漏洞检测方法和装置制造方法及图纸

技术编号:17784039 阅读:28 留言:0更新日期:2018-04-22 15:22
本申请提供一种漏洞检测方法和装置,通过在漏洞检测过程中增加将第一请求消息中JSON格式的字段转化为URL格式的字段步骤,从而,可以在现有的基于URL格式的漏洞扫描器引擎不做改变的情况下,在URL格式的字段中添加测试载荷,并将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息,向服务器发送第二请求消息,从而使得服务器可以识别第二请求消息,根据服务器返回的第二请求消息对应的第二响应消息,与直接将第一请求消息发送给服务器返回的第一响应消息,进行比较,并结合漏洞知识库中的漏洞判定预设规则,获取漏洞检测结果,从而,实现基于JSON格式的自动化的漏洞检测,节约了开发成本,并且,提高漏洞检测效率。

【技术实现步骤摘要】
漏洞检测方法和装置
本申请涉及计算机技术,尤其涉及一种漏洞检测方法和装置。
技术介绍
JavaScript对象符号(JavaScriptObjectNotation,简称:JSON)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。Web漏洞检测是通过获取web应用的浏览器或者客户端向服务器发送的请求消息,根据要测试的漏洞类型,在请求消息中添加该漏洞类型对应的测试载荷,将添加测试载荷后的请求消息发送给服务器,根据服务器返回的添加测试载荷后的请求消息对应的响应消息,确定web应用是否存在该漏洞类型对应的漏洞;针对某种漏洞类型,若服务器返回的添加测试载荷后的请求消息对应的响应消息与预估的响应消息不同,则认为web应用存在该漏洞类型对应的漏洞,其中,预估的响应消息是指服务器接收到未添加测试载荷的请求消息后返回的响应消息。众所周知的,目前常用的统一资源定位器(UniformResoureLocator,简称:URL)格式和JSON格式不同,如下所示:URL格式:参数名和参数值为“key1=value1&key2=value2”式样的数据组合;JSON格式:参数名和参数值为“{“key1”:“value1”,“key2”:“value2”}”式样的数据组合。现有的漏洞扫描器引擎普遍地基于URL格式进行自动化的请求获取和测试载荷的添加,并由此进行漏洞检测。但是,由于不能识别JSON格式,目前还没有成熟的基于JSON格式进行漏洞检测的扫描器引擎。目前,在网页(Web)架构中,浏览器和服务器之间的通信越来越多的采用JSON格式,而开发一款适于JSON格式的漏洞扫描器引擎,需要投入较多的开发成本。所以,目前的做法之一是通过人工的方式对JSON格式的数据进行漏洞排查,这样极其耗费人力。因此,现在急需一种能够对JSON格式进行自动漏洞扫描的方法。
技术实现思路
本申请提供一种漏洞检测方法和装置,以解决现有技术中漏洞检测的效率不高的问题。一个方面,本申请提供一种漏洞检测方法,包括:获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;将所述JSON格式的字段转化为统一资源定位符URL格式的字段;在所述URL格式的字段中添加测试载荷;将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;向所述服务器发送所述第二请求消息;接收所述服务器发送的针对所述第一请求消息的第一响应消息;接收所述服务器发送的针对所述第二请求消息的第二响应消息;根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。作为一种可实现方式,所述第一请求消息和所述第二请求消息均为超文本传输协议HTTP消息。作为一种可实现方式,所述获取向服务器发送的第一请求消息,包括:从所述服务器的日志中获取向服务器发送的第一请求消息。作为一种可实现方式,所述获取向服务器发送的第一请求消息,包括:通过Web代理获取向服务器发送的第一请求消息;所述向所述服务器发送所述第二请求消息,包括:通过所述Web代理向所述服务器发送所述第二请求消息。作为一种可实现方式,所述获取向服务器发送的第一请求消息,包括:通过旁路数据监听的方式获取向服务器发送的第一请求消息。作为一种可实现方式,所述将所述JSON格式的字段转化为统一资源定位符URL格式的字段之后,还包括:在所述第一请求消息中添加格式转化标识;所述将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息之前,还包括:确定所述第一请求消息中包含所述格式转化标识。作为一种可实现方式,所述根据所述第二请求消息的第一响应消息、所述第二响应消息以及漏洞判定预设规则获取漏洞检测结果,包括:将所述第二响应消息与所述第一响应消息进行比较,并结合所述漏洞判定预设规则,获取漏洞检测结果。另一方面,本申请提供一种漏洞检测装置,包括:获取模块,用于获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;格式转化模块,用于将所述JSON格式的字段转化为统一资源定位符URL格式的字段;处理模块,用于在所述URL格式的字段中添加测试载荷;所述格式转化模块,还用于将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;发送模块,用于向所述服务器发送所述第二请求消息;接收模块,用于接收所述服务器发送的针对所述第一请求消息的第一响应消息;接收模块,还用于接收所述服务器发送的针对所述第二请求消息的第二响应消息;所述处理模块,还用于根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。作为一种可实现方式,所述第一请求消息和所述第二请求消息均为超文本传输协议HTTP消息。作为一种可实现方式,所述获取模块具体用于从所述服务器的日志中获取向服务器发送的第一请求消息。作为一种可实现方式,所述获取模块具体用于通过Web代理获取向服务器发送的第一请求消息;所述发送模块具体用于控制所述Web代理向所述服务器发送所述第二请求消息。作为一种可实现方式,所述获取模块具体用于通过旁路数据监听的方式获取向服务器发送的第一请求消息。作为一种可实现方式,所述处理模块还用于在所述第一请求消息中添加格式转化标识;所述处理模块还用于确定所述第一请求消息中包含所述格式转化标识。作为一种可实现方式,所述处理模块具体用于将所述第二响应消息与所述第一响应消息进行比较,并结合所述漏洞判定预设规则,获取漏洞检测结果。再一方面,本申请提供一种漏洞检测装置,包括:处理器,用于获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;所述处理器,还用于将所述JSON格式的字段转化为统一资源定位符URL格式的字段;所述处理器,还用于在所述URL格式的字段中添加测试载荷;所述处理器,还用于将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;发送接口,所述发送接口耦合至所述处理器,所述发送接口,用于向所述服务器发送所述第二请求消息;接收接口,所述接收接口耦合至所述处理器,所述接收接口,用于接收所述服务器发送的针对所述第一请求消息的第一响应消息,并接收所述服务器发送的针对所述第二请求消息的第二响应消息;所述处理器,还用于根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。作为一种可实现方式,所述处理器具体用于从所述服务器的日志中获取向服务器发送的第一请求消息。作为一种可实现方式,所述处理器具体用于通过Web代理获取向服务器发送的第一请求消息;所述发送接口具体用于控制所述Web代理向所述服务器发送所述第二请求消息。作为一种可实现方式,所述处理器具体用于通过旁路数据监听的方式获取向服务器发送的第一请求消息。作为一种可实现方式,所述处理器还用于在所述第一请求消息中添加格式转化标识;所述处理器还用于确定所述第一请求消息中包含所述格式转化标识。作为一种可实现方式,所述处理器具体用于将所述第二响应消息与所述第一响应消息进行比较,并结合所述漏洞判定预设规则,获取漏洞检测结果。本申请提供的漏洞检测方法和装置,通过在漏洞检测过程中增加将第一请求消息中JSON格式的字段转化为URL格式的字段步骤,从而,可以在现有的基于URL格式的本文档来自技高网
...
漏洞检测方法和装置

【技术保护点】
一种漏洞检测方法,其特征在于,包括:获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;将所述JSON格式的字段转化为统一资源定位符URL格式的字段;在所述URL格式的字段中添加测试载荷;将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;向所述服务器发送所述第二请求消息;接收所述服务器发送的针对所述第一请求消息的第一响应消息;接收所述服务器发送的针对所述第二请求消息的第二响应消息;根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。

【技术特征摘要】
1.一种漏洞检测方法,其特征在于,包括:获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;将所述JSON格式的字段转化为统一资源定位符URL格式的字段;在所述URL格式的字段中添加测试载荷;将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;向所述服务器发送所述第二请求消息;接收所述服务器发送的针对所述第一请求消息的第一响应消息;接收所述服务器发送的针对所述第二请求消息的第二响应消息;根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。2.根据权利要求1所述的方法,其特征在于,所述第一请求消息和所述第二请求消息均为超文本传输协议HTTP消息。3.根据权利要求1所述的方法,其特征在于,所述获取向服务器发送的第一请求消息,包括:从所述服务器的日志中获取向服务器发送的第一请求消息。4.根据权利要求1所述的方法,其特征在于,所述获取向服务器发送的第一请求消息,包括:通过Web代理获取向服务器发送的第一请求消息;所述向所述服务器发送所述第二请求消息,包括:通过所述Web代理向所述服务器发送所述第二请求消息。5.根据权利要求1所述的方法,其特征在于,所述获取向服务器发送的第一请求消息,包括:通过旁路数据监听的方式获取向服务器发送的第一请求消息。6.根据权利要求1-5任一项所述的方法,其特征在于,所述将所述JSON格式的字段转化为统一资源定位符URL格式的字段之后,还包括:在所述第一请求消息中添加格式转化标识;所述将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息之前,还包括:确定所述第一请求消息中包含所述格式转化标识。7.根据权利要求1所述的方法,其特征在于,所述根据所述第二请求消息的第一响应消息、所述第二响应消息以及漏洞判定预设规则获取漏洞检测结果,包括:将所述第二响应消息与所述第一响应消息进行比较,并结合所述漏洞判定预设规则,获取漏洞检测结果。8.一种漏洞检测装置,其特征在于,包括:获取模块,用于获取向服务器发送的第一请求消息,所述第一请求消息中包含JSON格式的字段;格式转化模块,用于将所述JSON格式的字段转化为统一资源定位符URL格式的字段;处理模块,用于在所述URL格式的字段中添加测试载荷;所述格式转化模块,还用于将添加测试载荷后的URL格式的字段转化为JSON格式,生成第二请求消息;发送模块,还用于向所述服务器发送所述第二请求消息;接收模块,用于接收所述服务器发送的针对所述第一请求消息的第一响应消息;所述接收模块,还用于接收所述服务器发送的针对所述第二请求消息的第二响应消息;所述处理模块,还用于根据所述第一响应消息、所述第二响应消息以及漏洞判定预设规则,获取漏洞检测结果。9...

【专利技术属性】
技术研发人员:李翼
申请(专利权)人:阿里巴巴集团控股有限公司
类型:发明
国别省市:开曼群岛,KY

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1