【技术实现步骤摘要】
漏洞检测方法和装置
本申请涉及计算机技术,尤其涉及一种漏洞检测方法和装置。
技术介绍
JavaScript对象符号(JavaScriptObjectNotation,简称:JSON)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。Web漏洞检测是通过获取web应用的浏览器或者客户端向服务器发送的请求消息,根据要测试的漏洞类型,在请求消息中添加该漏洞类型对应的测试载荷,将添加测试载荷后的请求消息发送给服务器,根据服务器返回的添加测试载荷后的请求消息对应的响应消息,确定web应用是否存在该漏洞类型对应的漏洞;针对某种漏洞类型,若服务器返回的添加测试载荷后的请求消息对应的响应消息与预估的响应消息不同,则认为web应用存在该漏洞类型对应的漏洞,其中,预估的响应消息是指服务器接收到未添加测试载荷的请求消息后返回的响应消息。众所周知的,目前常用的统一资源定位器(UniformResoureLocator,简称:URL)格式和JSON格式不同,如下所示:URL格式:参数名和参数值为“key1=value1&key2=value2”式样的数据组合;JSON格式:参数名和参数值为“{“key1”:“value1”,“key2”:“value2”}”式样的数据组合。现有的漏洞扫描器引擎普遍地基于URL格式进行自动化的请求获取和测试载荷的添加,并由此进行漏洞检测。但是,由于不能识别JSON格式,目前还没有成熟的基于JSON格式进行漏洞检测的扫描器引擎。目前,在网页(Web)架构中,浏览器和服务器之间的通信越来越多的采用JSON格式,而开发一款适于 ...
【技术保护点】
一种漏洞检测方法,其特征在于,包括:获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;将所述JSON格式的字段转化为统一资源定位符URL格式的字段;在所述URL格式的字段中添加测试载荷;将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;向所述服务器发送所述第二请求消息;接收所述服务器发送的针对所述第一请求消息的第一响应消息;接收所述服务器发送的针对所述第二请求消息的第二响应消息;根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,包括:获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;将所述JSON格式的字段转化为统一资源定位符URL格式的字段;在所述URL格式的字段中添加测试载荷;将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;向所述服务器发送所述第二请求消息;接收所述服务器发送的针对所述第一请求消息的第一响应消息;接收所述服务器发送的针对所述第二请求消息的第二响应消息;根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。2.根据权利要求1所述的方法,其特征在于,所述第一请求消息和所述第二请求消息均为超文本传输协议HTTP消息。3.根据权利要求1所述的方法,其特征在于,所述获取向服务器发送的第一请求消息,包括:从所述服务器的日志中获取向服务器发送的第一请求消息。4.根据权利要求1所述的方法,其特征在于,所述获取向服务器发送的第一请求消息,包括:通过Web代理获取向服务器发送的第一请求消息;所述向所述服务器发送所述第二请求消息,包括:通过所述Web代理向所述服务器发送所述第二请求消息。5.根据权利要求1所述的方法,其特征在于,所述获取向服务器发送的第一请求消息,包括:通过旁路数据监听的方式获取向服务器发送的第一请求消息。6.根据权利要求1-5任一项所述的方法,其特征在于,所述将所述JSON格式的字段转化为统一资源定位符URL格式的字段之后,还包括:在所述第一请求消息中添加格式转化标识;所述将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息之前,还包括:确定所述第一请求消息中包含所述格式转化标识。7.根据权利要求1所述的方法,其特征在于,所述根据所述第二请求消息的第一响应消息、所述第二响应消息以及漏洞判定预设规则获取漏洞检测结果,包括:将所述第二响应消息与所述第一响应消息进行比较,并结合所述漏洞判定预设规则,获取漏洞检测结果。8.一种漏洞检测装置,其特征在于,包括:获取模块,用于获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;格式转化模块,用于将所述JSON格式的字段转化为统一资源定位符URL格式的字段;处理模块,用于在所述URL格式的字段中添加测试载荷;所述格式转化模块,还用于将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;发送模块,还用于向所述服务器发送所述第二请求消息;接收模块,用于接收所述服务器发送的针对所述第一请求消息的第一响应消息;所述接收模块,还用于接收所述服务器发送的针对所述第二请求消息的第二响应消息;所述处理模块,还用于根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。9...
【专利技术属性】
技术研发人员:李翼,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。