【技术实现步骤摘要】
LDAP注入漏洞的检测方法和装置
本专利技术涉及漏洞检测
,尤其是涉及一种LDAP注入漏洞的检测方法和装置。
技术介绍
随着WEB应用业务环境越来越复杂,网站安全性正在不断的受到挑战。LDAP注入漏洞就是其中一种WEB应用中安全性漏洞。要了解LDAP注入漏洞,必须先熟悉LDAP的运行机制。LDAP是LightweightDirectoryAccessProtocol的英文缩写,即轻量级目录访问协议,是一种在线目录访问协议。LDAP主要用于目录中资源的搜索和查询,是X.500的一种简便的实现。当在WEB应用中使用LDAP进行查询或是权限校验时,没有对外部传入参数进行过滤,那么攻击者就可以通过精心构造的符合LDAP搜索语法的恶意请求如“(&(username=admin)(&))(password=123))”,注入LDAP查询语句,就能利用该LDAP注入的漏洞造成访问控制绕过、用户权限提升、敏感信息泄漏等一系列的危害。针对上述问题,还未提出有效的解决方案。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种LDAP注入漏洞的检测方法和装置,以缓解...
【技术保护点】
1.一种LDAP注入漏洞的检测方法,其特征在于,包括:基于爬虫技术,爬取待检测网站的URL链接;对所述待检测网站的URL链接进行可用性检测,确定出可用URL链接;在所述可用URL链接中注入漏洞载荷,得到目标URL链接;获取目标服务器基于所述目标URL链接反馈的多个第一响应内容,并基于所述多个第一响应内容确定所述可用URL链接是否存在LDAP注入漏洞,其中,所述目标服务器为所述待检测网站对应的服务器。
【技术特征摘要】
1.一种LDAP注入漏洞的检测方法,其特征在于,包括:基于爬虫技术,爬取待检测网站的URL链接;对所述待检测网站的URL链接进行可用性检测,确定出可用URL链接;在所述可用URL链接中注入漏洞载荷,得到目标URL链接;获取目标服务器基于所述目标URL链接反馈的多个第一响应内容,并基于所述多个第一响应内容确定所述可用URL链接是否存在LDAP注入漏洞,其中,所述目标服务器为所述待检测网站对应的服务器。2.根据权利要求1所述的方法,其特征在于,基于爬虫技术,爬取待检测网站的URL链接,包括:获取待检测网站的目标信息,其中,所述目标信息包括以下至少之一:域名,IP地址;基于所述目标信息确定出初始URL链接,并将所述初始URL链接存储至第一队列,其中,所述初始URL链接为所述待检测网站的任意一个URL链接;基于爬虫技术,爬取所述初始URL链接对应的URL链接,得到所述待检测网站的URL链接。3.根据权利要求2所述的方法,其特征在于,基于爬虫技术,爬取所述目标信息对应的URL链接,得到所述待检测网站的URL链接,包括:出队步骤,对所述初始URL链接进行出队处理,并将出队后的所述初始URL链接添加至第二队列;获取步骤,获取所述服务器基于所述初始URL链接反馈的页面信息;解析步骤,基于预设规则对所述页面信息进行解析,得到有效URL链接;确定步骤,确定出所述有效URL链接中的中间URL链接,并将所述中间URL链接确定为所述初始URL链接添加至所述第一队列,其中,所述中间URL链接为所述有效URL链接中与所述第二队列中的初始URL链接不同的URL链接;循环执行所述出队步骤、所述获取步骤、所述解析步骤和所述确定步骤,直至所述第一队列中不包含初始URL链接,则将所述第二队列中的初始URL链接确定为所述待检测网站的URL链接。4.根据权利要求1所述的方法,对所述待检测网站的URL链接进行可用性检测,确定出可用URL链接,包括:获取所述目标服务器基于所述待检测网站的URL链接反馈的第二响应内容;若所述第二响应内容中包含的HTTP状态码为预设数值,则所述待检测网站的URL链接为所述可用URL链接。5.根据权利要求1所述的方法,其特征在于,在所述可用URL链接中注入漏洞载荷,得到目标URL链接,包括:判断所述可用URL链接中是否包含预设参数;若判断结果为是,则分别在每个所述预设参数后载入AND注入漏洞载荷,得到多个第一目标URL链接;若基于所述多个第一目标URL链接确定出所述可用URL链接不存在第一LDAP注入漏洞,则分别在每个所述预设参数后载入OR注入漏洞载荷,得到多个第二目标URL链接。6.根据权利要求5所述的方法,其特征在于,获取所述目标服务器基于所述目标URL链接反馈的多个第一响应内容...
【专利技术属性】
技术研发人员:邢俞炜,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。