應(yīng)用程序的漏洞檢測方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及計(jì)算機(jī)互聯(lián)網(wǎng)領(lǐng)域��,具體而言����,涉及一種應(yīng)用程序的漏洞檢測方法和 裝置。
【背景技術(shù)】
[0002] 現(xiàn)有技術(shù)中用于實(shí)現(xiàn)Web網(wǎng)站動態(tài)內(nèi)容的技術(shù)可以包括:通用網(wǎng)關(guān)接口(Common Gateway Interface���,簡稱CGI)技術(shù)�、超文本預(yù)處理器(Hypertext Preprocessor的縮寫,簡 稱PHP)等�。
[0003] CGI可以根據(jù)用戶輸入的請求動態(tài)地傳送HTML數(shù)據(jù),使用CGI技術(shù)可實(shí)現(xiàn)電子商 務(wù)網(wǎng)站��、搜索引擎處理和在線登記等功能?,F(xiàn)有的自定義的CGI腳本是由Perl,Java�,C和 C++等語言編寫的,網(wǎng)站W(wǎng)eb頁面的設(shè)計(jì)者都需要控制網(wǎng)站web服務(wù)器�����,包括所需要的后臺 程序(如數(shù)據(jù)庫)�。
[0004] PHP是一種比CGI更快速的執(zhí)行動態(tài)網(wǎng)頁的通用的開源腳本語言,由于PHP是將程 序嵌入到HTML文檔中去執(zhí)行�����,因此執(zhí)行效率比完全生成htmL標(biāo)記的CGI要高許多���,而且所 有的CGI的功能PHP都能實(shí)現(xiàn)。語法吸收了 C語言���、Java和Perl的特點(diǎn)����,入門門檻較低, 易于學(xué)習(xí)����,使用廣泛,主要適用于Web開發(fā)領(lǐng)域��。
[0005] PHP命令注入攻擊漏洞是PHP應(yīng)用程序中常見的腳本漏洞之一��,命令注入攻擊 Command Injection,是指由于Web應(yīng)用程序?qū)τ脩籼峤坏臄?shù)據(jù)過濾不嚴(yán)格�����,導(dǎo)致黑客可以 通過構(gòu)造特殊命令字符串的方式��,將數(shù)據(jù)提交至Web應(yīng)用程序中��,并利用該方式執(zhí)行外部 程序或系統(tǒng)命令實(shí)施攻擊��,非法獲取數(shù)據(jù)或者網(wǎng)絡(luò)資源等�����。下面我們結(jié)合PHP語言的特性�, 對PHP命令注入攻擊進(jìn)行簡要的分析和描述��。
[0006] PHP命令注入的漏洞攻擊存在的主要原因是Web應(yīng)用程序員在應(yīng)用PHP語言中一 些具有命令執(zhí)行功能的函數(shù)時�����,對用戶提交的數(shù)據(jù)內(nèi)容沒有進(jìn)行嚴(yán)格的過濾就帶入函數(shù)中 執(zhí)行而造成的�。例如���,當(dāng)黑客提交的數(shù)據(jù)內(nèi)容為向網(wǎng)站目錄寫入PHP文件時�����,就可以通過該 命令注入攻擊漏洞寫入一個PHP后門文件��,進(jìn)而實(shí)施進(jìn)一步的滲透攻擊�。
[0007] 針對現(xiàn)有的命令注入攻擊����,可以提供命令注入檢測方案進(jìn)行檢測,主要包括黑盒 檢測和白盒檢測�。
[0008] 黑盒檢測:主要通過構(gòu)造命令注入特征來全量掃描CGI���,從匹配返回的結(jié)果的特 征來判斷是否存在漏洞��,目前黑盒檢測的效果主要依賴于掃描器的掃描深度���、參數(shù)遍歷深 度和掃描速度���。
[0009] 白盒檢測:主要通過分析代碼的邏輯來發(fā)現(xiàn)代碼是否存在漏洞,目前白合檢測的 效果主要依賴于代碼審計(jì)軟件的匹配模式和檢測深度����。
[0010] 由于黑盒掃描器無法遍歷所有的輸入點(diǎn),而白盒檢測的審計(jì)系統(tǒng)也無法遍歷所有 的代碼邏輯���,因此��,現(xiàn)有的用于監(jiān)測命令注入攻擊的方法存在漏報(bào)率高���、誤報(bào)率高的問題。 而且開發(fā)一款黑盒掃描器或白盒審計(jì)系統(tǒng)周期長���,難度大����,開發(fā)后的運(yùn)營成本也較高�����。
[0011] 針對上述現(xiàn)有技術(shù)用于監(jiān)測命令注入攻擊的方法存在漏報(bào)率高、誤報(bào)率高的問 題���,目前尚未提出有效的解決方案�����。
【發(fā)明內(nèi)容】
[0012] 本發(fā)明實(shí)施例提供了一種應(yīng)用程序的漏洞檢測方法和裝置�,以至少解決現(xiàn)有技術(shù) 用于監(jiān)測命令注入攻擊的方法存在漏報(bào)率高����、誤報(bào)率高的技術(shù)問題。
[0013] 根據(jù)本發(fā)明實(shí)施例的一個方面�����,提供了一種應(yīng)用程序的漏洞檢測方法����,該方法包 括:記錄應(yīng)用程序運(yùn)行過程中的執(zhí)行命令;監(jiān)控執(zhí)行命令是否包含監(jiān)控特征���,其中�����,在執(zhí)行 命令包含監(jiān)控特征的情況下�,回溯執(zhí)行命令的父進(jìn)程是否具有命令注入漏洞的屬性����;如果 執(zhí)行命令的父進(jìn)程具有命令注入漏洞的屬性,則確定執(zhí)行命令存在命令注入的漏洞�。
[0014] 根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種應(yīng)用程序的漏洞檢測裝置����,該裝置 包括:記錄模塊,用于記錄應(yīng)用程序運(yùn)行過程中的執(zhí)行命令���;監(jiān)控模塊��,用于監(jiān)控執(zhí)行命令 是否包含監(jiān)控特征���;回溯模塊,用于在執(zhí)行命令包含監(jiān)控特征的情況下�,回溯執(zhí)行命令的父 進(jìn)程是否具有命令注入漏洞的屬性;確定模塊��,用于如果執(zhí)行命令的父進(jìn)程具有命令注入 漏洞的屬性,則確定執(zhí)行命令存在命令注入的漏洞����。
[0015] 在本發(fā)明實(shí)施例中,采用記錄應(yīng)用程序運(yùn)行過程中的執(zhí)行命令����;監(jiān)控執(zhí)行命令是 否包含監(jiān)控特征,其中�,在執(zhí)行命令包含監(jiān)控特征的情況下,回溯執(zhí)行命令的父進(jìn)程是否具 有命令注入漏洞的屬性�;如果執(zhí)行命令的父進(jìn)程具有命令注入漏洞的屬性,則確定執(zhí)行命 令存在命令注入的漏洞的方式�����,通過檢測當(dāng)前運(yùn)行的應(yīng)用程序的執(zhí)行命令是否包括監(jiān)控特 征來確定該執(zhí)行命令是否具有注入命令漏洞的潛在風(fēng)險�,由于在確定該執(zhí)行命令具有注入 命令漏洞的潛在風(fēng)險之后,進(jìn)一步通過回溯該執(zhí)行命令的父進(jìn)程是否具有命令注入漏洞的 屬性�,從而確認(rèn)當(dāng)前執(zhí)行命令存在命令注入的漏洞,因此�,本申請?zhí)峁┝艘环N對具有命令注 入漏洞風(fēng)險的執(zhí)行命令進(jìn)行進(jìn)一步的命令注入驗(yàn)證的功能,即對該執(zhí)行命令已經(jīng)具有的屬 性特征進(jìn)行驗(yàn)證���,從而確定該執(zhí)行命令的最終性質(zhì)��。由于上述過程可以應(yīng)用于應(yīng)用程序運(yùn) 行過程中的每個執(zhí)行命令�����,因此��,整個操作遍歷到了應(yīng)用程序中的所有執(zhí)行命令��,而且每個 執(zhí)行命令所要驗(yàn)證的屬性特征都是靜態(tài)的�,從而達(dá)到了大幅降低了監(jiān)測命令注入攻擊的漏 報(bào)和誤報(bào)的情況的目的����,進(jìn)而解決了現(xiàn)有技術(shù)用于監(jiān)測命令注入攻擊的方法存在漏報(bào)率 高、誤報(bào)率高的技術(shù)問題��。本方案還可以改善現(xiàn)有的漏洞檢測系統(tǒng)開發(fā)周期長��,難度大�,開 發(fā)后的運(yùn)營成本也較高的問題。
【附圖說明】
[0016] 此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解��,構(gòu)成本申請的一部分�����,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定��。在附圖中:
[0017] 圖1是本發(fā)明實(shí)施例的一種運(yùn)行應(yīng)用程序的漏洞檢測方法的計(jì)算機(jī)終端的硬件 結(jié)構(gòu)框圖�����;
[0018] 圖2是根據(jù)本發(fā)明實(shí)施例一的應(yīng)用程序的漏洞檢測方法的流程圖���;
[0019] 圖3是根據(jù)本發(fā)明實(shí)施例一的基于PHP執(zhí)行web應(yīng)用程序的漏洞檢測方法的詳細(xì) 流程圖���;
[0020] 圖4是根據(jù)本法實(shí)施例二的應(yīng)用程序的漏洞檢測裝置的結(jié)構(gòu)示意圖;
[0021] 圖5是根據(jù)本法實(shí)施例二的一種可選的應(yīng)用程序的漏洞檢測裝置的結(jié)構(gòu)示意圖��;
[0022] 圖6是根據(jù)本法實(shí)施例二的一種可選的應(yīng)用程序的漏洞檢測裝置的結(jié)構(gòu)示意圖����;
[0023] 圖7是根據(jù)本法實(shí)施例二的一種可選的應(yīng)用程序的漏洞檢測裝置的結(jié)構(gòu)示意圖;
[0024] 圖8是根據(jù)本法實(shí)施例二的一種可選的應(yīng)用程序的漏洞檢測裝置的結(jié)構(gòu)示意圖���;
[0025] 圖9是根據(jù)本法實(shí)施例二的一種可選的應(yīng)用程序的漏洞檢測裝置的結(jié)構(gòu)示意圖���; 以及
[0026] 圖10是根據(jù)本發(fā)明實(shí)施例的一種計(jì)算機(jī)終端的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0027] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的 附圖�����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述�����,顯然�,所描述的實(shí)施例僅僅是 本發(fā)明一部分的實(shí)施例�����,而不是全部的實(shí)施例�����?��;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例��,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范 圍��。
[0028] 需要說明的是�,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"、"第 二"等是用于區(qū)別類似的對象����,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當(dāng)情況下可以互換�����,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤?。此外,術(shù)語"包括"和"具有"以及他們的任何變形��,意圖在于 覆蓋不排他的包含����,例如,包含了一系列步驟或單元的過程����、方法���、系統(tǒng)、產(chǎn)品或設(shè)備不必限 于清楚地列出的那些步驟或單元��,而是可包括沒有清楚地列出的或?qū)τ谶@些過程�、方法、產(chǎn) 品或設(shè)備固有的其它步驟或單元�����。
[0029] 實(shí)施例1
[0030] 根據(jù)本發(fā)明實(shí)施例���,還提供了一種應(yīng)用程序的漏洞檢測方法的方法實(shí)施例,需要 說明的是�����,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中 執(zhí)行��,并且����,雖然在流程圖中示出了邏輯順序,但是在某些情況下�,可以以不同于此處的順 序執(zhí)行所示出或描述的步驟��。
[0031] 本申請實(shí)施例一所提供的方法實(shí)施例可以在移動終端�、計(jì)算機(jī)終端或者類似的運(yùn) 算裝置中執(zhí)行��。以運(yùn)行在計(jì)算機(jī)終端上為例��,圖1是本發(fā)明實(shí)施例的一種運(yùn)行應(yīng)用程序的 漏洞檢測方法的計(jì)算機(jī)終端的硬件結(jié)構(gòu)框圖���。如圖1所示����,計(jì)算機(jī)終端10可以包括一個或 多個(圖中僅示出一個)處理器102 (處理器102可以包括但不限于微處理器MCU或可編 程邏輯器件FPGA等的處理裝置)�����、用于存儲數(shù)據(jù)的存儲器104�����、以及用于通信功能的傳輸模 塊106����。本領(lǐng)域普通技術(shù)人員可以理解,圖1所示的結(jié)構(gòu)僅為示意��,其并不對上述電子裝置 的結(jié)構(gòu)造成限定。例如�����,計(jì)算機(jī)終端10還可包括比圖1中所示更多或者更少的組件���,或者 具有與圖1所示不同的配置����。
[0032] 存儲器104可用于存儲應(yīng)用軟件的軟件程序以及模塊���,如本發(fā)明實(shí)施例中的應(yīng)用 程序的漏洞檢測方法對應(yīng)的程序指令/模塊����,處理器102通過運(yùn)行存儲在存儲器104內(nèi)的 軟件程序以及模塊��,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理����,即實(shí)現(xiàn)上述的升級應(yīng)用軟件的 處理方法�����。存儲器104可包括高速隨機(jī)存儲器,還可包括非易失性存儲器���,如一個或者多個 磁性存儲裝置�����、閃存�����、或者其他非易失性固態(tài)存儲器�����。在一些實(shí)例中�����,存儲器104可進(jìn)一步 包括相對于處理器102遠(yuǎn)程設(shè)置的存儲器����,這些遠(yuǎn)程存儲器可以通過網(wǎng)絡(luò)連接至計(jì)算機(jī)終 端10�。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)��、局域網(wǎng)、移動通信網(wǎng)及其組合�。
[0033] 傳輸裝置106用于經(jīng)由一個網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括 計(jì)算機(jī)終端10的通信供應(yīng)商提供的無線網(wǎng)絡(luò)�����。在一個實(shí)例中�����,傳輸裝置106包括一個網(wǎng)絡(luò) 適配器(Network Interface Controller, NIC),其可通過基站與其他網(wǎng)絡(luò)設(shè)備相連從而可 與互聯(lián)網(wǎng)進(jìn)行通訊���。在一個實(shí)例中����,傳輸裝置106可以為射頻(Radio Frequency, RF)模塊�����, 其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊����。
[0034] 在上述運(yùn)行環(huán)境下�����,本申請?zhí)峁┝巳鐖D2所示的應(yīng)用程序的漏洞檢測方法。圖2 是根據(jù)本發(fā)明實(shí)施例一的應(yīng)用程序的漏洞檢測方法的流程圖��。
[0035] 如圖2所示�,該應(yīng)用程序的漏洞檢測方法可以如下實(shí)施步驟:
[0036] 步驟S20,記錄應(yīng)用程序運(yùn)行過程中的執(zhí)行命令。
[0037] 本申請上述步驟S20中的應(yīng)用程序可以是通過網(wǎng)站web訪問的web應(yīng)用程序��,例 如聊天室���、留言板����、論壇等用戶只需要通過瀏覽器可以輸入并操作數(shù)據(jù)的應(yīng)用程序����,不需要 開發(fā)獨(dú)立的軟件或插件。
[0038] 以PHP執(zhí)行web應(yīng)用程序?yàn)槔?���,在PHP中,可以包含用于執(zhí)行外部程序或函數(shù)的 命令執(zhí)行函數(shù)�����,命令執(zhí)行函數(shù)的主要作用是可以通過命令執(zhí)行函數(shù)與Web應(yīng)用程序進(jìn)行交 互,即可以通過Web應(yīng)用程序執(zhí)行外部程序或