本申请公开了一种漏洞检测方法及装置。其中,该方法包括:发送统一定位资源符URL对应的访问请求至服务器,并接收来自统一定位资源符URL的响应结果,其中,响应结果用于指示URL是否基于预设类型的中间件进行数据传输;在响应结果指示URL基于预设类型的中间件进行数据传输的情况下,确定URL对应的预设类型的目标中间件;调用预设中间件对应的漏洞测试代码;基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果。本申请解决了由于相关技术缺乏对Tomcat的安全检测机制,造成的在数据传输及交互存在较大的安全隐患,数据的安全性不能得到保障的技术问题。能得到保障的技术问题。能得到保障的技术问题。
【技术实现步骤摘要】
漏洞检测方法及装置
[0001]本申请涉及信息安全领域,具体而言,涉及一种漏洞检测方法及装置。
技术介绍
[0002]Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta项目中的一个核心项目,由Apache、Sun和其他一些公司及个人共同开发而成。由于有了Sun的参与和支持,最新的Servlet和JSP规范总是能在Tomcat中得到体现,Tomcat 5支持最新的Servlet 2.4和JSP 2.0规范。因为Tomcat技术先进、性能稳定,而且免费,因而深受Java爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web应用服务器。
[0003]由于大量的业务系统都使用Tomcat中间件作为构架,而且,Tomcat中间件存在大量的漏洞,因此,在相关技术中,一般只有在Tomcat爆出漏洞后,才会发现其才存在安全隐患,因此,相关技术中缺乏一种对Tomcat的安全检测机制。
[0004]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0005]本申请实施例提供了一种漏洞检测方法及装置,以至少解决由于相关技术缺乏对Tomcat的安全检测机制,造成的在数据传输及交互存在较大的安全隐患,数据的安全性不能得到保障的技术问题。
[0006]根据本申请实施例的一个方面,提供了一种漏洞检测方法,包括:发送统一定位资源符URL对应的访问请求至服务器,并接收来自统一定位资源符URL的响应结果,其中,响应结果用于指示URL是否基于预设类型的中间件进行数据传输;在响应结果指示URL基于预设类型的中间件进行数据传输的情况下,确定URL对应的预设类型的目标中间件;调用预设中间件对应的漏洞测试代码;基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果。
[0007]可选地,基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果,包括:检测目标中间件是否存在面向包协议文件读取漏洞;在检测结果指示目标中间件存在面向包协议文件的情况下,输出服务器在预设目录下的配置文件内容。
[0008]可选地,基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果,包括:检测目标中间件是否存在弱口令;在检测结果指示目标中间件存在弱口令的情况下,输出弱口令,其中,弱口令包括:登录成功状态下的登录账号以及登录账号的密码。
[0009]可选地,基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果,包括:检测目标中间件是否存文件上传漏洞;在检测结果指示目标中间件存在文件上传漏洞的情况下,输出目标文件名对应的文件,其中,目标文件名为目标中间件基于预设算法对文件的名称进行加密生成的。
[0010]可选地,发送访问请求至服务器,包括:接收待检测的互联网协议IP地址和端口号;将IP地址和端口号转换为URL;确定URL对应的访问请求,将URL对应的访问请求发送至
服务器。
[0011]可选地,输出检测结果,包括:将检测结果输出至指定保存位置;接收目标对象的操作指令,展示在指定保存位置保存的检测结果。
[0012]根据本申请实施例的另一方面,还提供了一种漏洞检测装置,包括:发送模块,用于发送统一定位资源符URL对应的访问请求至服务器,并接收来自统一定位资源符URL的响应结果,其中,响应结果用于指示URL是否基于预设类型的中间件进行数据传输;确定模块,用于在响应结果指示URL基于预设类型的中间件进行数据传输的情况下,确定URL对应的预设类型的目标中间件;调用模块,用于调用预设中间件对应的漏洞测试代码;输出模块,用于基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果。
[0013]可选地,输出模块,包括:检测单元,用于检测目标中间件是否存在面向包协议文件读取漏洞;输出单元,用于在检测结果指示目标中间件存在面向包协议文件的情况下,输出服务器在预设目录下的配置文件内容。
[0014]根据本申请实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行任意一种漏洞检测方法。
[0015]根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行任意一种漏洞检测方法。
[0016]在本申请实施例中,采用判断是否基于预设类型的中间件进行传输,并根据判断结果调用漏洞测试代码进行检测的方式,通过发送统一定位资源符URL对应的访问请求至服务器,并接收来自统一定位资源符URL的响应结果,其中,响应结果用于指示URL是否基于预设类型的中间件进行数据传输;在响应结果指示URL基于预设类型的中间件进行数据传输的情况下,确定URL对应的预设类型的目标中间件;调用预设中间件对应的漏洞测试代码;基于漏洞测试代码对URL对应的目标中间件进行检测,输出检测结果,达到了对中间件的类型进行判断,并在中间件属于目标类型的情况下则进行检测的目的,从而实现了对预设类型的中间件进行重点监控,并调用预先设置好的漏洞检测代码对目标中间件进行检测的技术效果,进而解决了由于相关技术缺乏对Tomcat的安全检测机制,造成的在数据传输及交互存在较大的安全隐患,数据的安全性不能得到保障的技术问题。
附图说明
[0017]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0018]图1是根据本申请实施例的一种可选的漏洞检测方法的流程示意图;
[0019]图2是根据本申请实施例一种可选的Tomcat中间件漏洞批量检测方法的流程图;
[0020]图3是根据本申请实施例一种可选的漏洞检测装置的结构示意图。
具体实施方式
[0021]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人
员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0022]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0023]为了便于本领域技术人员更好的理解本申请相关实施例,现将本申请可能涉及的技术术语或者部分名词,解释如下:<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,包括:发送统一定位资源符URL对应的访问请求至服务器,并接收来自统一定位资源符URL的响应结果,其中,所述响应结果用于指示所述URL是否基于预设类型的中间件进行数据传输;在所述响应结果指示所述URL基于所述预设类型的中间件进行数据传输的情况下,确定所述URL对应的所述预设类型的目标中间件;调用所述预设中间件对应的漏洞测试代码;基于所述漏洞测试代码对所述URL对应的目标中间件进行检测,输出检测结果。2.根据权利要求1所述的方法,其特征在于,基于所述漏洞测试代码对所述URL对应的目标中间件进行检测,输出检测结果,包括:检测所述目标中间件是否存在面向包协议文件读取漏洞;在检测结果指示所述目标中间件存在所述面向包协议文件的情况下,输出所述服务器在预设目录下的配置文件内容。3.根据权利要求1所述的方法,其特征在于,基于所述漏洞测试代码对所述URL对应的目标中间件进行检测,输出检测结果,包括:检测所述目标中间件是否存在弱口令;在检测结果指示所述目标中间件存在所述弱口令的情况下,输出所述弱口令,其中,所述弱口令包括:登录成功状态下的登录账号以及所述登录账号的密码。4.根据权利要求1所述的方法,其特征在于,基于所述漏洞测试代码对所述URL对应的目标中间件进行检测,输出检测结果,包括:检测所述目标中间件是否存文件上传漏洞;在检测结果指示所述目标中间件存在所述文件上传漏洞的情况下,输出目标文件名对应的文件,其中,所述目标文件名为所述目标中间件基于预设算法对文件的名称进行加密生成的。5.根据权利要求1所述的方法,其特征在于,发送访问请求至服务器,...
【专利技术属性】
技术研发人员:王小虎,王超,任天宇,董佳涵,郭广鑫,李博文,师恩洁,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。