的父进程是否具有多命令集合且包含所述监控特征的属性;以及 如果所述父进程为多命令集合且包含所述监控特征,则确定所述执行命令存在命令注 入的漏洞。3. 根据权利要求2所述的方法,其特征在于,在如果所述父进程为多命令集合且包含 所述监控特征之后,所述方法还包括: 判断所述执行命令的父进程的父进程是否为网站应用程序中运行的进程,如果是,则 确定所述执行命令存在命令注入的漏洞。4. 根据权利要求2所述的方法,其特征在于,在判断所述执行命令的父进程是否具有 多命令集合且包含所述监控特征的属性之前,所述方法还包括: 在所述应用程序为网站应用软件程序的情况下,检测所述执行命令的所述父进程是否 包含网站解析命令所固有的头字段,其中,如果所述父进程包含所述网站解析命令所固有 的头字段,则执行判断所述执行命令的父进程是否具有多命令集合且包含所述监控特征的 属性的步骤。5. 根据权利要求1-4中任意一项所述的方法,其特征在于,监控所述执行命令是否包 含监控特征的步骤包括: 触发漏洞扫描器扫描所述应用程序运行过程中记录的所述执行命令,获取扫描所述执 行命令过程中得到的扫描特征; 读取黑名单命令集合,所述黑名单命令集合为预先保存的包含有监控特征的命令;以 及 将所述漏洞扫描器扫描到的所述扫描特征与所述黑名单命令集合中的监控特征进行 匹配处理,其中,如果所述漏洞扫描器扫描到的所述扫描特征与所述黑名单命令集合中的 监控特征匹配成功,则确定所述执行命令包含所述监控特征。6. 根据权利要求1-4中任意一项所述的方法,其特征在于,监控所述执行命令是否包 含监控特征的步骤包括: 采集网络漏洞扫描器扫描所述应用程序的扫描结果; 读取黑名单命令集合,所述黑名单命令集合为预先保存的包含有至少一个监控特征的 命令;以及 将采集到的所述扫描结果与所述黑名单命令集合中的监控特征进行匹配处理,其中, 如果所述采集到的扫描结果与所述黑名单命令集合中的监控特征匹配成功,则确定所述执 行命令包含所述监控特征。7. 根据权利要求1所述的方法,其特征在于,在记录应用程序运行过程中的执行命令 之前,所述方法还包括: 安装用于记录所述应用程序运行过程中的所述执行命令的命令记录系统。8. -种应用程序的漏洞检测装置,其特征在于,包括: 记录模块,用于记录应用程序运行过程中的执行命令; 监控模块,用于监控所述执行命令是否包含监控特征; 回溯模块,用于在所述执行命令包含所述监控特征的情况下,回溯所述执行命令的父 进程是否具有命令注入漏洞的属性; 确定模块,用于如果所述执行命令的所述父进程具有所述命令注入漏洞的属性,则确 定所述执行命令存在命令注入的漏洞。9. 根据权利要求8所述的装置,其特征在于,所述回溯模块和所述确定模块构成的处 理模块包括: 扫描模块,用于扫描包含有所述监控特征的所述执行命令的父进程; 第一判断模块,用于判断所述执行命令的父进程是否具有多命令集合且包含所述监控 特征的属性;以及 子确定模块,用于如果所述父进程为多命令集合且包含所述监控特征,则确定所述执 行命令存在命令注入的漏洞。10. 根据权利要求9所述的装置,其特征在于,所述装置还包括: 第二判断模块,用于判断所述执行命令的父进程的父进程是否为网站应用程序中运行 的进程,如果是,则确定所述执行命令存在命令注入的漏洞。11. 根据权利要求9所述的装置,其特征在于,所述装置还包括: 检测模块,用于在所述应用程序为网站应用软件程序的情况下,检测所述执行命令的 所述父进程是否包含网站解析命令所固有的头字段,其中,如果所述父进程包含所述网站 解析命令所固有的头字段,则执行所述第一判断模块的功能。12. 根据权利要求8-11中任意一项所述的装置,其特征在于,所述监控模块包括: 触发模块,用于触发漏洞扫描器扫描所述应用程序运行过程中记录的所述执行命令, 获取扫描所述执行命令过程中得到的扫描特征; 第一读取模块,用于读取黑名单命令集合,所述黑名单命令集合为预先保存的包含有 至少一个监控特征的命令;以及 第一匹配处理模块,用于将所述漏洞扫描器扫描到的所述扫描特征与所述黑名单命令 集合中的监控特征进行匹配处理,其中,如果所述漏洞扫描器扫描到的所述扫描特征与所 述黑名单命令集合中的监控特征匹配成功,则确定所述执行命令包含所述监控特征。13. 根据权利要求8-11中任意一项所述的装置,其特征在于,所述监控模块包括: 采集模块,用于采集网络漏洞扫描器扫描所述应用程序的扫描结果; 第二读取模块,用于读取黑名单命令集合,所述黑名单命令集合为预先保存的包含有 监控特征的命令;以及 第二匹配处理模块,用于将采集到的所述扫描结果与所述黑名单命令集合中的监控特 征进行匹配处理,其中,如果所述采集到的扫描结果与所述黑名单命令集合中的监控特征 匹配成功,则确定所述执行命令包含所述监控特征。14.根据权利要求8所述的装置,其特征在于,所述装置还包括: 安装模块,用于安装用于记录所述应用程序运行过程中的所述执行命令的命令记录系 统。
【专利摘要】本发明公开了一种应用程序的漏洞检测方法和装置。其中,该方法包括:记录应用程序运行过程中的执行命令;监控执行命令是否包含监控特征,其中,在执行命令包含监控特征的情况下,回溯执行命令的父进程是否具有命令注入漏洞的属性;如果执行命令的父进程具有命令注入漏洞的属性,则确定执行命令存在命令注入的漏洞。本发明解决了现有技术用于监测命令注入攻击的方法存在漏报率高、误报率高的技术问题。
【IPC分类】G06F21/57, G06F11/36
【公开号】CN105302707
【申请号】CN201410250852
【发明人】朱海星
【申请人】腾讯科技(深圳)有限公司
【公开日】2016年2月3日
【申请日】2014年6月6日...