一种验证应用服务器的方法、装置、计算机设备和介质制造方法及图纸

本申请提供了一种验证应用服务器的方法、装置、计算机设备和介质，包括：针对所述动态网址链接集合中的每条动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合；针对每条动态网址链接中存在的注入点参数集合中的每个注入点参数，利用该注入点参数访问应用服务器，并在该注入点参数中注入数据库执行指令；若能在预设访问要求范围内接收到数据库集合中任一数据库返回的数据后，则响应利用该注入点参数访问应用服务器时发起的访问请求，对访问请求进行安全验证。从大量存在的注入点参数中排查可以利用的注入点参数，提高了验证的准确率。率。率。

【技术实现步骤摘要】
一种验证应用服务器的方法、装置、计算机设备和介质


[0001]本申请涉及网络安全监测
，具体而言，涉及一种验证应用器的方法、装置、计算机设备和介质。

技术介绍

[0002]随着互联网通信技术和网站技术的飞速发展，现在也有很多数据库的数据出现泄露的问题，目前很多程序人员对应用服务器进行SQL注入尝试，SQL注入是对数据库进行攻击常用的手段，在对数据库进行攻击时通常时对应用服务器尝试注入，知道发现存在的注入点，在对注入点针对性的进行SQL注入攻击，但是由于发现存在的注入点较多，还需要通过人工验证这些存在的注入点中利用哪些注入点是可以成功攻击数据库并获取数据，基于此种方式，仍然存在工作效率较低、操作繁琐的问题。

技术实现思路

[0003]有鉴于此，本申请实施例提供了一种验证应用器的方法、装置、计算机设备和介质，以解决现有技术中存在的注入点较多，基于人工验证注入点是否能够利用，存在工作效率较低、操作繁琐的问题。
[0004]第一方面，本申请实施例提供了一种验证应用器的方法，该方法包括：
[0005]利用爬虫进程池中的每个爬虫进程获取预设网址列表中的每条网址链接；
[0006]针对获取到的每条所述网址链接，根据利用该条网址链接访问应用服务器时生成的访问请求数据的数据格式进行解析的解析结果生成动态网址链接集合；
[0007]针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合；
[0008]针对每条所述动态网址链接中存在的注入点参数集合中的每个注入点参数，利用该注入点参数访问应用服务器，并在该注入点参数中注入数据库执行指令；
[0009]若能在预设访问要求范围内接收到所述数据库集合中任一数据库返回的数据后，则响应利用该注入点参数访问所述应用服务器时发起的访问请求，对所述访问请求进行安全验证。
[0010]可选的，所述针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合，包括：
[0011]针对所述动态网址链接集合中每条所述动态网址链接中的每个访问请求参数，将所述注入测试语句库中的每种注入测试语句的拼接内容分别拼接至该访问请求参数中，得到每种注入测试语句各自对应的拼接后的访问请求参数；
[0012]确定该访问请求参数对应的第一请求处理结果，以及确定每种拼接后的访问请求参数各自对应的第二请求处理结果；其中，第一请求处理结果为利用每条所述动态网址链
接中每个访问请求参数访问应用服务器后返回的结果；第二请求处理结果为利用每种拼接后的访问请求参数访问应用服务器后返回的结果；
[0013]若该访问请求参数对应的第一请求处理结果分别与每种拼接后的访问请求参数各自对应的第二请求处理结果之间的比较结果中任意一比较结果符合预设的第一测试结果规则，则确定该访问请求参数为注入点参数；
[0014]针对所述动态网址链接集合中的每条动态网址链接，根据该条动态网址链接中存在的每个注入点参数生成该条动态网址链接中的存在的注入点参数集合。
[0015]可选的，所述确定该访问请求参数对应的第一请求处理结果，以及确定每种拼接后的访问请求参数各自对应的第二请求处理结果之后，还包括：
[0016]若第二请求处理结果符合预设的第二测试结果规则，则确定该访问请求参数为注入点参数。
[0017]可选的，所述注入测试语句中拼接内容包括：正常拼接内容和异常拼接内容，则利用注入测试语句对应的拼接后的访问请求参数包括：正常拼接后的访问请求参数和异常拼接后的访问请求参数；所述若该访问请求参数对应的第一请求处理结果分别与每种拼接后的访问请求参数各自对应的第二请求处理结果之间的比较结果中任意一比较结果符合预设的第一测试结果规则，则确定该访问请求参数为注入点参数，包括：
[0018]确定该访问请求参数对应的第一处理请求结果，以及确定每种正常拼接后的访问请求参数对应的第二正常请求处理结果、每种异常拼接后的访问请求参数对应的第二异常请求处理结果；其中第一请求处理结果为利用每条所述动态网址链接中每个访问请求参数访问应用服务器后返回的结果；第二正常请求处理结果为利用每种正常拼接后的访问请求参数访问应用服务器后返回的结果；第二异常请求处理结果为利用每种异常拼接后的访问请求参数访问应用服务器后返回的结果；
[0019]若该访问请求参数对应的第一请求处理结果分别与每种正常拼接后的访问请求参数对应的第二正常请求处理结果、每种异常拼接后的访问请求参数对应的第二异常请求处理结果进行对比，生成所述第一请求处理结果与利用该种注入测试语句拼接后的访问请求参数对应的第二请求处理结果的对比结果集合；
[0020]若所述对比结果集合中的每条对比结果都符合预设的第一测试结果规则，则将与所述对比结果集合匹配的该访问请求参数作为该条动态网址链接中存在的注入点参数。
[0021]可选的，所述注入测试语句中拼接内容包括：函数值，则利用注入测试语句对应的拼接后的访问请求参数为函数值拼接后的访问请求参数；所述若第二请求处理结果符合预设的第二测试结果规则，则确定该访问请求参数为注入点参数，包括：
[0022]确定函数值拼接后的访问请求参数对应的第二请求处理结果，其中，第二请求处理结果为利用函数值拼接后访问请求参数访问应用服务器后返回的结果；
[0023]若利用函数值拼接后的访问请求参数对应的第二请求处理结果中符合预设的第二测试结果规则时，则将该访问请求参数作为该条动态网址链接在存在的注入点参数。
[0024]可选的，所述若能在预设访问要求范围内接收到所述数据库集合中任一数据库返回的数据后，则响应利用该注入点参数访问应用服务器时发起的访问请求，对所述访问请求进行安全验证，包括：
[0025]当所述访问请求未通过安全验证时，则对所述访问请求进行拦截；
[0026]当所述访问请求通过安全验证时，则响应所述访问请求。
[0027]第二方面，本申请提供一种验证应用服务器的装置，包括：
[0028]获取模块，用于利用爬虫进程池中的每个爬虫进程获取预设网址列表中的每条网址链接；
[0029]生成模块，用于针对获取到的每条所述网址链接，根据利用该条网址链接访问应用服务器时生成的访问请求数据的数据格式进行解析的解析结果生成动态网址链接集合；
[0030]确定模块，用于针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合；
[0031]指令注入模块，用于针对每条所述动态网址链接中存在的注入点参数集合中的每个注入点参数，利用该注入点参数访问应用服务器，并在该注入点参数中注入数据库执行指令；...

【技术保护点】

【技术特征摘要】
1.一种验证应用服务器的方法，其特征在于，包括：利用爬虫进程池中的每个爬虫进程获取预设网址列表中的每条网址链接；针对获取到的每条所述网址链接，根据利用该条网址链接访问应用服务器时生成的访问请求数据的数据格式进行解析的解析结果生成动态网址链接集合；针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种注入测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合；针对每条所述动态网址链接中存在的注入点参数集合中的每个注入点参数，利用该注入点参数访问应用服务器，并在该注入点参数中注入数据库执行指令；若能在预设访问要求范围内接收到所述数据库集合中任一数据库返回的数据后，则响应利用该注入点参数访问所述应用服务器时发起的访问请求，对所述访问请求进行安全验证。2.根据权利要求1所述的方法，其特征在于，所述针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种注入测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合，包括：针对所述动态网址链接集合中每条所述动态网址链接中的每个访问请求参数，将所述注入测试语句库中的每种注入测试语句的拼接内容分别拼接至该访问请求参数中，得到每种注入测试语句各自对应的拼接后的访问请求参数；确定该访问请求参数对应的第一请求处理结果，以及确定每种拼接后的访问请求参数各自对应的第二请求处理结果；其中，第一请求处理结果为利用每条所述动态网址链接中每个访问请求参数访问应用服务器后返回的结果；第二请求处理结果为利用每种拼接后的访问请求参数访问应用服务器后返回的结果；若该访问请求参数对应的第一请求处理结果分别与每种拼接后的访问请求参数各自对应的第二请求处理结果之间的比较结果中任意一比较结果符合预设的第一测试结果规则，则确定该访问请求参数为注入点参数；针对所述动态网址链接集合中的每条动态网址链接，根据该条动态网址链接中存在的每个注入点参数生成该条动态网址链接中的存在的注入点参数集合。3.根据权利要求2所述的方法，其特征在于，在确定该访问请求参数对应的第一请求处理结果，以及确定每种拼接后的访问请求参数各自对应的第二请求处理结果之后，还包括：若所述第二请求处理结果符合预设的第二测试结果规则，则确定该访问请求参数为注入点参数。4.根据权利要求2或3所述的方法，其特征在于，所述注入测试语句中拼接内容包括：正常拼接内容和异常拼接内容，则利用注入测试语句对应的拼接后的访问请求参数包括：正常拼接后的访问请求参数和异常拼接后的访问请求参数；所述若该访问请求参数对应的第一请求处理结果分别与每种拼接后的访问请求参数各自对应的第二请求处理结果之间的比较结果中任意一比较结果符合预设的第一测试结果规则，则确定该访问请求参数为注入点参数，包括：确定该访问请求参数对应的第一处理请求结果，以及确定每种正常拼接后的访问请求参数对应的第二正常请求处理结果、每种异常拼接后的访问请求参数对应的第二异常请求
处理结果；其中第一请求处理结果为利用每条所述动态网址链接中每个访问请求参数访问应用服务器后返回的结果；第二正常请求处理结果为利用每种正常拼接后的访问请求参数访问应用服务器后返回的结果；第二异常请求处理结果为利用每种异常拼接后的访问请求参数访问应用服务器后返回的结果；若该访问请求参数对应的第一请求处理结果分别与每种正常拼接后的访问请求参数对应的第二正常请求处理结果、每种异常拼接后的访问请求参数对应的第二异常请求处理结果进行对比，生成所述第一请求处理结果与利用该种注入测试语句拼接后的访问请求参数对应的第二请求处理结果的对比结果集合；若所述对比结果集合中的...

【专利技术属性】
技术研发人员：付孟泽，白兴伟，王闰婷，徐艺庭，
申请(专利权)人：北京华云安信息技术有限公司，
类型：发明
国别省市：