The present invention relates to a method for detecting download vulnerabilities of arbitrary files on websites. By acquiring all request URLs in websites, the URLs are filtered based on whether they have download characteristics or not. If not, the test results are output and terminated. If so, the parameters of the request URLs are obtained. The parameters of the request URLs are retransmitted by modifying the parameter values through the payload requestor, and the test is carried out. If the data returned contains the characteristics of Then, there is an arbitrary file download vulnerability, generating a report of vulnerability detection for arbitrary file download. The method uses black box automation to detect vulnerabilities, solves the problems of low efficiency of traditional manual testing of arbitrary file download vulnerabilities and high requirements for security testers, improves the coverage rate of detection, greatly reduces the labor time cost, and reduces the threshold of technical personnel for detection.
【技术实现步骤摘要】
一种网站任意文件下载漏洞检测方法
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种能自动、快速完成的网站任意文件下载漏洞检测方法。
技术介绍
基于互联网的不断发展、扩大,时至今日,互联网已经成为了我们工作、学习、生活中不可或缺的一部分,而一些网站由于业务需求,可能为用户提供文件查看或下载的功能。事实上,如果对用户查看或下载的文件不做限制,则恶意用户能够查看或下载任意的文件,可以是源代码文件、敏感文件等,这将造成难以预估的危害。现有技术中,检测任意文件下载漏洞的方法主要是对网站业务中存在的下载功能进行请求参数的抓取,并进行修改验证,测试恶意用户是否可以绕过下载限制的目录,是否存在任意文件下载漏洞。传统的手动测试方法虽然可以检测出任意文件下载漏洞,但是需要花费较多的时间成本,而且容易出现覆盖不全的情况,并且对检测人员的安全技能和经验要求比较高。
技术实现思路
本专利技术解决的技术问题是,现有技术中,以人工操作的方式进行任意文件下载漏洞的检测,时间成本高,检测精度低,对检测人员的安全技能和经验要求高,本专利技术提供了一种优化的网站任意文件下载漏洞检测方法,通过自动化检测和验证,简化安全测试人员的操作,大大提升检测效率和检测覆盖率。本专利技术所采用的技术方案是,一种网站任意文件下载漏洞检测方法,所述方法包括以下步骤:步骤1:获取网站中所有的请求URL;步骤2:对所有的请求URL进行过滤,判断是否存在具有下载特征的URL,若是,进行下一步,否则,输出检测结果,结束;步骤3:获取请求URL的参数,通过payload请求器修改参数值重发请求,进行检测;步骤 ...
【技术保护点】
1.一种网站任意文件下载漏洞检测方法,其特征在于:所述方法包括以下步骤:步骤1:获取网站中所有的请求URL;步骤2:对所有的请求URL进行过滤,判断是否存在具有下载特征的URL,若是,进行下一步,否则,输出检测结果,结束;步骤3:获取请求URL的参数,通过payload请求器修改参数值重发请求,进行检测;步骤4:判断步骤3检测返回的数据是否包含下载文件的特征,若是,则存在任意文件下载漏洞,若否,则不存在任意文件下载漏洞;步骤5:根据步骤4生成任意文件下载漏洞检测的报告。
【技术特征摘要】
1.一种网站任意文件下载漏洞检测方法,其特征在于:所述方法包括以下步骤:步骤1:获取网站中所有的请求URL;步骤2:对所有的请求URL进行过滤,判断是否存在具有下载特征的URL,若是,进行下一步,否则,输出检测结果,结束;步骤3:获取请求URL的参数,通过payload请求器修改参数值重发请求,进行检测;步骤4:判断步骤3检测返回的数据是否包含下载文件的特征,若是,则存在任意文件下载漏洞,若否,则不存在任意文件下载漏洞;步骤5:根据步骤4生成任意文件下载漏洞检测的报告。2.根据权利要求1所述的一种网站任意文件下载漏洞检测方法,其特征在于:所述步骤1中,通过爬虫模块获取网站中所有的请求URL。3.根据权利要求1所述的一种网站任意文件下载漏洞检测方法,其特征在于:所述步骤2中,通过正则表达式对所有的请求URL进行过滤。4.根据权利要求3所述的一种网站任意文件下载漏洞检测方法,其特征在于:所述步骤2中,所有的请求URL都不具有下载特征时,输出检测结果为不存在任...
【专利技术属性】
技术研发人员:廖喜君,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。