【技术实现步骤摘要】
一种基于动态测试的文件上传漏洞挖掘方法和系统
[0001]本专利技术属于互联网领域,尤其涉及一种基于动态测试的文件上传漏洞挖掘方法和系统。
技术介绍
[0002]随着互联网的迅猛发展,web应用的快速普及,其中共享用户所提供的内容已经成为了Web应用中不可或缺的组成部分,越来越多的Web应用提供了用户上传图片、视频、文档等内容材料的接口,由于Web应用的功能越发丰富,文件上传的接口越发多样,但同时,Web应用中存在的文件上传功能会带来安全问题,若Web应用没有对用户上传的文件类型或者内容进行安全检测,则用户可以上传任意文件到Web应用的服务器上,这些上传的文件可以是图片、文档,但恶意用户也有可能上传恶意脚本,网页后门到服务器上,从而窃取服务器中的信息,甚至对服务器造成破坏,因此防止恶意用户滥用该上传功能,及时发现Web应用中存在的文件上传漏洞,并及时添加相关的安全检测规则是至关重要的。
[0003]文件上传漏洞主要是指能够不受限制的上传可执行文件的漏洞,目前文件上传漏洞挖掘方法主要是基于人工进行代码审计和黑盒模糊测试...
【技术保护点】
【技术特征摘要】
1.一种基于动态测试的文件上传漏洞挖掘方法,其特征在于,所述方法包括:步骤S1、采用动态爬虫进行文件上传表单的信息收集,生成文件上传表单的配置文件;步骤S2、对文件上传请求报文的突变进行约束,包括:采用探测反馈机制生成的文件上传限制名单进行变异规则的第一层约束;设置基于不可执行文件属性组合关系的文件上传请求报文的变异规则;步骤S3、对所述文件上传请求报文进行构造与发送;步骤S4、文件可执行性验证。2.根据权利要求1所述的一种基于动态测试的文件上传漏洞挖掘方法,其特征在于,在所述步骤S1中,所述采用动态爬虫进行文件上传表单的信息收集,生成文件上传表单的配置文件的具体方法包括:采用动态爬虫进行文件上传表单的信息收集,触发网站中的所有的文件上传请求,记录文件上传请求URL地址以及参数信息,生成文件上传表单配置文件。3.根据权利要求1所述的一种基于动态测试的文件上传漏洞挖掘方法,其特征在于,在所述步骤S2中,所述采用探测反馈机制生成的文件上传类型限制名单进行变异规则的第一层约束的具体方法包括:通过设置基础文件集合进行探测,根据反馈情况判断每个基础文件能否上传成功,自动化形成文件上传类型限制清单,进行变异规则的第一层约束。4.根据权利要求3所述的一种基于动态测试的文件上传漏洞挖掘方法,其特征在于,在所述步骤S2中,所述基础文件集合包括:JPG、PNG、GIF、PDF、ZIP、TAR、GZ和BMP文件类型。5.根据权利要求4所述的一种基于动态测试的文件上传漏洞挖掘方法,其特征在于,在所述步骤S2中,所述设置基于不可执行文件属性组合关系的文件上传请求报文的变异规则的具体方法包括:在不可执行文件变异的操作组合中,只组合同一种不可执行文件属性的相关变异,不再生成不同不可执行文件相关属性的组合变异测试用例。6.根据权利要求1所述的一种基于动态测试的文件上传漏洞挖掘方法,其特征在于,在所述步骤S3中,所述对所述文件上传请求报文进行构造与发送的具体方法包括:利用python中的第三方urllib2库,根据动态爬虫生成的配置文件的配置...
【专利技术属性】
技术研发人员:潘祖烈,陈远超,李阳,赵军,黄晖,胡淼,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。