基于内容的漏洞检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及互联网技术领域,特别是涉及一种基于内容的漏洞检测方法及装置。
【背景技术】
[0002]由于现有的网络环境中会存在大量的漏洞,因此为了防止漏洞被人恶意利用而导致数据丢失或篡改、隐私泄露乃至金钱上的损失,如网站因漏洞被入侵,网站用户数据被泄露、网站功能可能遭到破坏而中止甚至服务器本身被入侵者控制,并且随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现,漏洞问题也会长期存在。因此,在实际情况下,通常需要对漏洞进行不定期的检测。
[0003]在现有的漏洞检测方式中,需要使用漏洞检测模块进行注入点分析、模拟攻击行为以及获取攻击结果,整套流程比较复杂。例如,由于每次对于注入点的查询都是要查询数据库来判断,而一旦数据库中的记录很多的话,对于持久化的数据的读写时间开销很大;此外,对于数据库中有N个漏洞样例的情况而言,程序需要将攻击结果与N个漏洞样例进行对比,这样的检测时间开销也是巨大的。
【发明内容】
[0004]有鉴于此,本发明提出了一种基于内容的漏洞检测方法及装置,主要目的在于解决现有技术中的漏洞检测方法的时间及资源开销较大的问题。
[0005]依据本发明的第一个方面,本发明提供一种基于内容的漏洞检测方法,包括:
[0006]对发送给待检测目标的请求的可疑请求脚本规则进行分析;
[0007]获取待检测目标针对所述请求返回的数据;
[0008]判断所述数据是否符合所述可疑请求脚本规则要求返回的结果;
[0009]若判断结果为是,则确定待检测目标具有漏洞。
[0010]依据本发明的第二个方面,本发明提供一种基于内容的漏洞检测装置,包括:
[0011]分析单元,用于对发送给待检测目标的请求的可疑请求脚本规则进行分析;
[0012]获取单元,用于获取待检测目标针对所述请求返回的数据;
[0013]判断单元,用于判断所述数据是否符合所述可疑请求脚本规则要求返回的结果;
[0014]确定单元,用于当判断结果为是时,确定待检测目标具有漏洞。
[0015]借由上述技术方案,本发明实施例提供的一种基于内容的漏洞检测方法及装置,能够通过对发送给待检测目标的请求的可疑请求脚本规则进行分析,获取待检测目标针对所述请求返回的数据,并判断所述数据是否符合所述请求脚本规则要求返回的结果,若判断结果为是,则确定待检测目标具有漏洞。而在现有技术中进行漏洞检测时,需要使用漏洞检测模块进行注入点分析、模拟攻击行为以及获取攻击结果,整套流程比较复杂,并且每次对于注入点的查询都是要查询数据库来判断,而一旦数据库中的记录很多的话,对于持久化的数据的读写时间开销很大;此外,对于数据库中有N个漏洞样例的情况而言,程序需要将攻击结果与N个漏洞样例进行对比,这样的检测时间及资源开销也是巨大的。因此,与现有的检测漏洞时资源及时间开销较大的缺陷相比,本发明实施例只需要确定请求中的可疑规则以及返回的内容,当实际返回的内容与可疑请求预期的内容相匹配时,则确定存在漏洞。
[0016]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0017]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0018]图1示出了本发明实施例提供的一种基于内容的漏洞检测方法的流程图;
[0019]图2示出了本发明实施例提供的一种基于内容的漏洞检测装置的组成框图;
[0020]图3示出了本发明实施例提供的另一种基于内容的漏洞检测装置的组成框图。
【具体实施方式】
[0021]下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0022]在现有的漏洞检测方式中,需要使用漏洞检测模块进行注入点分析、模拟攻击行为以及获取攻击结果,整套流程比较复杂,每次对于注入点的查询都是要查询数据库来判断,一旦数据库中的记录很多,那么对于持久化的数据读写的时间开销很大;并且当数据库中有N个漏洞样例时,程序需要将攻击结果与N个漏洞样例进行对比,这样的检测时间及资源开销也是巨大的。
[0023]为了解决现有技术中的漏洞检测方法的时间及资源开销较大的问题,本发明实施例提供了一种基于内容的漏洞检测方法,能够根据请求规则及响应内容初步确定漏洞类型,达到降低漏洞检测的时间及资源开销的效果。如图1所示,该方法包括:
[0024]101、对发送给待检测目标的请求的可疑请求脚本规则进行分析。
[0025]由于漏洞是系统存在的弱点或缺陷,其可能来自于应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处,因此漏洞普遍存在。通常对于一些简单的漏洞都可以通过扫描器触发并发现这些漏洞,但是对于复杂的隐藏较深的漏洞通常通过扫描器无法触发,因此不易发现。此时,一些恶意攻击者会手动编写代码去触发这些漏洞,通常具有这些代码的请求都有一定的规则,与正常的请求规则不同,但是比较隐蔽不易发现。因此,在大量的请求中通常隐藏有可疑请求,其有可能是恶意请求,也有可能不是恶意请求。因此,本发明实施例在检测漏洞时,作为对漏洞的初步判断,需要执行步骤101对发送给待检测目标的请求的可疑请求脚本规则进行分析。
[0026]102、获取待检测目标针对所述请求返回的数据。
[0027]由于恶意请求通常都会按照请求的不同从目标获取特定的数据,通过在步骤101中分析向待检测目标发送的请求得到的可疑请求脚本规则,可以预估出所述可疑请求脚本规则期望目标返回的数据。为了检测目标是否具有漏洞,也就是待检测目标是否能够按照可疑请求脚本规则向所述请求返回其期望得到的数据。因此,本发明实施例在步骤101之后,还需要执行步骤102获取待检测目标针对所述请求返回的数据。
[0028]103、判断所述数据是否符合所述可疑请求脚本规则要求返回的结果。
[0029]当在步骤102中获取到待检测目标针对所述请求返回的数据之后,还需要将实际情况下针对所述请求返回的数据与理论上可疑请求脚本规则期望返回的数据进行比对,判断针对所述请求返回的数据是否符合所述可疑请求脚本规则要求返回的结果。
[0030]104、若判断结果为是,则确定待检测目标具有漏洞。
[0031]由于具有可疑脚本规则的请求通常是利用漏洞的特点而恶意从目标获取特定类型的数据,若目标没有该漏洞,则具有可疑脚本规则的请求是无法从目标获取该特定类型的数据的。因此,当在步骤103中判断针对所述请求返回的数据与所述可疑请求脚本规则要求返回的结果相符时,可以初步确定待检测目标具有漏洞。
[0032]本发明实施例提供的一种基于内容的漏洞检测方法,能够通过对发送给待检测目标的请求的可疑请求脚本规则进行分析,获取待检测目标针对所述请求返回的数据,并判断所述数据是否符合所述请求脚本规则要求返回的结果,若判断结果为是,则确定待检测目标具有漏洞。而在现有技术中进行漏洞检测时,需要使用漏洞检测模块进行注入点分析、模拟攻击行为以及获取攻击结果,整套流程比较复杂,并且每次对于注入点的查询都是要查询数据库来判断,而一旦数据库中的记录很多的话,对于持久化的数据的读写时间开销很大;此外,对于数据库中有N个