本发明专利技术适用于信息安全技术领域,提供了一种漏洞检测的方法及装置,包括:通过携带用户身份标识的第一访问方式访问服务器提供的URL,获取所述服务器返回的第一数据内容;通过不携带所述用户身份标识的第二访问方式访问所述URL,获取所述服务器返回的第二数据内容;判断访问结果是否符合预设的漏洞检测条件,所述预设的漏洞检测条件包括所述第一数据内容和所述第二数据内容不相同;当所述访问结果符合预设的漏洞检测条件时,判定所述URL存在漏洞。在本发明专利技术中,通过自动向服务器提供的URL发起不同方式的访问,根据服务器针对每一种访问方式所返回的数据内容进行对比判断,以检测出该URL是否存在漏洞,由此提高了漏洞检测的效率。
【技术实现步骤摘要】
本专利技术属于信息安全
,尤其涉及一种漏洞检测的方法及装置。
技术介绍
JS0N(JavaScriptObjectNotation,JS0N)是一种轻量级的数据交换格式,JS0N 劫持(JS0N化jacking)是利用JS0N格式数据来进行攻击,当服务器存在JS0N劫持漏洞时, 黑客可W利用该漏洞,在合法用户不知情的情况下获取到该用户的敏感信息,例如,邮件内 容、银行账户,甚至是支付密码,等等,给用户的信息安全造成了巨大的危害。 对于JS0N劫持的漏洞检测,目前仅能够简单地实现对页面与服务器交互过程中 产生的JS0N数据的抓取,在数据抓取完成之后,还需要人工地通过抓取到的数据来确认页 面与服务器的交互接口是否存在JS0N劫持漏洞。上述方法的检测效率低下,完全无法满足 互联网中海量交互接口的漏洞检测需求。
技术实现思路
本专利技术实施例的目的在于提供一种漏洞检测的方法,旨在解决现有技术中只能通 过人工的方式对JS0N劫持漏洞进行检测,导致检测效率低的问题。 本专利技术实施例是该样实现的,一种漏洞检测的方法,包括: 通过携带用户身份标识的第一访问方式访问服务器提供的统一资源定位符U化, 获取所述服务器返回的第一数据内容; 通过不携带所述用户身份标识的第二访问方式访问所述U化,获取所述服务器返 回的第二数据内容; 判断访问结果是否符合预设的漏洞检测条件,所述预设的漏洞检测条件包括所述 第一数据内容和所述第二数据内容不相同;当所述访问结果符合预设的漏洞检测条件时,判定所述URL存在漏洞。 本专利技术实施例的另一目的在于提供一种漏洞检测的装置,包括: 第一访问单元,用于通过携带用户身份标识的第一访问方式访问服务器提供的统 一资源定位符U化,获取所述服务器返回的第一数据内容; 第二访问单元,用于通过不携带所述用户身份标识的第二访问方式访问所述U化, 获取所述服务器返回的第二数据内容; 判断单元,用于判断访问结果是否符合预设的漏洞检测条件,所述预设的漏洞检 测条件包括所述第一数据内容和所述第二数据内容不相同; 判定单元,用于当所述访问结果符合预设的漏洞检测条件时,判定所述URL存在 漏洞。 在本专利技术实施例中,通过自动向服务器提供的U化发起不同方式的访问,根据服 务器针对每一种访问方式所返回的数据内容进行对比判断,W检测出该U化是否存在JS0N 劫持漏洞,由此提高了漏洞检测的效率。【附图说明】 图1是本专利技术实施例提供的漏洞检测的方法的实现流程图; 图2是本专利技术另一实施例提供的漏洞检测的方法的实现流程图; 图3是本专利技术另一实施例提供的漏洞检测的方法的实现流程图; 图4是本专利技术实施例提供的漏洞检测的装置的结构框图。【具体实施方式】 为了使本专利技术的目的、技术方案及优点更加清楚明白,W下结合附图及实施例,对 本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用W解释本专利技术,并 不用于限定本专利技术。 在本专利技术实施例中,通过自动向服务器提供的统一资源定位符(化iform Resource Locator, U化)发起不同方式的访问,根据服务器针对每一种访问方式所返回的 数据内容进行对比判断,W检测出该U化是否存在JS0N劫持漏洞,由此提高了漏洞检测的 效率。 首先,关于所述JS0N劫持漏洞: 当在客户端通过超文本标记语言(HypedextMarkupLanguage,HTML)页面访问 服务器提供的某个U化时,便开始了客户端与服务器的交互过程。例如,服务器可W在该 U化上定义通用网关接口(CommonGatewayInte计ace,CGI),当服务器接收到客户端对该 U化的请求时,与该CGI相关的程序就会被调用,将客户端发送的数据作为该程序的输入, 而该程序的输出则会由服务器返回给客户端,该部分返回的数据内容中可能包括了与该用 户相关的信息,在该情况下,称该个U化存在JS0N劫持漏洞,正是基于该JS0N劫持漏洞,黑 客能够引诱用户通过客户端点击该URレ从而截取到服务器返回的该用户相关的信息,导致 用户信息遭到泄露。 例如,某互联网公司的邮箱业务存在JS0N劫持漏洞,通过访问邮箱业务的服务 器,能够获取到用户的邮件列表,从而进一步获取到用户邮件中的私密信息。基于该JS0N 劫持漏洞,黑客可W在其站点中嵌入W下代码:【主权项】1. 一种漏洞检测的方法,其特征在于,包括: 通过携带用户身份标识的第一访问方式访问服务器提供的统一资源定位符URL,获取 所述服务器返回的第一数据内容; 通过不携带所述用户身份标识的第二访问方式访问所述URL,获取所述服务器返回的 第二数据内容; 判断访问结果是否符合预设的漏洞检测条件,所述预设的漏洞检测条件包括所述第一 数据内容和所述第二数据内容不相同; 当所述访问结果符合预设的漏洞检测条件时,判定所述URL存在漏洞。2. 如权利要求1所述的方法,其特征在于,在所述获取所述服务器返回的第一数据内 容之后,所述判断访问结果是否符合预设的漏洞检测条件之前,所述方法还包括: 将所述第一数据内容与预置的敏感信息进行字符串匹配; 则所述预设的漏洞检测条件还包括: 所述第一数据内容中包含与预置的敏感信息匹配的内容。3. 如权利要求1或2所述的方法,其特征在于,所述第一访问方式和所述第二访问方式 均携带所述URL的第一超文本传输协议HTTP来源地址,所述第一 HTTP来源地址为预先构 造的HTTP来源地址。4. 如权利要求1或2所述的方法,其特征在于,所述第一访问方式和所述第二访问方式 均携带所述URL的第二HTTP来源地址,所述第二HTTP来源地址为所述服务器提供的HTTP 来源地址。5. 如权利要求4所述的方法,其特征在于,在所述获取所述服务器返回的第一数据内 容之后,所述判断访问结果是否符合预设的漏洞检测条件之前,所述方法还包括: 通过携带所述用户身份标识且不携带所述URL的所述第二HTTP来源地址的第三访问 方式访问所述URL,获取所述服务器返回的所述第三数据内容; 所述预设的漏洞检测条件还包括: 所述第一数据内容和所述第三数据内容相同。6. -种漏洞检测的装置,其特征在于,包括: 第一访问单元,用于通过携带用户身份标识的第一访问方式访问服务器提供的统一资 源定位符URL,获取所述服务器返回的第一数据内容; 第二访问单元,用于通过不携带所述用户身份标识的第二访问方式访问所述URL,获取 所述服务器返回的第二数据内容; 判断单元,用于判断访问结果是否符合预设的漏洞检测条件,所述预设的漏洞检测条 件包括所述第一数据内容和所述第二数据内容不相同; 判定单元,用于当所述访问结果符合预设的漏洞检测条件时,判定所述URL存在漏洞。7. 如权利要求6所述的装置,其特征在于,所述装置还包括: 匹配单元,用于将所述第一数据内容与预置的敏感信息进行字符串匹配; 则所述预设的漏洞检测条件还包括: 所述第一数据内容中包含与预置的敏感信息匹配的内容。8. 如权利要求6或7所述的装置,其特征在于,所述第一访问方式和所述第二访问方式 均携带所述URL的第一超文本传输协议HTTP来源地址,所述第一 HTTP来源地址为预先构 造的HTTP来源地址。9. 如权利要求6或7所述的装置,其特征在于,本文档来自技高网...
【技术保护点】
一种漏洞检测的方法,其特征在于,包括:通过携带用户身份标识的第一访问方式访问服务器提供的统一资源定位符URL,获取所述服务器返回的第一数据内容;通过不携带所述用户身份标识的第二访问方式访问所述URL,获取所述服务器返回的第二数据内容;判断访问结果是否符合预设的漏洞检测条件,所述预设的漏洞检测条件包括所述第一数据内容和所述第二数据内容不相同;当所述访问结果符合预设的漏洞检测条件时,判定所述URL存在漏洞。
【技术特征摘要】
【专利技术属性】
技术研发人员:罗嘉飞,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。