【技术实现步骤摘要】
一种检测CRLF注入漏洞的方法及装置
本专利技术涉及漏洞检测
,更具体地说,涉及一种检测CRLF注入漏洞的方法、装置、设备及可读存储介质。
技术介绍
CRLF即为回车(CR,ASCII13,\r)换行(LF,ASCII10,\n),是CR和LF的组合命令。CRLF(Carriage-ReturnLine-Feed)注入漏洞也叫HTTP响应拆分漏洞,是改变HTTP结构或内容而造成危害的漏洞。通常为攻击者使用CR和LF的组合命令在URL链接中键入恶意命令,以达成破坏网站链接的行为。目前,软件开发者一般无意识CRLF注入漏洞,该漏洞产生的位置也比较隐蔽,常被人忽视。一旦攻击者注入会话cookie后,产生网址跳转,可能会导致XSS漏洞(跨站点脚本攻击)、会话固定漏洞、浏览器高速缓存中毒、钓鱼页面等故障。因此,如何检测CRLF注入漏洞,提高网站的安全性,是本领域技术人员需要解决的问题。
技术实现思路
本专利技术的目的在于提供一种检测CRLF注入漏洞的方法、装置、设备及可读存储介质,以检测CRLF注入漏洞,提高网站的安全性。为实现上述目的,本专利技术实施例提供了如下技术方案...
【技术保护点】
1.一种检测CRLF注入漏洞的方法,其特征在于,包括:获取待检测的目标URL链接;判断所述目标URL链接是否可用;若是,则将预设的检测命令添加至所述目标URL链接,并按照添加后的目标URL链接访问目标服务器;当所述目标服务器返回的响应数据包中包含与所述检测命令对应的特征信息时,标记所述目标URL链接具有CRLF注入漏洞。
【技术特征摘要】
1.一种检测CRLF注入漏洞的方法,其特征在于,包括:获取待检测的目标URL链接;判断所述目标URL链接是否可用;若是,则将预设的检测命令添加至所述目标URL链接,并按照添加后的目标URL链接访问目标服务器;当所述目标服务器返回的响应数据包中包含与所述检测命令对应的特征信息时,标记所述目标URL链接具有CRLF注入漏洞。2.根据权利要求1所述的检测CRLF注入漏洞的方法,其特征在于,所述获取待检测的目标URL链接,包括:根据域名或IP地址爬虫获取所述目标URL链接。3.根据权利要求1所述的检测CRLF注入漏洞的方法,其特征在于,所述将预设的检测命令添加至所述目标URL链接,包括:从预设的命令数据库中获取检测命令,并将获取到的检测命令添加至所述目标URL链接。4.根据权利要求3所述的检测CRLF注入漏洞的方法,其特征在于,所述将获取到的检测命令添加至所述目标URL链接,包括:将获取到的检测命令添加至所述目标URL链接中的HTTP头部。5.根据权利要求1所述的检测CRLF注入漏洞的方法,其特征在于,所述判断所述目标URL链接是否可用,包括:按照所述目标URL链接访问所述目标服务器,并判断所述目标服务器返回的响应数据包的HTTP状态码是否为预设的响应状态码。6.根据权利要求1所述的检...
【专利技术属性】
技术研发人员:邢俞炜,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。