摘 要

 

本公开提供了一种基于代码疫苗IAST探针的漏洞主动验证方法及装置，涉及计算机技术领域，在响应所述用户请求的过程中，若当前响应所述用户请求的目标函数为风险函数，则生成风险事件信息；基于所述风险事件信息生成仿真测试请求，并利用所述目标应用程序的多个函数，对所述仿真测试请求进行响应；基于响应所述仿真测试请求的过程中生成的测试信息，对所述风险事件信息对应的安全漏洞进行验证。该方法能够利用服务器在响应用户请求时生成的数据，生成风险事件信息，并利用风险事件信息生成仿真测试请求，并利用仿真测试请求对安全漏洞进行验证，不需要测试端持续向服务器发送请求，能够有效降低测试过程中占用的计算资源。

 

 

背景技术

 

为了确保应用程序能够安全稳定的提供服务，通常都会通过应用安全测试发现和修复其中的薄弱点和漏洞，以防止相关应用程序被利用而造成安全危害。在主动漏洞检测中，需要利用扫描器主动对应用程序进行扫描来发现其存在的漏洞，检测的基本原理是模拟网络攻击的过程，向服务器发送包含特定测试脚本的网络请求，然后通过分析响应包的信息来判断其是否存在漏洞。

通常，漏洞检测方案需要使用测试端对服务器不断发送请求，对已知漏洞进行模拟攻击报文构造，通过模拟攻击测试对目标程序中可能潜藏的已知类型漏洞进行检测。然而，这种方式需要业务端和测试端持续进行交互和数据传输，会产生的大量的测试数据，占用较多的计算资源。