基于日志挖掘被动发现已证实的Web漏洞

摘要

现有Web入侵检测方法及系统在网站被扫描和试探时亦产生大量告警.通过研究攻击者常用的自动化Web漏洞扫描器的特点,尤其是漏洞探测和判定逻辑,提取扫描器证实漏洞存在的关键指纹,可在海量Web日志中精确定位已证实的漏洞及自动化工具发起的成功入侵,且无需任何主动探测.基于半年时间千亿条日志实验评估,从10,578个被sqlmap扫描站点中筛选出536个存在注入风险的站点及60个已证实可利用的注入点,对通用型扫描器的分析则在3,408个被扫描站点中定位到1,446个站点上的高风险页面,免去了主动漏洞扫描巨大的资源开销和时间成本.