CN110381010B - 自适应的webapp识别与漏洞管理方法 - Google Patents
自适应的webapp识别与漏洞管理方法 Download PDFInfo
- Publication number
- CN110381010B CN110381010B CN201810340693.7A CN201810340693A CN110381010B CN 110381010 B CN110381010 B CN 110381010B CN 201810340693 A CN201810340693 A CN 201810340693A CN 110381010 B CN110381010 B CN 110381010B
- Authority
- CN
- China
- Prior art keywords
- webapp
- information
- vulnerability
- directory
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种自适应的webapp识别与漏洞管理方法。本发明能自动识别web服务器类型的计算机***上安装的webapp以及对应所安装的各个webapp存在的漏洞。该***包括web站点扫描模块,webapp指纹数据,webapp漏洞库数据三部分组成。实际运行时会启动web站点扫描模块,通过分析web站点的各个目录以及其中的文件,与webapp指纹数据做比对,从而发现web站点下存在的webapp;之后将发现的webapp信息对接webapp漏洞库数据,清点出各个webapp是否存在漏洞以及存在的漏洞信息;最终所有信息以web界面的形式展示,可以统一的查看服务器上存在的所有webapp以及相应的漏洞信息。该***只需在web服务器上安装并运行Agent即可清点出该服务器上的所有webapp及相应漏洞信息,能自动适应多种类UNIX操作***,无需额外人工配置。
Description
技术领域
本发明涉及的是,具体涉及一种自适应的webapp识别与漏洞管理方法。
背景技术
目前互联网中存在web服务器种类繁多,且每个web服务器都或多或少的安装了数个webapp从而为业务提供服务。恶意的攻击者经常利用webapp的漏洞攻击web服务器,窃取服务器中重要数据或造成服务器拒绝服务,严重的会破坏服务器数据等,这会使提供web服务的企业遭受数据泄露和业务中断的损失。因此,对web服务器上所安装的webapp进行清点并统一管理漏洞十分重要,这些信息可供运维参考从而及时的修补这些漏洞,以大大减少企业信息资产遭受损失的风险。
目前提供web服务的企业通常都有庞大的web服务器集群,而且web服务器上通常都安装了数量庞大和种类繁多的webapp。要是通过人工去一一清点每台服务器上安装的webapp以及其漏洞信息,那即费人力,也费时间。
现存在的webapp识别方式是用外部扫描来实现的。通过对特定站点进行外部扫描,访问一些固定的链接从返回的页面中匹配webapp的特征点,从而判断是否存在该webapp。
综上所述,现有技术的缺点如下:
1、速度慢。外部的链接访问通常会有网络延迟,且返回的页面数据量大,受限于带宽传输速度,处理效率低等。
2、识别率低。链接通常是可变的,而且webapp的***也可以任意配置,外部扫描链接的手段通常不能准确的找到webapp的链接地址,大大降低了识别率。
3、准确率低。通过单次访问页面中的关键字匹配很有可能错误识别成其他webapp,如在一个论坛的帖子中讨论wordpress(一种博客webapp)很有可能将该论坛错误的识别为wordpress。
基于此,本发明设计了一种能自动清点出web服务器上安装的webapp和各个webapp存在的漏洞,以web页面的形式展示,以供运维人员方便管理并采取进一步的安全措施的自适应的webapp识别与漏洞管理方法。
发明内容
针对现有技术上存在的不足,本发明目的是在于提供一种自适应的webapp识别与漏洞管理方法,从站点内部扫描,可以快速的遍历文件;运用海量webapp指纹加模糊搜索,识别率非常高;每个webapp都有不止一个指纹,且指纹信息都针对webapp原生程序的关键文件,准确率很高。
为了实现上述目的,本发明是通过如下的技术方案来实现:自适应的webapp识别与漏洞管理方法,其包括如下步骤:
1、首先安装运行Agent,Agent会自动清点出站点信息。然后在控制台启动webapp扫描功能,扫描模块会读取web站点信息和webapp指纹数据,通过遍历所有的webapp指纹数据,从站点根路径开始,依次寻找每个webapp指纹提供的需扫描的相对路径下是否有相应的文件且文件内容是否能匹配指纹信息。
2、对于相对路径的搜索是模糊搜索,当在一定层级的目录下匹配到第一个指纹时,余下指纹也会在该层级的目录下按相对路径寻找,这种做法不但提高了识别率,也能保证高准确率。当指纹数匹配超过该webapp总指纹的70%(阈值)时,即认为该webapp存在。
3、扫描阶段结束后,会将扫描到的所有webapp附加上漏洞信息存入数据库供前端以web界面统一展示。附加的漏洞信息是通过扫描出的webapp名称结合版本去漏洞库里寻找相应的漏洞信息实现的。
作为优选,所述的步骤2中的相对路径是指相对于站点根目录的路径,或相对于站点根目录一级子目录、二级子目录以及多级子目录下的相对路径。
作为优选,所述的步骤3中的前端的展示界面可以以主机维度或漏洞信息维度来展示所有安装Agent的服务器对webapp清点的汇总信息。
本发明中的Agent是指本发明所提供的软件客户端。Webapp是指web站点上的应用程序;webapp漏洞:web应用程序的本身实现上存在缺陷,可以供攻击者利用并能够在未授权的情况下访问或破坏***。
本发明提供了一种***,能自动识别web服务器类型的计算机***上安装的webapp以及对应所安装的各个webapp存在的漏洞。该***包括web站点扫描模块,webapp指纹数据,webapp漏洞库数据三部分组成。实际运行时会启动web站点扫描模块,通过分析web站点的各个目录以及其中的文件,与webapp指纹数据做比对,从而发现web站点下存在的webapp;之后将发现的webapp信息对接webapp漏洞库数据,清点出各个webapp是否存在漏洞以及存在的漏洞信息;最终所有信息以web界面的形式展示,可以统一的查看服务器上存在的所有webapp以及相应的漏洞信息。该***只需在web服务器上安装并运行Agent即可清点出该服务器上的所有webapp及相应漏洞信息,能自动适应多种类UNIX操作***,无需额外人工配置。
本发明具有以下有益效果:
1、Agent支持一键安装、批量部署,能快速地大规模投入使用。
2、无需额外配置,只需运行便可自动识别web服务类型、web站点路径、web站点上存在的webapp(包括单机和批量运行),简化运维操作。
3、专业人员对大量webapp分析出的指纹信息,具有高识别率和高准确率,且识别速度很快。
4、统一集中式的web页面展示,能够清晰明了的管理所有Agent发现的webapp以及相关漏洞信息。
附图说明
下面结合附图和具体实施方式来详细说明本发明;
图1为本发明的流程图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
参照图1,本具体实施方式采用以下技术方案:自适应的webapp识别与漏洞管理方法,其包括如下步骤:
首先安装运行Agent,Agent会自动清点出站点信息。然后在控制台启动webapp扫描功能,扫描模块会读取web站点信息和webapp指纹数据,通过遍历所有的webapp指纹数据,从站点根路径开始,依次寻找每个webapp指纹提供的需扫描的相对路径下是否有相应的文件且文件内容是否能匹配指纹信息。
对于相对路径的搜索是模糊搜索,相对路径不仅仅指相对于站点根目录的路径,也指相对于站点根目录一级子目录、二级子目录以及多级子目录下的相对路径。当在一定层级的目录下匹配到第一个指纹时,余下指纹也会在该层级的目录下按相对路径寻找,这种做法不但提高了识别率,也能保证高准确率。当指纹数匹配超过该webapp总指纹的70%(阈值)时,即认为该webapp存在。
扫描阶段结束后,会将扫描到的所有webapp附加上漏洞信息存入数据库供前端以web界面统一展示。附加的漏洞信息是通过扫描出的webapp名称结合版本去漏洞库里寻找相应的漏洞信息实现的。前端的展示界面可以以主机维度或漏洞信息维度来展示所有安装Agent的服务器对webapp清点的汇总信息。
本具体实施方式的webapp核心扫描识别模块以Agent形式运行在web服务器上,安装运行客户端软件便可使用webapp识别和漏洞管理功能。本发明的自适应性体现在可以支持大多数类UNIX操作***,且能自动识别出web站点的类型(如nginx、tomcat、apache等)和根目录所在,从而为核心扫描模块提供扫描起始路径。当Agent识别出站点路径后,将其作为参数传递给webapp扫描识别模块,该模块便以该路径作为起始路径,根据webapp指纹数据中的规则,递归扫描该路径下相应文件,命中指纹数超过一定阈值,便认为该webapp存在于该web站点下。最终汇总所有webapp信息入库与漏洞库对接,形成总的webapp漏洞管理信息库。
1)webapp指纹数据:
每个webapp指纹数据都包括名称、描述、多个应用指纹信息和版本指纹信息。其中指纹信息都是由专业的应用分析人员,通过对原生应用程序多角度的全面分析,提取 出的关键信息,具有高可靠性和准确性。
2)漏洞库信息数据结构样例(json格式):
{
"id": "QT-WEBAPP-2016-0166",
"title": "phpMyAdmin 未明跨站脚本攻击(XSS)漏洞",
"patch_name": "phpMyAdmin 未明跨站脚本攻击(XSS)漏洞的补丁",
"patch_detail": "phpMyAdmin 2.8.0.4之前的某些版本存在跨站脚本攻击(XSS)漏洞。 远程攻击者可以借助未知脚本>中的db参数,注入任意Web脚本或HTML。",
"patch_link": "http:\/\/www.securityfocus.com\/bid\/17973\/solution",
"ref_link": "http:\/\/secunia.com\/advisories\/22781",
"open_time": "2006-05-16 00:00:00",
"cvs_number": "",
"types": "XSS漏洞",
"apps": [{
"version": "2.8.0.3",
"ver_type": "1",
"ver_des": "2.8.0.3",
"appname": "phpMyAdmin",
"vulnerid": "QT-WEBAPP-2016-0166"
}]
}
每个webapp漏洞信息都包括漏洞id、漏洞名、补丁信息、补丁详情、补丁链接、公开时间、漏洞类型、cve编号、影响的webapp信息等。
本发明在迭代开发阶段已经经过多道严格的测试流程,从多个方面不同角度对本发明进行可用性、合规性、稳健性等测试,目前版本的Agent已经完全符合本发明所阐述的各方面功能性要求。本发明已经由相当一部分的测试用户体验使用,目前无论从每个测试用户的反馈来讲,还是从各个Agent提供的数据来讲,都能证明本发明的实际可行性:测试用户拥有不同的操作***和web服务类型,以及种类繁多的webapp,在安装了Agent的web服务器上,均能准确快速的识别出webapp以及相应漏洞信息。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.自适应的webapp识别与漏洞管理方法,其特征在于,其包括如下步骤:
(1)、首先安装运行Agent,Agent会自动清点出站点信息,然后在控制台启动webapp扫描功能,扫描模块会读取web站点信息和webapp指纹数据,通过遍历所有的webapp指纹数据,从站点根路径开始,依次寻找每个webapp指纹提供的需扫描的相对路径下是否有相应的文件且文件内容是否能匹配指纹信息;
(2)、对于相对路径的搜索是模糊搜索,当在一定层级的目录下匹配到第一个指纹时,余下指纹也会在该层级的目录下按相对路径寻找,这种做法不但提高了识别率,也能保证高准确率,当指纹数匹配超过该webapp总指纹的70%阈值时,即认为该webapp存在;
(3)、扫描阶段结束后,会将扫描到的所有webapp附加上漏洞信息存入数据库供前端以web界面统一展示;附加的漏洞信息是通过扫描出的webapp名称结合版本去漏洞库里寻找相应的漏洞信息实现的。
2.根据权利要求1所述的自适应的webapp识别与漏洞管理方法,其特征在于,所述的步骤(2)中的相对路径是指相对于站点根目录的路径,或相对于站点根目录一级子目录、二级子目录以及多级子目录下的相对路径。
3.根据权利要求1所述的自适应的webapp识别与漏洞管理方法,其特征在于,所述的步骤(3)中的前端的展示界面可以以主机维度或漏洞信息维度来展示所有安装Agent的服务器对webapp清点的汇总信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810340693.7A CN110381010B (zh) | 2018-04-17 | 2018-04-17 | 自适应的webapp识别与漏洞管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810340693.7A CN110381010B (zh) | 2018-04-17 | 2018-04-17 | 自适应的webapp识别与漏洞管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110381010A CN110381010A (zh) | 2019-10-25 |
| CN110381010B true CN110381010B (zh) | 2020-10-13 |
Family
ID=68243035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810340693.7A Active CN110381010B (zh) | 2018-04-17 | 2018-04-17 | 自适应的webapp识别与漏洞管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110381010B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117376037B (zh) * | 2023-12-08 | 2024-02-23 | 山东星维九州安全技术有限公司 | 一种网络资产分类扫描的方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483514A (zh) * | 2009-02-25 | 2009-07-15 | 北京安域领创科技有限公司 | Web应用评估方法 |
| CN103632100A (zh) * | 2013-11-08 | 2014-03-12 | 北京奇虎科技有限公司 | 一种网站漏洞检测方法及装置 |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9438612B1 (en) * | 2015-03-23 | 2016-09-06 | Fortinet, Inc. | Calculating consecutive matches using parallel computing |
| US10437935B2 (en) * | 2017-04-18 | 2019-10-08 | Salesforce.Com, Inc. | Natural language translation and localization |
-
2018
- 2018-04-17 CN CN201810340693.7A patent/CN110381010B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483514A (zh) * | 2009-02-25 | 2009-07-15 | 北京安域领创科技有限公司 | Web应用评估方法 |
| CN103632100A (zh) * | 2013-11-08 | 2014-03-12 | 北京奇虎科技有限公司 | 一种网站漏洞检测方法及装置 |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描*** |
Non-Patent Citations (3)
| Title |
|---|
| VEBAPP跨站脚本漏洞的检测与分析;王润;《中国优秀硕士学位论文全文数据库》;20171231;全文 * |
| Web 应用安全漏洞"一扫光";边锋;《中国计算机用户》;20071231;全文 * |
| 安潇羽.大规模Web服务器漏洞发现与验证技术研究.《中国优秀硕士学位论文全文数据库》.2016, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110381010A (zh) | 2019-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10891378B2 (en) | Automated malware signature generation | |
| KR101092024B1 (ko) | 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템 | |
| RU2536664C2 (ru) | Система и способ автоматической модификации антивирусной базы данных | |
| CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| US20100077481A1 (en) | Collecting and analyzing malware data | |
| US20150207811A1 (en) | Vulnerability vector information analysis | |
| US11216554B2 (en) | Determining apparatus, determining method, and determining program | |
| US20110219454A1 (en) | Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same | |
| CN103279710A (zh) | Internet信息***恶意代码的检测方法和*** | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| US11550920B2 (en) | Determination apparatus, determination method, and determination program | |
| CN111611590B (zh) | 涉及应用程序的数据安全的方法及装置 | |
| CN113987504A (zh) | 一种网络资产管理的漏洞检测方法 | |
| CN110381010B (zh) | 自适应的webapp识别与漏洞管理方法 | |
| CN113746849A (zh) | 一种网络中的设备识别方法、装置、设备及存储介质 | |
| CN117254983A (zh) | 涉诈网址检测方法、装置、设备及存储介质 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| US20160285905A1 (en) | System and method for detecting mobile cyber incident | |
| CN105099996B (zh) | 网站验证方法及装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN115982713A (zh) | 漏洞修复方法、装置、电子设备和计算机可读存储介质 | |
| CN114462030A (zh) | 隐私政策的处理、取证方法、装置、设备及存储介质 | |
| CN114065225A (zh) | 一种业务漏洞防护方法及*** | |
| CN109271781B (zh) | 一种基于内核的应用程序获取超级权限行为检测方法与*** | |
| Gawron et al. | Automatic detection of vulnerabilities for advanced security analytics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |