买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:清华大学
摘要:本申请提供一种基于混合模糊测试的WAF绕过检测方法、系统及介质。该方法包括:根据数据生成器,生成语料库;对语料库中的各HTTP请求进行变异处理,以得到对应的测试例;将各测试例发送至目标WEB服务器以执行测试程序,得到各测试例对应的代码覆盖率信息以及数据解析结果;根据各测试例对应的代码覆盖率信息,对语料库中各测试例进行反馈调度,以得到新的测试例,并根据新的测试例进行迭代模糊测试;确定测试过程中数据解析结果为正常解析结果的目标测试例,并将目标测试例重放至WAF侧;根据WAF侧对各目标测试例的响应结果,确定能够绕过WAF的样本。本申请的方法,提高了WAF绕过检测的全面性和准确性,并提高了检测效率。
主权项:1.一种基于混合模糊测试的WAF绕过检测方法,其特征在于,包括:根据数据生成器,生成语料库,所述语料库包括多条含有预定义恶意参数的HTTP请求;对所述语料库中的各HTTP请求进行变异处理,以得到对应的测试例;将各测试例发送至目标WEB服务器以执行测试程序,得到各测试例对应的代码覆盖率信息以及数据解析结果,所述目标WEB服务器的测试程序中插入能够收集所述测试程序的代码覆盖率信息的目标代码;根据各测试例对应的代码覆盖率信息,对语料库中各测试例进行反馈调度,以得到新的测试例,并根据新的测试例进行迭代模糊测试;确定测试过程中数据解析结果为正常解析结果的目标测试例,并将所述目标测试例重放至WAF侧,以获取WAF侧对各目标测试例的响应结果;根据WAF侧对各目标测试例的响应结果,确定能够绕过WAF的样本。
全文数据:
权利要求:
百度查询: 清华大学 基于混合模糊测试的WAF绕过检测方法、系统及介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。