本公开是关于漏洞检测方法及装置。该方法包括:获取网站的网页信息,所述网页信息包括:登录页面的URL和源码;在根据网页信息包含第三方登录的特征时,获取登录接口信息包含的参数;参数包括:State参数,Redirect_uri参数,隐藏式许可中的参数以及Scope参数;在检测参数满足预设要求时,确定网站存在OAuth漏洞。由于可以通过多维度的参数去验证OAuth2.0,以确定其中存在的漏洞,提升了漏洞检测的可靠性。提升了漏洞检测的可靠性。提升了漏洞检测的可靠性。
【技术实现步骤摘要】
漏洞检测方法及装置
[0001]本公开涉及计算机安全
,尤其涉及漏洞检测方法及装置。
技术介绍
[0002]OAuth最初是一种允许用户不重复注册账户,在第三方程序使用其在其他网站上已经存在的信息(如好友信息、照片等),又无需让此网站交出登录的凭据(账号和密码)或者授予完全控制权的一种开放授权标准。该标准通过其定义的三个方面:第三方应用、用户和OAuth服务API认证服务器提供方,在其间进行授权的一系列交互工作,OAuth授权流程图如图1所示。
[0003]基本的OAuth使用常见于网站提供的Sign with X(使用XXX登录) 功能。当前推荐使用的标准是2.0。与旧版本1.0相比,2.0在使用上更加简易,且支持多平台。但在关注开发者易用和对平台广泛的支持下,也让2.0 在使用上出现了比1.0更多的缺陷,现有技术并没有可靠的手段去检测OAuth 2.0的漏洞。
技术实现思路
[0004]为克服相关技术中存在的问题,本公开实施例提供漏洞检测方法及装置。所述技术方案如下:
[0005]根据本公开实施例的第一方面,提供一种漏洞检测方法,所述方法应用于OAuth2.0版本,所述方法包括:
[0006]获取网站的网页信息,所述网页信息包括:登录页面的URL和源码;
[0007]在根据所述网页信息包含第三方登录的特征时,获取登录接口信息包含的参数;所述参数包括:State参数,Redirect_uri参数,隐藏式许可中的参数以及Scope参数;
[0008]在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞。
[0009]本公开的实施例提供的技术方案可以包括以下有益效果:获取网站的网页信息,所述网页信息包括:登录页面的URL和源码;在根据网页信息包含第三方登录的特征时,获取登录接口信息包含的参数;参数包括:State参数, Redirect_uri参数,隐藏式许可中的参数以及Scope参数;在检测参数满足预设要求时,确定网站存在OAuth漏洞。由于可以通过多维度的参数去验证 OAuth2.0,以确定其中存在的漏洞,提升了漏洞检测的可靠性。
[0010]在一个实施例中,所述在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞,包括:
[0011]若检测到存在state参数的缺失,或者,所述state参数使用了固定值,或者,未验证所述state参数,则确定所述网站存在OAuth漏洞。
[0012]在一个实施例中,检测到未验证所述state参数,包括:
[0013]将所述第一验证指令和第二验证指令发送给服务器;所述第一验证指令为包含所述state参数的所述登录接口信息;所述第二验证指令为删除所述 state参数的所述登录接口信息;
[0014]若检测到所述服务器返回的与所述第一验证指令对应的第一响应结果和与所述第二验证指令对应的第二响应结果相同,则确定未验证所述state参数;
[0015]或者,
[0016]将所述第三验证指令和第四验证指令发送给服务器;所述第三验证指令为未修改所述登录接口信息中的所述state参数的所述登录接口信息;所述第四验证指令为修改所述登录接口信息中的所述state参数后的所述登录接口信息;
[0017]若检测到所述服务器返回的与所述第三验证指令对应的第三响应结果和与所述第四验证指令对应的第四响应结果相同,则确定未验证所述state参数。
[0018]在一个实施例中,所述在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞,包括:
[0019]若检测到redirect_uri未做验证,或者,所述redirect_uri中存在重复重定向问题,或者,所述redirect_uri中的域名的字符被更改,确定所述网站存在 OAuth漏洞。
[0020]在一个实施例中,所述检测到redirect_uri未做验证,包括:
[0021]检测所述登录接口信息中的所述redirect_uri与所述URL对应的 redirect_uri是否相同;
[0022]若所述登录接口信息中的所述redirect_uri与所述URL对应的redirect_uri 不相同,则确定所述登录接口信息中的所述redirect_uri未做验证。
[0023]在一个实施例中,所述检测到redirect_uri中存在重复重定向问题,包括:
[0024]将所述登录接口信息发送给服务器;
[0025]检测所述服务器反馈,或,传入的uri是否包含多个redirect_uri;
[0026]若包含,则确定所述redirect_uri中存在重复重定向问题。
[0027]在一个实施例中,所述在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞,包括:
[0028]若检测到隐藏式许可的redirect_uri未做验证,或者,所述隐藏式许可的 redirect_uri中存在重复重定向问题,或者,所述隐藏式许可的redirect_uri中包括预设关键字;或者,所述隐藏式许可的URL不是https对应的,确定所述网站存在OAuth漏洞。
[0029]在一个实施例中,所述在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞,包括:
[0030]若检测到所述登录接口信息中的scope未做验证,确定所述网站存在 OAuth漏洞。
[0031]根据本公开实施例的第二方面,提供一种漏洞检测装置,所述装置应用于OAuth2.0版本,所述装置包括:
[0032]第一获取模块,用于获取网站的网页信息,所述网页信息包括:登录页面的URL和源码;
[0033]第二获取模块,用于在根据所述网页信息包含第三方登录的特征时,获取登录接口信息包含的参数;所述参数包括:State参数,Redirect_uri参数,隐藏式许可中的参数以及Scope参数;
[0034]第一确定模块,用于在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞。
[0035]在一个实施中,第一确定模块,包括:
[0036]第一处理子模块,用于若检测到存在state参数的缺失,或者,所述state 参数使用了固定值,或者,未验证所述state参数,则确定所述网站存在OAuth 漏洞。
[0037]在一个实施中,第一处理子模块包括:第一发送子单元和第一确定子模块:
[0038]第一发送子单元,用于将所述第一验证指令和第二验证指令发送给服务器;所述第一验证指令为包含所述state参数的所述登录接口信息;所述第二验证指令为删除所述state参数的所述登录接口信息;
[0039]第一确定子单元,用于若检测到所述服务器返回的与所述第一验证指令对应的第一响应结果和与所述第二验证指令对应的第二响应结果相同,则确定未验证所述state参数;
[0040]或者,
[0041]第一发送子单元,用于将所述第三验证本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,所述方法应用于OAuth2.0版本,所述方法包括:获取网站的网页信息,所述网页信息包括:登录页面的URL和源码;在根据所述网页信息包含第三方登录的特征时,获取登录接口信息包含的参数;所述参数包括:State参数,Redirect_uri参数,隐藏式许可中的参数以及Scope参数;在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞。2.根据权利要求1所述的方法,其特征在于,所述在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞,包括:若检测到存在state参数的缺失,或者,所述state参数使用了固定值,或者,未验证所述state参数,则确定所述网站存在OAuth漏洞。3.根据权利要求2所述的方法,其特征在于,检测到未验证所述state参数,包括:将所述第一验证指令和第二验证指令发送给服务器;所述第一验证指令为包含所述state参数的所述登录接口信息;所述第二验证指令为删除所述state参数的所述登录接口信息;若检测到所述服务器返回的与所述第一验证指令对应的第一响应结果和与所述第二验证指令对应的第二响应结果相同,则确定未验证所述state参数;或者,将所述第三验证指令和第四验证指令发送给服务器;所述第三验证指令为未修改所述登录接口信息中的所述state参数的所述登录接口信息;所述第四验证指令为修改所述登录接口信息中的所述state参数后的所述登录接口信息;若检测到所述服务器返回的与所述第三验证指令对应的第三响应结果和与所述第四验证指令对应的第四响应结果相同,则确定未验证所述state参数。4.根据权利要求1所述的方法,其特征在于,所述在检测所述参数满足预设要求时,确定所述网站存在OAuth漏洞,包括:若检测到redirect_uri未做验证,或者,所述redirect_uri中存在重复重定向问题,或者,所述redirect_uri中的域名的字符被更改,确定所述网站存在OAuth漏洞。5.根据权利要求4所述的方法,其特征在于,所述检测到redirec...
【专利技术属性】
技术研发人员:童小敏,
申请(专利权)人:西安四叶草信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。