一种网站任意文件下载漏洞检测方法技术

本发明专利技术涉及一种网站任意文件下载漏洞检测方法，通过获取网站中所有的请求URL，对URL进行基于是否具有下载特征的过滤，如无则输出检测结果并结束，如有则获取请求URL的参数，通过payload请求器修改参数值重发请求，进行检测，若返回的数据包含下载文件的特征，则存在任意文件下载漏洞，生成任意文件下载漏洞检测的报告。本发明专利技术以黑盒自动化的方式进行漏洞检测，解决了传统的手工测试任意文件下载漏洞的效率低和对安全测试人员要求高的问题，提高检测的覆盖率同时也大大降低人工时间成本，降低检测的技术人员门槛。

A vulnerability detection method for downloading arbitrary files on websites

The present invention relates to a method for detecting download vulnerabilities of arbitrary files on websites. By acquiring all request URLs in websites, the URLs are filtered based on whether they have download characteristics or not. If not, the test results are output and terminated. If so, the parameters of the request URLs are obtained. The parameters of the request URLs are retransmitted by modifying the parameter values through the payload requestor, and the test is carried out. If the data returned contains the characteristics of Then, there is an arbitrary file download vulnerability, generating a report of vulnerability detection for arbitrary file download. The method uses black box automation to detect vulnerabilities, solves the problems of low efficiency of traditional manual testing of arbitrary file download vulnerabilities and high requirements for security testers, improves the coverage rate of detection, greatly reduces the labor time cost, and reduces the threshold of technical personnel for detection.

【技术实现步骤摘要】
一种网站任意文件下载漏洞检测方法
本专利技术涉及数字信息的传输，例如电报通信的
，特别涉及一种能自动、快速完成的网站任意文件下载漏洞检测方法。
技术介绍
基于互联网的不断发展、扩大，时至今日，互联网已经成为了我们工作、学习、生活中不可或缺的一部分，而一些网站由于业务需求，可能为用户提供文件查看或下载的功能。事实上，如果对用户查看或下载的文件不做限制，则恶意用户能够查看或下载任意的文件，可以是源代码文件、敏感文件等，这将造成难以预估的危害。现有技术中，检测任意文件下载漏洞的方法主要是对网站业务中存在的下载功能进行请求参数的抓取，并进行修改验证，测试恶意用户是否可以绕过下载限制的目录，是否存在任意文件下载漏洞。传统的手动测试方法虽然可以检测出任意文件下载漏洞，但是需要花费较多的时间成本，而且容易出现覆盖不全的情况，并且对检测人员的安全技能和经验要求比较高。
技术实现思路
本专利技术解决的技术问题是，现有技术中，以人工操作的方式进行任意文件下载漏洞的检测，时间成本高，检测精度低，对检测人员的安全技能和经验要求高，本专利技术提供了一种优化的网站任意文件下载漏洞检测方法，通过自动化检测和验证，简化安全测试人员的操作，大大提升检测效率和检测覆盖率。本专利技术所采用的技术方案是，一种网站任意文件下载漏洞检测方法，所述方法包括以下步骤：步骤1：获取网站中所有的请求URL；步骤2：对所有的请求URL进行过滤，判断是否存在具有下载特征的URL，若是，进行下一步，否则，输出检测结果，结束；步骤3：获取请求URL的参数，通过payload请求器修改参数值重发请求，进行检测；步骤4：判断步骤3检测返回的数据是否包含下载文件的特征，若是，则存在任意文件下载漏洞，若否，则不存在任意文件下载漏洞；步骤5：根据步骤4生成任意文件下载漏洞检测的报告。优选地，所述步骤1中，通过爬虫模块获取网站中所有的请求URL。优选地，所述步骤2中，通过正则表达式对所有的请求URL进行过滤。优选地，所述步骤2中，所有的请求URL都不具有下载特征时，输出检测结果为不存在任意文件下载漏洞。优选地，所述步骤3中，请求URL的参数包括文件目录、文件名、下载路径、下载文件。优选地，所述步骤3中，通过payload请求器修改参数值重发请求，检测内容包括是否能下载web容器xml文件、是否可以通过特殊字符绕过访问目录、是否可以下载系统敏感文件。优选地，所述步骤4中，通过响应分析器判断步骤3检测返回的数据是否包含下载文件的特征，当响应分析器的响应值与payload请求器的预期返回值对应时，则存在任意文件下载漏洞。优选地，所述步骤5中，报告包括请求的URL、参数和检测结果。优选地，所述报告还包括文本格式的测试请求数据包和响应数据包。本专利技术提供了一种优化的网站任意文件下载漏洞检测方法，通过获取网站中所有的请求URL，对URL进行基于是否具有下载特征的过滤，如有则获取请求URL的参数，通过payload请求器修改参数值重发请求，进行检测，若返回的数据包含下载文件的特征，则存在任意文件下载漏洞，生成任意文件下载漏洞检测的报告。本专利技术以黑盒自动化的方式进行漏洞检测，解决了传统的手工测试任意文件下载漏洞的效率低和对安全测试人员要求高的问题，提高检测的覆盖率同时也大大降低人工时间成本，降低检测的技术人员门槛。附图说明图1为本专利技术的流程图。具体实施方式下面结合实施例对本专利技术做进一步的详细描述，但本专利技术的保护范围并不限于此。本专利技术涉及一种网站任意文件下载漏洞检测方法，所述方法包括以下步骤。步骤1：获取网站中所有的请求URL。所述步骤1中，通过爬虫模块获取网站中所有的请求URL。本专利技术中，网站中所有的请求URL一般通过爬虫爬取。本专利技术中，为了爬虫有更多的URL访问权限，因此一般使用cookie登录，还需要配合爬虫伪装浏览器和用户行为的技术。步骤2：对所有的请求URL进行过滤，判断是否存在具有下载特征的URL，若是，进行下一步，否则，输出检测结果，结束。所述步骤2中，通过正则表达式对所有的请求URL进行过滤。所述步骤2中，所有的请求URL都不具有下载特征时，输出检测结果为不存在任意文件下载漏洞。本专利技术中，通过正则表达式对所有的请求URL进行过滤，匹配URL参数和值，匹配成功则判断为文件下载URL链接，如判断GET和POST请求中是否存在下载参数特征，若存在则判断为疑似下载URL。举例来说，http://xxx.com/downfile.php？file＝test.txt,这个GET请求中的参数file存在参数字典中，或者判断传入的路径的文件名如downfile是否在参数字典中，若满足其中一项，则将这个URL请求标记为存在下载文件的特征，并判断为疑似下载请求，接着把这个请求的URL和参数传递给payload请求器。步骤3：获取请求URL的参数，通过payload请求器修改参数值重发请求，进行检测。所述步骤3中，请求URL的参数包括文件目录、文件名、下载路径、下载文件。所述步骤3中，通过payload请求器修改参数值重发请求，检测内容包括是否能下载web容器xml文件、是否可以通过特殊字符绕过访问目录、是否可以下载系统敏感文件。本专利技术中，请求URL的参数前需要调用下载参数库，下载参数库是一个收集常见的下载文件的参数字典，包括但不限于file、filename、down、path、filep、downfile等参数项，方便对下载参数进行维护。本专利技术中，payload请求器亦存在payload规则库，payload规则库以字典的形式收集了常见的任意文件下载漏洞检测的web容器xml文件以及系统敏感文件参数值和预期结果，方便修改和扩展。举例来说，请求参数值＝../../../conf/web.xml，预期返回特征＝<？xml，规则ID＝1。本专利技术中，特殊字符包括“../”，系统敏感文件包括但不限于/etc文件、/passwd文件。本专利技术中，payload请求器用于发送payload规则库中的请求参数用于验证是否可以任意下载文件，在接收到URL过滤器传递过来的URL和参数请求后，在参数的值中传入payload规则库中的参数值，然后进行重新发包测试。举例来说，修改请求中的参数值file为http://xxx.com/downfile.php？file＝./../../../../etc/passwd，得到新的URL，然后重新发送请求。步骤4：判断步骤3检测返回的数据是否包含下载文件的特征，若是，则存在任意文件下载漏洞，若否，则不存在任意文件下载漏洞。所述步骤4中，通过响应分析器判断步骤3检测返回的数据是否包含下载文件的特征，当响应分析器的响应值与payload请求器的预期返回值对应时，则存在任意文件下载漏洞。本专利技术中，响应分析器用于分析payload请求器中返回的响应，验证文件是否被成功下载，其中，payload请求器和响应分析器是对应关系，分别对应payload规则库的请求参数值和预期返回值。举例来说，请求参数值为../../../conf/web.xml，预期返回特征为<？xml，就是对返回的响应进行搜索判断是否存在特征，若存在则判断为下载成功，不存在则判断为下载失败。步骤本文档来自技高网...

【技术保护点】
1.一种网站任意文件下载漏洞检测方法，其特征在于：所述方法包括以下步骤：步骤1：获取网站中所有的请求URL；步骤2：对所有的请求URL进行过滤，判断是否存在具有下载特征的URL，若是，进行下一步，否则，输出检测结果，结束；步骤3：获取请求URL的参数，通过payload请求器修改参数值重发请求，进行检测；步骤4：判断步骤3检测返回的数据是否包含下载文件的特征，若是，则存在任意文件下载漏洞，若否，则不存在任意文件下载漏洞；步骤5：根据步骤4生成任意文件下载漏洞检测的报告。

【技术特征摘要】
1.一种网站任意文件下载漏洞检测方法，其特征在于：所述方法包括以下步骤：步骤1：获取网站中所有的请求URL；步骤2：对所有的请求URL进行过滤，判断是否存在具有下载特征的URL，若是，进行下一步，否则，输出检测结果，结束；步骤3：获取请求URL的参数，通过payload请求器修改参数值重发请求，进行检测；步骤4：判断步骤3检测返回的数据是否包含下载文件的特征，若是，则存在任意文件下载漏洞，若否，则不存在任意文件下载漏洞；步骤5：根据步骤4生成任意文件下载漏洞检测的报告。2.根据权利要求1所述的一种网站任意文件下载漏洞检测方法，其特征在于：所述步骤1中，通过爬虫模块获取网站中所有的请求URL。3.根据权利要求1所述的一种网站任意文件下载漏洞检测方法，其特征在于：所述步骤2中，通过正则表达式对所有的请求URL进行过滤。4.根据权利要求3所述的一种网站任意文件下载漏洞检测方法，其特征在于：所述步骤2中，所有的请求URL都不具有下载特征时，输出检测结果为不存在任...

【专利技术属性】
技术研发人员：廖喜君，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33