发现Web内网代理漏洞的方法技术

本发明专利技术公开了一种发现Web内网代理漏洞的方法，通过网络爬虫技术来实现内网网络页面抓取，获得全部页面的URL。然后基于URL规范和参数值特征进行两次过滤，筛选出可能存在内网代理漏洞的URL。在Web内网中构造特征页面，该特征页面包含一段MD5串。对于每一个过滤后的URL，将原来包含URL的参数内容替换为特征页面的URL，请求替换之后的URL，如果请求回应中包含特征页面中的MD5串，则认为该页面URL存在内网代理漏洞，否则，则认为该页面URL不存在内网代理漏洞。程序化的内网代理检测方法避免了人工方法的不足，可有效并且全面地发现Web服务中存在的内网代理漏洞，提高Web安全性。

【技术实现步骤摘要】

本专利技术涉及一种发现漏洞的方法，特别涉及一种。
技术介绍
一般情况下，客户通过公共的Web服务间接使用代理模块提供的服务。如果开发者没有对代理模块的使用做任何限制，那么，客户就可以直接访问代理模块，并构造合适的参数来访问任意的内网资 源，从而使得网络隔离策略被绕过。如果存在上述可能，那么，网站的应用逻辑就包含内网代理漏洞。目前，内网代理漏洞的检测方法主要分为人工代码审核与黑盒发现技术两种。(I)人工代码审核。通过人工对代码中可能出现的问题进行分析，从而发现潜在的内网代理问题。人工代码审核的漏洞发现的检准率较高，但由于Web应用的复杂性，代码的庞杂，造成检全率较低。(2)黑盒发现技术。黑盒发现技术不关心具体的代码实现，而是从Web服务接口出发，去寻找外界不可访问的内网资源，由此从Web接口中发现潜在的内网代理问题。比如下面的URL可能存在潜在的内网代理问题http://test, web, org/proxy. php proxy=internal. web, org 上述URL包含一个proxy参数，其值是一个其他Web地址的URL，因而，从形式上可以推测该URL存在可能的内网本文档来自技高网...

【技术保护点】
一种发现Web内网代理漏洞的方法，其特征在于，在外界不能访问的内部服务器上部署一个Web服务，并在Web服务内放置一个含有构造的签名的签名页面，实现所述方法的步骤包括：步骤1，采用网络爬虫技术获取网站内所有Web站点页面的URL并保存；步骤2，对步骤1的页面URL进行判断，若页面URL中包含值符合URL规范的参数，保存该URL，否则，丢弃该页面；？步骤3，将URL中包含URL规范参数值替换为指向签名页面；步骤4，访问替换后的URL；步骤5，检查访问结果是否包含构造的签名，若访问结果包含构造的签名，则认为该页面存在内网代理漏洞，若访问结果不包含构造的签名，则认为该页面URL不存在内网代理漏洞。

【技术特征摘要】

【专利技术属性】
技术研发人员：周耕辉，
申请(专利权)人：周耕辉，
类型：发明
国别省市：