【技术实现步骤摘要】
一种跨域资源共享的漏洞检测方法、装置、设备及介质
本专利技术涉及漏洞检测领域,特别涉及一种跨域资源共享的漏洞检测方法、装置、设备及计算机可读存储介质。
技术介绍
日常的前端开发中,不免会需要进行跨域操作,而在实际进行跨域请求时,由于浏览器同源策略的安全保护机制,所有浏览器都会限制从脚本中发起的跨域请求,即JavaScript或者Cookie只能访问同域的内容。随着互联网技术的发展,很多场景都需要使用跨域资源共享的情况,比如需要从合作伙伴的api获取实时信息,子站需要从主站获取数据和资源等,因此很多网站管理员或者开发人员就配置了CORS(Cross-originresourcesharing,跨域资源共享)。但是由于Access-Control-Allow-Origin配置错误或者正则表达式编写不严谨,攻击者可以通过CORS漏洞构造域名(产生绕过的情况)对目标站点进行跨站脚本、CSRF等攻击,从而窃取敏感信息,产生CORS漏洞的安全问题。现有技术中,为了解决这一技术问题,一般是通过技术人员预先设置有效载荷(payload)数据,然后将有效载荷数据设置于请求报文中,并...
【技术保护点】
1.一种跨域资源共享的漏洞检测方法,其特征在于,包括:预先根据测试站点的域名和域名绕过方法设置有效载荷数据;分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息;调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。
【技术特征摘要】
1.一种跨域资源共享的漏洞检测方法,其特征在于,包括:预先根据测试站点的域名和域名绕过方法设置有效载荷数据;分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息;调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。2.根据权利要求1所述的方法,其特征在于,所述调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞的过程,具体包括:若所述响应信息的响应值为403错误,则判定所述目标站点不存在所述跨域资源共享的漏洞。3.根据权利要求1所述的方法,其特征在于,所述分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息的过程,具体为:分别将各所述有效载荷数据设置于请求报文中,按照预设时间周期将各所述请求报文分别发送给多个所述目标站点,并接收由各所述目标站点反馈的对应的响应信息。4.根据权利要求1至3任一项所述的方法,其特征在于,在所述调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞之后,进一步包括:根据检测到的所述跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对...
【专利技术属性】
技术研发人员:廖喜君,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。