【技术实现步骤摘要】
漏洞验证方法及装置
本申请涉及互联网
,尤其涉及漏洞验证方法及装置。
技术介绍
web漏洞扫描服务中,用户对扫描出的漏洞的准确率要求很高。很多高要求的用户希望漏洞扫描的准确率为100%。漏洞扫描器本身无法保证100%准确率,因此向用户交付的漏洞数据,都需要经过漏洞验证,尽量确保扫描出的漏洞数据无误。专利技术人在实现本专利技术的过程中发现,相关技术在漏洞验证过程中,部分web漏洞,必须要使用人工配合浏览器、开源插件来验证。基于大量的扫描数据统计,这类漏洞占高中危漏洞总数的45%。然而,人力资源有限,在漏洞数量较大时,验证环节效率低下,成为业务增长的瓶颈。
技术实现思路
本申请实施例提供了漏洞验证方法及装置,用以解决目前人工验证漏洞、导致漏洞验证效率低下等的问题。一方面,本申请实施例提供一种漏洞验证方法,包括:发送待验证链接给服务器,所述待验证链接或所述待验证链接的页面中包括用于验证指定漏洞的预设信息;所述预设信息具有对应的预设执行结果;得到针对所述待验证链接的响应结果后,若所述响应结果中存在所述预设信息的所述预设执行结果,则确定存在所述指定漏洞另一方面,本申请实施...
【技术保护点】
一种漏洞验证方法,其特征在于,包括:发送待验证链接给服务器,所述待验证链接或所述待验证链接的页面中包括用于验证指定漏洞的预设信息;所述预设信息具有对应的预设执行结果;得到针对所述待验证链接的响应结果后,若所述响应结果中存在所述预设信息的所述预设执行结果,则确定存在所述指定漏洞。
【技术特征摘要】
1.一种漏洞验证方法,其特征在于,包括:发送待验证链接给服务器,所述待验证链接或所述待验证链接的页面中包括用于验证指定漏洞的预设信息;所述预设信息具有对应的预设执行结果;得到针对所述待验证链接的响应结果后,若所述响应结果中存在所述预设信息的所述预设执行结果,则确定存在所述指定漏洞。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述响应结果中不存在所述预设信息的所述预设执行结果,则确定所述预设信息在所述响应结果中的位置;在所述响应结果中从确定的位置开始之前的指定字符区间段内,查找是否存在指定的触发事件标识;若存在,则触发所述触发事件,并得到所述触发事件的事件响应结果;若所述事件响应结果中存在所述预设信息的所述预设执行结果,则确定存在所述指定漏洞。3.根据权利要求2所述的方法,其特征在于,所述触发所述触发事件之前,所述方法还包括:若所述触发事件对应的操作对象的显示属性为隐性,则为所述操作对象配置触发所述触发事件的快捷键;所述触发所述触发事件,具体包括:通过所述快捷键触发所述触发事件。4.根据权利要求2所述的方法,其特征在于,所述触发所述触发事件之前,所述方法还包括:若所述指定漏洞为反射型跨站脚本攻击漏洞,则从所述响应结果中注入所述预设信息的位置开始,检测该位置之前的标签引号是否闭合;若未闭合,则将所述标签引号闭合,并将所述响应结果中的所述预设信息修改为与所述预设信息对应的能够被执行的指定信息。5.根据权利要求1-4中任一所述的方法,其特征在于,若所述指定漏洞为反射型跨站脚本攻击漏洞或多个前缀参数远程命令执行漏洞漏洞,则所述预设信息包括预设的可执行语句;若所述指定漏洞为框架注入漏洞、链接注入漏洞、基于参数的URL跳转漏洞中的一种,则所述预设信息包括预设不可达或不存在的路径。6.一种漏洞验证装置,其特征在于,包括:发送模块,用于发送待验证链接给服务器,所述待验证...
【专利技术属性】
技术研发人员:陈方义,黑岩,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。