一种基于漏洞利用程序特征的进行漏洞可视化验证方法

摘要

本发明公开了一种基于漏洞利用程序特征的进行漏洞可视化验证方法，包括有以下方法步骤：S1、通过软件编程软件进行编写poc程序体；S2、设置exp的执行参数，生成exp代码；S3、poc程序体扫描出域名或ip地址的程序体中的安全漏洞；S4、可视化界面触发漏洞验证，生成漏洞验证页面信息；S5、然后在可视化界面触发执行exp，后端程序解析poc代码文件；S6、动态设置exp参数及验证对象，动态执行exp代码并输出利用的结果；本发明通过poc程序体对选定的域名或者ip地址程序体中的漏洞进行有效的检测，且通过exp对漏洞进行运行操作，并且在可视化界面进行漏洞利用操作，动态的设置漏洞利用的参数，动态返回漏洞利用结果。

说明书

技术领域

本发明属于漏洞检测技术领域，具体涉及一种基于漏洞利用程序特征的进行漏洞可视化验证方法。

背景技术

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞，当企业通过其他方法得知本企业某个产品某个url存在某漏洞，首先要做的就是证明这个漏洞的真实存在性以及评估这个漏洞具体有什么危害。传统的做法就是把这个漏洞交给安全人员，安全人员首先深入了解这个漏洞工作原理，搭建开发环境，再编程写出这个漏洞的验证程序，通过程序的输出验证漏洞的存在，如果想改变其他输出结果，又的重新修改程序，且输出的结果一般只有开发人员才能看得懂，不仅费时且对安全员技能水平要求很高。我们设计的可视化交互操作验证漏洞存在的方案，企业的操作员只需要在可视化界面上简单操作几下就能验证漏洞的真实存在性及具体危害，然而市面上各种的漏洞检测仍存在各种各样的问题。

如授权公告号为CN111475820A所公开的基于可执行程序的二进制漏洞检测方法、系统及存储介质，其虽然实现了在漏洞检测中引入中间语言VEX IR，一定程度上恢复了程序的执行流，有利于后续算法理解程序逻辑语义和上下文信息并建立相应的漏洞模型，但是并未解决现有在进行漏洞检测的时候，需要工作人员进行运行检测，并且不能够实现对漏洞进行信息进行可视化，以及对漏洞进行验证等的问题，为此我们提出一种基于漏洞利用程序特征的进行漏洞可视化验证方法。

发明内容

本发明的目的在于提供一种基于漏洞利用程序特征的进行漏洞可视化验证方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于漏洞利用程序特征的进行漏洞可视化验证方法，包括有以下方法步骤：

S1、通过软件编程软件进行编写poc程序体,poc程序体中包括漏洞基本信息和类型；

S2、根据程序漏洞设置exp的执行参数，并且在poc代码文件里生成exp代码；

S3、在poc程序体中输入需要检测的域名或ip地址，使得域名或ip地址能够通过poc程序体扫描出域名或ip地址的程序体中的安全漏洞；

S4、然后poc程序体在运行的可视化界面触发漏洞验证，并且poc后端程序解析poc代码文件，生成漏洞验证页面信息；

S5、然后在可视化界面触发执行exp，后端程序解析poc代码文件，根据exp设置参数，执行exp代码，向测试对象发送报文信息，漏洞利用，并把接受到的返回信息传给可视化界面，在界面输出漏洞利用的过程及最后的执行结果；

S6、并且能够动态设置exp参数及验证对象，动态执行exp代码并输出利用的结果。

优选的，所述S1中的poc程序体是基于模版进行编写的poc程序体，能够让扫描框架识别并且运行，所述模版的组成一般分为漏洞基本信息、poc验证信息、exp利用信息。

优选的，所述poc程序体具有多种运行方式，所述多种运行方式包括有多进程、多线程和分布式运行方式，且扫描器需要大规模的扫描、探测使用分布式节点的方式进行运行操作。

优选的，所述S1中的漏洞基本信息和类型包括有SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP报头追踪漏洞、Struts2远程命令执行漏洞、框架钓鱼漏洞、文件上传漏洞、私有IP地址泄露漏洞、未加密登录请求和敏感信息泄露漏洞。

优选的，所述exp的执行参数的设定包括有三种模式，三组所述模式包括有完全模式、用户模式和表模式：

所述完全模式的执行指令如下代码：EXP SYSTEM/MANAGER BUFFER＝64000FILE＝C:\FULL.DMP FULL＝Y，如果要执行完全导出，必须具有特殊的权限；

所述用户模式的执行指令如下代码：EXP SONIC/SONIC BUFFER＝64000FILE＝C:\SONIC.DMP OWNER＝SONIC，这样用户SONIC的所有对象被输出到文件中；

所述表模式的执行指令如下代码：EXP SONIC/SONIC BUFFER＝64000FILE＝C:\SONIC.DMP OWNER＝SONIC TABLES＝(SONIC)，这样用户SONIC的表SONIC就被导出。

优选的，所述S3中的域名或ip地址是需要进行检测漏洞的程序体的地址，即通过poc程序体实现对域名或ip地址中的框架和程序体进行多种运行方式中的一种进行扫描。

优选的，所述S4中的可视化界面包括有三种技术方案，三组所述技术方案包括有语言自带的可视化编程模块(QT)、Electron或nw.js开发可视化应用和B/S架构进行开发。

优选的，所述Electron或nw.js进行开发可视化应用包括有FOFA Pro客户端、GoBy和中国蚁剑，所述B/S架构进行开发的时候后端控制使用WEB进行控制，节点使用Python、Java等语言进行开发，且BugScan、w8scan和巡风都是基于B/S架构实现。

优选的，所述报文信息类型包括有超文本传输协议、Request、Response的格式、HTML、XML报文和JSON。

优选的，所述S6中的动态设置是在poc程序体运行的时候，能够根据检测的域名或者ip地址的内容进行实时的设置参数信息。

与现有技术相比，本发明的有益效果是：

本发明通过poc程序体实现对选定的域名或者ip地址内部的程序进行测定，进而实现对程序体中的漏洞进行有效的检测，且通过exp漏洞利用程序实现对漏洞进行运行操作，并且在可视化界面(web界面、应用软件界面)进行漏洞利用操作，可以动态的设置漏洞利用的参数，动态返回漏洞利用结果。

附图说明

图1为本发明的方法步骤流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，本发明提供一种技术方案：一种基于漏洞利用程序特征的进行漏洞可视化验证方法，包括有以下方法步骤：

S1、通过软件编程软件进行编写poc程序体,poc程序体中包括漏洞基本信息和类型；

S2、根据程序漏洞设置exp的执行参数，并且在poc代码文件里生成exp代码；

S3、在poc程序体中输入需要检测的域名或ip地址，使得域名或ip地址能够通过poc程序体扫描出域名或ip地址的程序体中的安全漏洞；

S4、然后poc程序体在运行的可视化界面触发漏洞验证，并且poc后端程序解析poc代码文件，生成漏洞验证页面信息；

S5、然后在可视化界面触发执行exp，后端程序解析poc代码文件，根据exp设置参数，执行exp代码，向测试对象发送报文信息，漏洞利用，并把接受到的返回信息传给可视化界面，在界面输出漏洞利用的过程及最后的执行结果；

S6、并且能够动态设置exp参数及验证对象，动态执行exp代码并输出利用的结果。

为了实现对poc程序体进行编写，并且使得poc程序体能够实现识别和运行功能，本实施例中，优选的，所述S1中的poc程序体是基于模版进行编写的poc程序体，能够让扫描框架识别并且运行，所述模版的组成一般分为漏洞基本信息、poc验证信息、exp利用信息。

为了实现对poc程序体的运行方式实现多种多样，便于应对不同的检测类型，本实施例中，优选的，所述poc程序体具有多种运行方式，所述多种运行方式包括有多进程、多线程和分布式运行方式，且扫描器需要大规模的扫描、探测使用分布式节点的方式进行运行操作。

为了使得poc程序体能够对漏洞的类型进行识别检测，本实施例中，优选的，所述S1中的漏洞基本信息和类型包括有SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP报头追踪漏洞、Struts2远程命令执行漏洞、框架钓鱼漏洞、文件上传漏洞、私有IP地址泄露漏洞、未加密登录请求和敏感信息泄露漏洞。

为了实现对exp的执行参数进行设定，实现运行稳定性，本实施例中，优选的，所述exp的执行参数的设定包括有三种模式，三组所述模式包括有完全模式、用户模式和表模式：

所述完全模式的执行指令如下代码：EXP SYSTEM/MANAGER BUFFER＝64000FILE＝C:\FULL.DMP FULL＝Y，如果要执行完全导出，必须具有特殊的权限；

所述用户模式的执行指令如下代码：EXP SONIC/SONIC BUFFER＝64000FILE＝C:\SONIC.DMP OWNER＝SONIC，这样用户SONIC的所有对象被输出到文件中；

所述表模式的执行指令如下代码：EXP SONIC/SONIC BUFFER＝64000FILE＝C:\SONIC.DMP OWNER＝SONIC TABLES＝(SONIC)，这样用户SONIC的表SONIC就被导出。

为了实现对域名或ip地址中的程序体进行检测，本实施例中，优选的，所述S3中的域名或ip地址是需要进行检测漏洞的程序体的地址，即通过poc程序体实现对域名或ip地址中的框架和程序体进行多种运行方式中的一种进行扫描。

为了实现对检测结构进行可视化处理，本实施例中，优选的，所述S4中的可视化界面包括有三种技术方案，三组所述技术方案包括有语言自带的可视化编程模块(QT)、Electron或nw.js开发可视化应用和B/S架构进行开发，所述Electron或nw.js进行开发可视化应用包括有FOFA Pro客户端、GoBy和中国蚁剑，所述B/S架构进行开发的时候后端控制使用WEB进行控制，节点使用Python、Java等语言进行开发，且BugScan、w8scan和巡风都是基于B/S架构实现。

为了使得输出的报文多样，便于适用与不同的模式输出，本实施例中，优选的，所述报文信息类型包括有超文本传输协议、Request、Response的格式、HTML、XML报文和JSON。

为了实现poc程序体在运行的时候，能够根据需求和要求对检测的程序体进行参数的设定，本实施例中，优选的，所述S6中的动态设置是在poc程序体运行的时候，能够根据检测的域名或者ip地址的内容进行实时的设置参数信息。

本发明的工作原理及使用流程：

第一步、通过软件编程软件进行编写poc程序体,poc程序体中包括漏洞基本信息和类型；

第二步、根据程序漏洞设置exp的执行参数，并且在poc代码文件里生成exp代码；

第三步、在poc程序体中输入需要检测的域名或ip地址，使得域名或ip地址能够通过poc程序体扫描出域名或ip地址的程序体中的安全漏洞；

第四步、然后poc程序体在运行的可视化界面触发漏洞验证，并且poc后端程序解析poc代码文件，生成漏洞验证页面信息；

第五步、然后在可视化界面触发执行exp，后端程序解析poc代码文件，根据exp设置参数，执行exp代码，向测试对象发送报文信息，漏洞利用，并把接受到的返回信息传给可视化界面，在界面输出漏洞利用的过程及最后的执行结果；

第六步、并且能够动态设置exp参数及验证对象，动态执行exp代码并输出利用的结果。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。