CN115208695A - 黑盒安全扫描的方法、装置、***和电子设备 - Google Patents
黑盒安全扫描的方法、装置、***和电子设备 Download PDFInfo
- Publication number
- CN115208695A CN115208695A CN202211106992.7A CN202211106992A CN115208695A CN 115208695 A CN115208695 A CN 115208695A CN 202211106992 A CN202211106992 A CN 202211106992A CN 115208695 A CN115208695 A CN 115208695A
- Authority
- CN
- China
- Prior art keywords
- scanning
- assets
- target system
- passive
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种黑盒安全扫描的方法、装置、***和电子设备,包括:在对目标***进行功能测试后,获取目标***的授权认证信息,并根据授权认证信息创建安全测试任务;根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产;对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。本发明的方法中,是将主动扫描与被动扫描进行了结合,提高了扫描覆盖率,并且是在完成功能测试后,再根据授权认证信息自动对扫描汇总资产进行安全探测,能够减少对目标***的影响。
Description
技术领域
本发明涉及安全检测的技术领域,尤其是涉及一种黑盒安全扫描的方法、装置、***和电子设备。
背景技术
黑盒安全扫描是指对Web和HTTP接口的安全检测。对黑盒安全扫描进行衡量的指标主要包括:(1)扫描器自身的服务运行性能,包括:自身运行的稳定性、自动化程度、能支持的扫描任务量;(2)扫描覆盖率,包括:接口资产发现的覆盖率和支持检测漏洞类型的覆盖率;(3)扫描时效性(越快越好);(4)对目标***的影响程度,包括:脏数据量、扫描时间窗口、扫描授权问题、对业务可用性的影响;(5)结果输出运营效率,例如,是否能便于结果展现、跟踪以及问题的闭环处理。
目前,黑盒安全扫描已经被广泛应用于各类企业软件***上线前的安全检测,并且部分企业已将其嵌入到软件开发生命周期(Software Development Life Cycle,SDLC)的流程中,但是每家企业的具体落地方案有所不同。但是,不论何种落地方案,黑盒安全扫描的实施步骤都主要包括:接口资产收集、安全探测、漏洞识别及结果输出。根据接口资产收集方案的差异,黑盒安全扫描落地方案主要有两类:分别是主动扫描的方案和被动扫描的方案。主动扫描的方案和被动扫描的方案在扫描覆盖率、对目标***的影响程度等方面都各有优缺点,具体如下:主动扫描的方案是指采用爬虫方式获取目标***的接口,需要测试人员填写目标***的入口地址及相关认证信息,然后黑盒安全扫描器依赖上述信息爬取接口,并且依托内置的扫描插件及扫描逻辑对目标***进行安全探测,进而发现安全漏洞。该种方案需要测试人员主动触发,不存在扫描授权和扫描时间窗口问题。但是,因为依赖爬虫,该方案的扫描覆盖率低,因为目标***的前端框架和业务逻辑不同,所以会导致爬虫不能覆盖所有的场景,进而无法爬取所有的接口资产,另外,爬虫也不能获取单独页面和API接口;被动扫描的方案是采用代理、流量日志、流量镜像等方式采集接口资产,后续采用瞬时扫描(即得到接口资产后立即对其进行安全探测)或延迟扫描进行安全探测。其中,瞬时扫描因可以拿到具体接口、参数及请求会话态信息,在接口资产收集方面具有明显的优势,但是该方案会对目标***造成脏数据,因为安全探测的请求与功能测试的请求会杂糅到一起,从而干扰功能测试的正常工作,对目标***的影响非常大。而延迟扫描又很难解决会话态失效所导致的无法进行正常安全探测的问题。
综上,如何在兼顾扫描覆盖率和减少对目标***的影响的情况下,进行黑盒安全扫描成为目前亟需解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种可用于金融科技或其他相关领域的黑盒安全扫描的方法、装置、***和电子设备,以缓解现有技术无法在兼顾扫描覆盖率和减少对目标***的影响的情况下,实现黑盒的安全扫描的技术问题。
第一方面,本发明实施例提供了一种黑盒安全扫描的方法,应用于黑盒安全扫描***,包括:
在对目标***进行功能测试后,获取所述目标***的授权认证信息,并根据所述授权认证信息创建安全测试任务,其中,所述授权认证信息包括:所述目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
根据所述安全测试任务启动爬虫对所述目标***的接口资产进行主动收集,得到主动扫描资产;
根据所述安全测试任务中的所述目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,所述被动扫描资产为在对所述目标***进行功能测试过程中收集得到的;
对所述主动扫描资产和所述被动目标扫描资产进行汇总,得到扫描汇总资产;
根据所述授权认证信息对所述扫描汇总资产进行安全探测,得到安全探测结果。
进一步的,获取所述目标***的授权认证信息的步骤之前,所述方法还包括:
在对所述目标***进行功能测试过程中,按照预设的流量收集方式收集所述功能测试的被动流量;
根据所述被动流量确定所述被动扫描资产。
进一步的,所述预设的流量收集方式包括以下至少之一:HTTP流量代理收集的方式、测试***流量收集的方式和网络设备流量收集的方式。
进一步的,获取所述目标***的授权认证信息,包括:
向所述目标***的客户端或所述目标***的显示界面,发送授权信息填报页面;其中,所述授权信息填报页面包括:信息填报栏和风险提示栏;所述风险提示栏包含有黑盒安全扫描原理、风险提示和责任告知信息;
通过所述信息填报栏接收所述目标***的授权认证信息。
第二方面,本发明实施例还提供了一种黑盒安全扫描的装置,应用于黑盒安全扫描***,包括:
安全测试任务创建单元,用于在对目标***进行功能测试后,获取所述目标***的授权认证信息,并根据所述授权认证信息创建安全测试任务,其中,所述授权认证信息包括:所述目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
主动扫描资产收集单元,用于根据所述安全测试任务启动爬虫对所述目标***的接口资产进行主动收集,得到主动扫描资产;
被动扫描资产查询单元,用于根据所述安全测试任务中的所述目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,所述被动扫描资产为在对所述目标***进行功能测试过程中收集得到的;
资产汇总单元,用于对所述主动扫描资产和所述被动目标扫描资产进行汇总,得到扫描汇总资产;
安全探测单元,用于根据所述授权认证信息对所述扫描汇总资产进行安全探测,得到安全探测结果。
进一步的,所述装置还包括:
被动流量收集单元,用于在对所述目标***进行功能测试过程中,按照预设的流量收集方式收集所述功能测试的被动流量;
确定单元,用于根据所述被动流量确定所述被动扫描资产。
进一步的,所述预设的流量收集方式包括以下至少之一:HTTP流量代理收集的方式、测试***流量收集的方式和网络设备流量收集的方式。
第三方面,本发明实施例还提供了一种黑盒安全扫描的***,包括:被动流量收集模块、授权认证模块、任务管理模块、主动爬虫模块和扫描模块;
所述被动流量收集模块,用于在对目标***进行功能测试过程中,按照预设的流量收集方式收集所述功能测试的被动流量,进而确定被动扫描资产;
所述授权认证模块,用于获取目标***的授权认证信息,其中,所述授权认证信息包括:所述目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
所述任务管理模块,用于根据所述授权认证信息创建安全测试任务;
所述主动爬虫模块,用于根据所述安全测试任务启动爬虫对所述目标***的接口资产进行主动收集,得到主动扫描资产;
所述任务管理模块,还用于根据所述安全测试任务中的所述目标***的地址,在所述被动扫描资产中查询被动目标扫描资产,并获取所述主动爬虫模块得到的主动扫描资产,以及对所述主动扫描资产和所述被动目标扫描资产进行汇总,得到扫描汇总资产;
所述扫描模块,用于根据所述授权认证信息对所述扫描汇总资产进行安全探测,得到安全探测结果。
进一步的,还包括:
结果输出模块,用于输出所述安全探测结果。
第四方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面任一项所述的方法的步骤。
第五方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述机器可运行指令在被处理器调用和运行时,所述机器可运行指令促使所述处理器运行上述第一方面任一项所述的方法。
在本发明实施例中,提供了一种黑盒安全扫描的方法,应用于黑盒安全扫描***,包括:在对目标***进行功能测试后,获取目标***的授权认证信息,并根据授权认证信息创建安全测试任务,其中,授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,被动扫描资产为在对目标***进行功能测试过程中收集得到的;对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。通过上述描述可知,本发明的黑盒安全扫描的方法中,是将主动扫描与被动扫描进行了结合,提高了扫描覆盖率,并且是在完成功能测试后,再根据授权认证信息自动对扫描汇总资产进行安全探测,能够减少对目标***的影响,缓解了现有技术无法在兼顾扫描覆盖率和减少对目标***的影响的情况下,实现黑盒的安全扫描的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种黑盒安全扫描的方法的流程图;
图2为本发明实施例提供的获取目标***的授权认证信息的流程图;
图3为本发明实施例提供的一种黑盒安全扫描的装置的示意图;
图4为本发明实施例提供的一种黑盒安全扫描的***的示意图;
图5为本发明实施例提供的一种电子设备的示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,在对目标***进行黑盒安全扫描时,一般采用主动扫描的方案或被动扫描的方案,其中,主动扫描的方案是指采用爬虫方式获取目标***的接口,需要测试人员填写目标***的入口地址及相关认证信息,然后黑盒安全扫描器依赖上述信息爬取接口,并且依托内置的扫描插件及扫描逻辑对目标***进行安全探测,进而发现安全漏洞。该种方案需要测试人员主动触发,不存在扫描授权和扫描时间窗口问题。但是,因为依赖爬虫,该方案的扫描覆盖率低,因为目标***的前端框架和业务逻辑不同,所以会导致爬虫不能覆盖所有的场景,进而无法爬取所有的接口资产,另外,爬虫也不能获取单独页面和API接口;被动扫描的方案是采用代理、流量日志、流量镜像等方式采集接口资产,后续采用瞬时扫描(即得到接口资产后立即对其进行安全探测)或延迟扫描进行安全探测。其中,瞬时扫描因可以拿到具体接口、参数及请求会话态信息,在接口资产收集方面具有明显的优势,但是该方案会对目标***造成脏数据,因为安全探测的请求与功能测试的请求会杂糅到一起,从而干扰功能测试的正常工作,对目标***的影响非常大。而延迟扫描又很难解决会话态失效所导致的无法进行正常安全探测的问题。也就是传统的主动扫描的方案或被动扫描的方案无法在兼顾扫描覆盖率和减少对目标***的影响的情况下,实现黑盒的安全扫描。
基于此,本发明的黑盒安全扫描的方法中,是将主动扫描与被动扫描进行了结合,提高了扫描覆盖率,并且是在完成功能测试后,再根据授权认证信息自动对扫描汇总资产进行安全探测,能够减少对目标***的影响。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种黑盒安全扫描的方法进行详细介绍。
实施例一:
根据本发明实施例,提供了一种黑盒安全扫描的方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种黑盒安全扫描的方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,在对目标***进行功能测试后,获取目标***的授权认证信息,并根据授权认证信息创建安全测试任务,其中,授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
在本发明实施例中,上述黑盒安全扫描的方法可以应用于黑盒安全扫描***,上述目标***可以为企业软件***中需要进行黑盒安全扫描的***,黑盒安全扫描是企业安全体系中最主要的应用场景,是在企业软件***(即本发明中的目标***)上线前实施的,以便在上线前发现安全问题并及时修复。
上述目标***的授权认证信息可以为目标***的相关人员输入的,是集成在软件开发生命周期的流程工具中的,上述授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息。上述授权确认信息是指是否允许黑盒安全扫描***对目标***进行黑盒安全扫描,上述授权时间信息是指若允许黑盒安全扫描***对目标***进行黑盒安全扫描时,允许扫描的时间范围(即在什么时间内可以进行黑盒安全扫描);上述发包频率信息是指对目标***进行黑盒安全扫描的频率(如,一秒内,目标***可同时允许的请求数量);认证信息可以理解为黑盒安全扫描***对目标***进行安全探测时的钥匙,上述认证信息可以为cookie信息,还可以为账号、密码以及登录相关的信息,本发明实施例对上述认证信息不进行具体限定。
步骤S104,根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;
在创建得到安全测试任务后,启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产。
步骤S106,根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,被动扫描资产为在对目标***进行功能测试过程中收集得到的;
在执行上述步骤S104的同时,提取安全测试任务中的目标***的地址,进而在被动扫描资产中查询与上述目标***的地址对应的被动目标扫描资产,而上述被动扫描资产为在对目标***进行功能测试过程中收集得到的。
步骤S108,对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;
具体的,这里的汇总具体可以是指去除主动扫描资产和被动目标扫描资产中重复的资产,从而得到扫描汇总资产。
步骤S110,根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。
具体的,在到达授权时间信息对应的时间范围后,按照发包频率信息对应的频率,通过目标***的地址和认证信息对上述扫描汇总资产进行安全探测,从而得到安全探测结果,并输出上述安全探测结果。
在本发明实施例中,提供了一种黑盒安全扫描的方法,应用于黑盒安全扫描***,包括:在对目标***进行功能测试后,获取目标***的授权认证信息,并根据授权认证信息创建安全测试任务,其中,授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,被动扫描资产为在对目标***进行功能测试过程中收集得到的;对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。通过上述描述可知,本发明的黑盒安全扫描的方法中,是将主动扫描与被动扫描进行了结合,提高了扫描覆盖率,并且是在完成功能测试后,再根据授权认证信息自动对扫描汇总资产进行安全探测,能够减少对目标***的影响,缓解了现有技术无法在兼顾扫描覆盖率和减少对目标***的影响的情况下,实现黑盒的安全扫描的技术问题。
上述内容对本发明的黑盒安全扫描的方法进行了简要介绍,下面对其中涉及到的具体内容进行详细描述。
在本发明的一个可选实施例中,在获取目标***的授权认证信息的步骤之前,该方法还包括:
(1)在对目标***进行功能测试过程中,按照预设的流量收集方式收集功能测试的被动流量;
上述预设的流量收集方式包括以下至少之一:HTTP流量代理收集的方式、测试***流量收集的方式和网络设备流量收集的方式。
上述的预设的流量收集方式为在搭建黑盒安全扫描***时配置的。
(2)根据被动流量确定被动扫描资产。
在本发明的一个可选实施例中,参考图2,获取目标***的授权认证信息,具体包括如下步骤:
步骤S201,向目标***的客户端或目标***的显示界面,发送授权信息填报页面;其中,授权信息填报页面包括:信息填报栏和风险提示栏;风险提示栏包含有黑盒安全扫描原理、风险提示和责任告知信息;
步骤S202,通过信息填报栏接收目标***的授权认证信息。
本发明的黑盒安全扫描的方法具有以下优点:
(1)在目标***的功能测试阶段,考虑到了安全测试需求,实施被动流量收集,为后续的安全测试做准备;
(2)在对目标***进行功能测试后,实施安全测试任务创建,测试任务创建过程中填报安全测试的授权认证信息,填报过程中能明确告知目标***的负责人黑盒安全扫描的原理、风险和责任告知信息,避免对功能测试造成干扰。在安全测试任务创建阶段填报的授权认证信息能够保证后续黑盒安全扫描中认证信息的有效性,保证了延迟扫描的可行性,即确保了后续被动扫描安全探测请求的有效性;
(3)将主动扫描和被动扫描结合,提高了黑盒安全扫描的覆盖率,同事也避免了对目标***的影响;
(4)能有效与软件开发生命周期结合,便于黑盒安全扫描自动化嵌入软件开发生命周期的流程中。
实施例二:
本发明实施例还提供了一种黑盒安全扫描的装置,该黑盒安全扫描的装置主要用于执行本发明实施例一中所提供的黑盒安全扫描的方法,以下对本发明实施例提供的黑盒安全扫描的装置做具体介绍。
图3是根据本发明实施例的一种黑盒安全扫描的装置的示意图,该装置应用于黑盒安全扫描***,如图3所示,该装置主要包括:安全测试任务创建单元10、主动扫描资产收集单元20、被动扫描资产查询单元30、资产汇总单元40和安全探测单元50,其中:
安全测试任务创建单元,用于在对目标***进行功能测试后,获取目标***的授权认证信息,并根据授权认证信息创建安全测试任务,其中,授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
主动扫描资产收集单元,用于根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;
被动扫描资产查询单元,用于根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,被动扫描资产为在对目标***进行功能测试过程中收集得到的;
资产汇总单元,用于对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;
安全探测单元,用于根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。
在本发明实施例中,提供了一种黑盒安全扫描的装置,应用于黑盒安全扫描***,包括:在对目标***进行功能测试后,获取目标***的授权认证信息,并根据授权认证信息创建安全测试任务,其中,授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,被动扫描资产为在对目标***进行功能测试过程中收集得到的;对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。通过上述描述可知,本发明的黑盒安全扫描的装置中,是将主动扫描与被动扫描进行了结合,提高了扫描覆盖率,并且是在完成功能测试后,再根据授权认证信息自动对扫描汇总资产进行安全探测,能够减少对目标***的影响,缓解了现有技术无法在兼顾扫描覆盖率和减少对目标***的影响的情况下,实现黑盒的安全扫描的技术问题。
可选地,该装置还包括:
被动流量收集单元,用于在对目标***进行功能测试过程中,按照预设的流量收集方式收集功能测试的被动流量;确定单元,用于根据被动流量确定被动扫描资产。
可选地,预设的流量收集方式包括以下至少之一:HTTP流量代理收集的方式、测试***流量收集的方式和网络设备流量收集的方式。
可选地,安全测试任务创建单元还用于:向目标***的客户端或目标***的显示界面,发送授权信息填报页面;其中,授权信息填报页面包括:信息填报栏和风险提示栏;风险提示栏包含有黑盒安全扫描原理、风险提示和责任告知信息;通过信息填报栏接收目标***的授权认证信息。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
实施例二:
本发明实施例还提供了一种黑盒安全扫描的***,图4是根据本发明实施例的一种黑盒安全扫描的***的示意图,如图4所示,该***主要包括:被动流量收集模块、授权认证模块、任务管理模块、主动爬虫模块和扫描模块;
被动流量收集模块,用于在对目标***进行功能测试过程中,按照预设的流量收集方式收集功能测试的被动流量,进而确定被动扫描资产;
授权认证模块,用于获取目标***的授权认证信息,其中,授权认证信息包括:目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
任务管理模块,用于根据授权认证信息创建安全测试任务;
主动爬虫模块,用于根据安全测试任务启动爬虫对目标***的接口资产进行主动收集,得到主动扫描资产;
任务管理模块,还用于根据安全测试任务中的目标***的地址,在被动扫描资产中查询被动目标扫描资产,并获取主动爬虫模块得到的主动扫描资产,以及对主动扫描资产和被动目标扫描资产进行汇总,得到扫描汇总资产;
扫描模块,用于根据授权认证信息对扫描汇总资产进行安全探测,得到安全探测结果。
可选地,参考图4,该***还包括:结果输出模块,用于输出安全探测结果。
具体的,上述授权认证模块集成在软件开发生命周期中,任务管理模块同时与授权认证模块、主动爬虫模块、被动流量收集模块交互连通,任务管理模块为黑盒安全扫描***的调度中心。
本发明提供的黑盒安全扫描***将主动扫描与被动扫描相结合,提高了扫描覆盖率;在功能测试后进行黑盒安全扫描的授权认证,在提高扫描覆盖率的同时,降低了对目标***的影响;该方案结合软件开发生命周期流程设计,更便于黑盒安全扫描嵌入到软件开发生命周期流程,并自动化实施和运营。
如图5所示,本申请实施例提供的一种电子设备600,包括:处理器601、存储器602和总线,所述存储器602存储有所述处理器601可执行的机器可读指令,当电子设备运行时,所述处理器601与所述存储器602之间通过总线通信,所述处理器601执行所述机器可读指令,以执行如上述黑盒安全扫描的方法的步骤。
具体地,上述存储器602和处理器601能够为通用的存储器和处理器,这里不做具体限定,当处理器601运行存储器602存储的计算机程序时,能够执行上述黑盒安全扫描的方法。
处理器601可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器601中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器601可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器602,处理器601读取存储器602中的信息,结合其硬件完成上述方法的步骤。
对应于上述黑盒安全扫描的方法,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述黑盒安全扫描的方法的步骤。
本申请实施例所提供的黑盒安全扫描的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的***、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
再例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述车辆标记方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种黑盒安全扫描的方法,其特征在于,应用于黑盒安全扫描***,包括:
在对目标***进行功能测试后,获取所述目标***的授权认证信息,并根据所述授权认证信息创建安全测试任务,其中,所述授权认证信息包括:所述目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
根据所述安全测试任务启动爬虫对所述目标***的接口资产进行主动收集,得到主动扫描资产;
根据所述安全测试任务中的所述目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,所述被动扫描资产为在对所述目标***进行功能测试过程中收集得到的;
对所述主动扫描资产和所述被动目标扫描资产进行汇总,得到扫描汇总资产;
根据所述授权认证信息对所述扫描汇总资产进行安全探测,得到安全探测结果。
2.根据权利要求1所述的方法,其特征在于,获取所述目标***的授权认证信息的步骤之前,所述方法还包括:
在对所述目标***进行功能测试过程中,按照预设的流量收集方式收集所述功能测试的被动流量;
根据所述被动流量确定所述被动扫描资产。
3.根据权利要求2所述的方法,其特征在于,所述预设的流量收集方式包括以下至少之一:HTTP流量代理收集的方式、测试***流量收集的方式和网络设备流量收集的方式。
4.根据权利要求1所述的方法,其特征在于,获取所述目标***的授权认证信息,包括:
向所述目标***的客户端或所述目标***的显示界面,发送授权信息填报页面;其中,所述授权信息填报页面包括:信息填报栏和风险提示栏;所述风险提示栏包含有黑盒安全扫描原理、风险提示和责任告知信息;
通过所述信息填报栏接收所述目标***的授权认证信息。
5.一种黑盒安全扫描的装置,其特征在于,应用于黑盒安全扫描***,包括:
安全测试任务创建单元,用于在对目标***进行功能测试后,获取所述目标***的授权认证信息,并根据所述授权认证信息创建安全测试任务,其中,所述授权认证信息包括:所述目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
主动扫描资产收集单元,用于根据所述安全测试任务启动爬虫对所述目标***的接口资产进行主动收集,得到主动扫描资产;
被动扫描资产查询单元,用于根据所述安全测试任务中的所述目标***的地址,在被动扫描资产中查询被动目标扫描资产,其中,所述被动扫描资产为在对所述目标***进行功能测试过程中收集得到的;
资产汇总单元,用于对所述主动扫描资产和所述被动目标扫描资产进行汇总,得到扫描汇总资产;
安全探测单元,用于根据所述授权认证信息对所述扫描汇总资产进行安全探测,得到安全探测结果。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
被动流量收集单元,用于在对所述目标***进行功能测试过程中,按照预设的流量收集方式收集所述功能测试的被动流量;
确定单元,用于根据所述被动流量确定所述被动扫描资产。
7.根据权利要求6所述的装置,其特征在于,所述预设的流量收集方式包括以下至少之一:HTTP流量代理收集的方式、测试***流量收集的方式和网络设备流量收集的方式。
8.一种黑盒安全扫描的***,其特征在于,包括:被动流量收集模块、授权认证模块、任务管理模块、主动爬虫模块和扫描模块;
所述被动流量收集模块,用于在对目标***进行功能测试过程中,按照预设的流量收集方式收集所述功能测试的被动流量,进而确定被动扫描资产;
所述授权认证模块,用于获取目标***的授权认证信息,其中,所述授权认证信息包括:所述目标***的地址、授权确认信息、授权时间信息、发包频率信息和认证信息;
所述任务管理模块,用于根据所述授权认证信息创建安全测试任务;
所述主动爬虫模块,用于根据所述安全测试任务启动爬虫对所述目标***的接口资产进行主动收集,得到主动扫描资产;
所述任务管理模块,还用于根据所述安全测试任务中的所述目标***的地址,在所述被动扫描资产中查询被动目标扫描资产,并获取所述主动爬虫模块得到的主动扫描资产,以及对所述主动扫描资产和所述被动目标扫描资产进行汇总,得到扫描汇总资产;
所述扫描模块,用于根据所述授权认证信息对所述扫描汇总资产进行安全探测,得到安全探测结果。
9.根据权利要求8所述的***,其特征在于,还包括:
结果输出模块,用于输出所述安全探测结果。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4中任一项所述的方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可运行指令,所述机器可运行指令在被处理器调用和运行时,所述机器可运行指令促使所述处理器运行上述权利要求1至4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211106992.7A CN115208695B (zh) | 2022-09-13 | 2022-09-13 | 黑盒安全扫描的方法、装置、***和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211106992.7A CN115208695B (zh) | 2022-09-13 | 2022-09-13 | 黑盒安全扫描的方法、装置、***和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115208695A true CN115208695A (zh) | 2022-10-18 |
CN115208695B CN115208695B (zh) | 2022-12-06 |
Family
ID=83573543
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211106992.7A Active CN115208695B (zh) | 2022-09-13 | 2022-09-13 | 黑盒安全扫描的方法、装置、***和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115208695B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116841912A (zh) * | 2023-08-31 | 2023-10-03 | 美云智数科技有限公司 | 应用测试方法、装置、电子设备及计算机可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130293352A1 (en) * | 2012-05-01 | 2013-11-07 | Honeywell Interntional Inc. doing business as (d.b.a.) Honeywell Scanning & Mobiltiy | Dynamic scan context determination for asset reconciliation |
CN111262839A (zh) * | 2020-01-09 | 2020-06-09 | 深信服科技股份有限公司 | 一种漏洞扫描方法、管理设备、节点和存储介质 |
CN112003864A (zh) * | 2020-08-25 | 2020-11-27 | 上海聚水潭网络科技有限公司 | 一种基于全流量的网站安全检测***和方法 |
CN113468075A (zh) * | 2021-08-14 | 2021-10-01 | 康剑萍 | 一种服务器端软件的安全测试方法和*** |
CN113596114A (zh) * | 2021-07-12 | 2021-11-02 | 杭州电子科技大学 | 一种可扩展的自动化Web漏洞扫描***及方法 |
CN114003794A (zh) * | 2021-11-03 | 2022-02-01 | 中国工商银行股份有限公司 | 资产收集方法、装置、电子设备和介质 |
CN114124475A (zh) * | 2021-11-05 | 2022-03-01 | 武汉思普崚技术有限公司 | 一种网络资产端口扫描及服务识别方法、装置 |
CN114866434A (zh) * | 2022-03-09 | 2022-08-05 | 上海纽盾科技股份有限公司 | 网络资产的安全评估方法及应用 |
-
2022
- 2022-09-13 CN CN202211106992.7A patent/CN115208695B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130293352A1 (en) * | 2012-05-01 | 2013-11-07 | Honeywell Interntional Inc. doing business as (d.b.a.) Honeywell Scanning & Mobiltiy | Dynamic scan context determination for asset reconciliation |
CN111262839A (zh) * | 2020-01-09 | 2020-06-09 | 深信服科技股份有限公司 | 一种漏洞扫描方法、管理设备、节点和存储介质 |
CN112003864A (zh) * | 2020-08-25 | 2020-11-27 | 上海聚水潭网络科技有限公司 | 一种基于全流量的网站安全检测***和方法 |
CN113596114A (zh) * | 2021-07-12 | 2021-11-02 | 杭州电子科技大学 | 一种可扩展的自动化Web漏洞扫描***及方法 |
CN113468075A (zh) * | 2021-08-14 | 2021-10-01 | 康剑萍 | 一种服务器端软件的安全测试方法和*** |
CN114003794A (zh) * | 2021-11-03 | 2022-02-01 | 中国工商银行股份有限公司 | 资产收集方法、装置、电子设备和介质 |
CN114124475A (zh) * | 2021-11-05 | 2022-03-01 | 武汉思普崚技术有限公司 | 一种网络资产端口扫描及服务识别方法、装置 |
CN114866434A (zh) * | 2022-03-09 | 2022-08-05 | 上海纽盾科技股份有限公司 | 网络资产的安全评估方法及应用 |
Non-Patent Citations (2)
Title |
---|
BIN WANG: "Research on Web Application Security Vulnerability Scanning Technology", 《2019 IEEE 4TH ADVANCED INFORMATION TECHNOLOGY, ELECTRONIC AND AUTOMATION CONTROL CONFERENCE (IAEAC)》 * |
王宸东等: "网络资产探测技术研究", 《计算机科学》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116841912A (zh) * | 2023-08-31 | 2023-10-03 | 美云智数科技有限公司 | 应用测试方法、装置、电子设备及计算机可读存储介质 |
CN116841912B (zh) * | 2023-08-31 | 2023-12-29 | 美云智数科技有限公司 | 应用测试方法、装置、电子设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115208695B (zh) | 2022-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108377241B (zh) | 基于访问频率的监测方法、装置、设备和计算机存储介质 | |
CN111459782B (zh) | 监控业务***的方法、装置、云平台***和服务器 | |
CN102882886B (zh) | 一种呈现访问网站的相关信息的网络终端和方法 | |
CN112039900B (zh) | 网络安全风险检测方法、***、计算机设备和存储介质 | |
CN110059007B (zh) | ***漏洞扫描方法、装置、计算机设备及存储介质 | |
CN105260660A (zh) | 智能终端支付环境的监控方法、装置及*** | |
CN111756697B (zh) | Api安全检测方法、装置、存储介质及计算机设备 | |
CN115208695B (zh) | 黑盒安全扫描的方法、装置、***和电子设备 | |
CN111787075A (zh) | 一种设备定位方法及装置 | |
CN112738138B (zh) | 云安全托管方法、装置、设备及存储介质 | |
CN112948224A (zh) | 一种数据处理方法、装置、终端及存储介质 | |
CN110908910B (zh) | 一种基于区块链的测试监控方法、装置及可读存储介质 | |
CN111193727A (zh) | 运行监测***及运行监测方法 | |
US20220173990A1 (en) | Extensible, secure and efficient monitoring and diagnostic pipeline for hybrid cloud architecture | |
CN109495350B (zh) | 局数据的核查方法、装置和存储介质 | |
CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
CN111210210B (zh) | 支付数据处理方法、装置及电子设备 | |
CN107612755A (zh) | 一种云资源的管理方法及其装置 | |
CN110858132B (zh) | 一种打印设备的配置安全检测方法及装置 | |
CN105933186A (zh) | 安全检测的方法、装置及*** | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及*** | |
CN113452533B (zh) | 计费自巡检、自愈合方法、装置、计算机设备和存储介质 | |
CN115050117B (zh) | 车辆诊断报告的生成方法、装置及诊断设备 | |
CN110489690B (zh) | 监控政务服务应用***的方法、服务器、设备及存储介质 | |
CN113094268B (zh) | 测试方法、装置、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |