【技术实现步骤摘要】
SSRF漏洞批量自动化检测方法、装置、存储介质及电子设备
[0001]本申请涉及漏洞检测
,具体涉及一种
SSRF
漏洞批量自动化检测方法
、
装置
、
存储介质及电子设备
。
技术介绍
[0002]服务器端请求伪造(
Server
‑
Side Request Forgery
,
SSRF
)漏洞是由攻击者构造请求,让服务器端发起请求的一种安全漏洞
。
攻击者利用该漏洞可以构造包含恶意的统一资源定位器(
Uniform Resource Locator
,
URL
)链接的请求,从而攻击
web
系统的服务器端内部网络和外部网络
。
简言之为:利用该漏洞以服务器端的身份,绕过外网安全防护发送一条构造好的请求给服务器所在内网进行攻击,对内网服务危害性极大,因此对
SSRF
漏洞进行检测就十分地有必要
。
[0003]目前针对
web
系统的
SSRF
漏洞的检测,由于
SSRF
漏洞存在回显和无回显两种类型,因此检测方式上主要为人工检测,但是人工检测数量较多的
API
接口时,会导致
SSRF
漏洞检测的效率较低
。
技术实现思路
[0004]为了提高
SSRF
漏洞检测的效率,本 ...
【技术保护点】
【技术特征摘要】
1.
一种
SSRF
漏洞批量自动化检测方法,其特征在于,所述方法包括:获取
web
系统的各
API
接口的接口信息;根据各所述接口信息,确定各所述
API
接口对应的接口请求;判断各所述接口请求中是否存在目标字段,若存在,则将预置的
SSRF
漏洞检测链接赋值至对应的接口请求中所述目标字段,并对存在所述目标字段的各目标接口请求进行批量发包,所述目标字段为
SSRF
漏洞的检测字段;检测所述
SSRF
漏洞检测链接对应的
DNSLOG
平台是否接收到
DNS
解析请求记录,若是,则确定所述
DNS
解析请求记录对应的
API
接口存在
SSRF
漏洞
。2.
根据权利要求1所述的
SSRF
漏洞批量自动化检测方法,其特征在于,所述根据各所述接口信息,确定各所述
API
接口对应的接口请求,具体包括:对各所述接口信息进行格式化处理,得到处理后信息;调用预置的
method
方法对各所述处理后信息进行接口分类,得到各所述
API
接口对应的封装后的接口请求
。3.
根据权利要求1所述的
SSRF
漏洞批量自动化检测方法,其特征在于,所述根据各所述接口信息,确定各所述
API
接口对应的接口请求之后,还包括:查询各所述接口请求对应的
body
体,通过正则方式筛选各所述
body
体中与预设的敏感字段一致的待处理字段;删除所述待处理字段对应的字段值,并对所述待处理字段进行重新赋值;判断未查询到
body
体的接口请求中是否存在预设的通用字段,若存在,则根据预设的通用字段赋值
json
表,对各所述通用字段进行重新赋值;若不存在,则对所述
web
系统的
swagger
提供的字段类型进行随机赋值
。4.
根据权利要求1所述的
SSRF
漏洞批量自动化检测方法,其特征在于,所述请求类型为
GET
请求或
POST
请求,所述判断各所述接口请求中是否存在目标字段,具体包括:确定各所述接口请求的请求类型;在请求类型为
GET
请求的情况下,则判断对应的接口请求的
api_requestURL
字段的字段值是否为
URL
链接;若为
URL
链接,则确定存在目标字段,并将所述
api_requestURL
字段确定为所述目标字段;在请求类型为
POST
请求的情况下,则判断对应的接口请求的
requestData
字段的字段值是否为
URL
链接;若为
URL
链接,则确定存在目标字段,并将所述
requestData
字段确定为所述目标字段
。5.
根据权利要求1所述的
SSRF
漏洞批量...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。