一种跨域资源共享的漏洞检测方法、装置、设备及介质制造方法及图纸

技术编号：22172939 阅读：52 留言：0更新日期：2019-09-21 13:38

本申请公开了一种跨域资源共享的漏洞检测方法，通过预先根据测试站点的域名和域名绕过方法设置有效载荷数据；然后分别将各有效载荷数据设置于请求报文中，将各请求报文发送给目标站点，并接收由目标站点反馈的对应的响应信息；并通过调用预设的分析脚本分析各响应信息，并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞。本方法不仅能够节省大量的人力资源，节约操作时间，提升操作效率，还能相对避免由于人工操作带来的操作误差，避免漏检、错检的情况发生，进一步提升跨域资源共享的漏洞检测的准确度。本申请还公开了一种跨域资源共享的漏洞检测装置、设备及计算机可读存储介质，均具有上述有益效果。

A Vulnerability Detection Method, Device, Equipment and Media for Cross-domain Resource Sharing

全部详细技术资料下载

【技术实现步骤摘要】
一种跨域资源共享的漏洞检测方法、装置、设备及介质
本专利技术涉及漏洞检测领域，特别涉及一种跨域资源共享的漏洞检测方法、装置、设备及计算机可读存储介质。
技术介绍
日常的前端开发中，不免会需要进行跨域操作，而在实际进行跨域请求时，由于浏览器同源策略的安全保护机制，所有浏览器都会限制从脚本中发起的跨域请求，即JavaScript或者Cookie只能访问同域的内容。随着互联网技术的发展，很多场景都需要使用跨域资源共享的情况，比如需要从合作伙伴的api获取实时信息，子站需要从主站获取数据和资源等，因此很多网站管理员或者开发人员就配置了CORS(Cross-originresourcesharing，跨域资源共享)。但是由于Access-Control-Allow-Origin配置错误或者正则表达式编写不严谨，攻击者可以通过CORS漏洞构造域名(产生绕过的情况)对目标站点进行跨站脚本、CSRF等攻击，从而窃取敏感信息，产生CORS漏洞的安全问题。现有技术中，为了解决这一技术问题，一般是通过技术人员预先设置有效载荷(payload)数据，然后将有效载荷数据设置于请求报文中，并发送给目标站点，再接收目标站点根据该且请求报文得出的响应信息；对响应信息进行分析以确定出目标站点是否存在跨域资源共享的漏洞。但是现有技术的方法，不仅需要消耗大量的人力资源，使得检测效率低下，而且在检测的过程中，人工操作容易由于技术人员本身的操作造成错检、漏检，仍会产生CORS漏洞的安全问题。因此，如何提高检测跨域资源共享的漏洞检测效率和准确度是本领域技术人员目前需要解决的技术问题。
技术实现思路
有鉴...

【技术保护点】
1.一种跨域资源共享的漏洞检测方法，其特征在于，包括：预先根据测试站点的域名和域名绕过方法设置有效载荷数据；分别将各所述有效载荷数据设置于请求报文中，将各所述请求报文发送给目标站点，并接收由所述目标站点反馈的对应的响应信息；调用预设的分析脚本分析各所述响应信息，并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。

【技术特征摘要】
1.一种跨域资源共享的漏洞检测方法，其特征在于，包括：预先根据测试站点的域名和域名绕过方法设置有效载荷数据；分别将各所述有效载荷数据设置于请求报文中，将各所述请求报文发送给目标站点，并接收由所述目标站点反馈的对应的响应信息；调用预设的分析脚本分析各所述响应信息，并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。2.根据权利要求1所述的方法，其特征在于，所述调用预设的分析脚本分析各所述响应信息，并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞的过程，具体包括：若所述响应信息的响应值为403错误，则判定所述目标站点不存在所述跨域资源共享的漏洞。3.根据权利要求1所述的方法，其特征在于，所述分别将各所述有效载荷数据设置于请求报文中，将各所述请求报文发送给目标站点，并接收由所述目标站点反馈的对应的响应信息的过程，具体为：分别将各所述有效载荷数据设置于请求报文中，按照预设时间周期将各所述请求报文分别发送给多个所述目标站点，并接收由各所述目标站点反馈的对应的响应信息。4.根据权利要求1至3任一项所述的方法，其特征在于，在所述调用预设的分析脚本分析各所述响应信息，并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞之后，进一步包括：根据检测到的所述跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对...

【专利技术属性】
技术研发人员：廖喜君，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33

全部详细技术资料下载我是这个专利的主人