CN111371745B - 用于确定ssrf漏洞的方法和装置 - Google Patents
用于确定ssrf漏洞的方法和装置 Download PDFInfo
- Publication number
- CN111371745B CN111371745B CN202010108100.1A CN202010108100A CN111371745B CN 111371745 B CN111371745 B CN 111371745B CN 202010108100 A CN202010108100 A CN 202010108100A CN 111371745 B CN111371745 B CN 111371745B
- Authority
- CN
- China
- Prior art keywords
- network request
- ssrf
- vulnerability
- request
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开的实施例用于确定SSRF漏洞的方法,首先获取网络请求,若网络请求的发起端为服务端,则采用测试地址替换网络请求中的目标地址,得到修改后的网络请求,其中测试地址包括位于内网的网络漏洞测试平台的地址;向目标应用发送修改后的网络请求;最后基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞,首先判断网络请求的发起端为服务端,而后自动地判定目标应用是否存在SSRF漏洞,能够极大地减少误报,大幅度降低人力和时间成本。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及计算机安全技术领域,具体涉及用于确定SSRF漏洞的方法和装置。
背景技术
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。
相关的SSRF漏洞挖掘方式是自动化匹配请求URL或请求body中是否包括http、ftp等关键字,若请求URL或请求body中包括http、ftp等关键字,则产生报警,然后由安全人员人工判定是否存在SSRF漏洞。
发明内容
本公开的实施例提出了用于确定SSRF漏洞的方法和装置。
第一方面,本公开的实施例提供了一种用于确定SSRF漏洞的方法,该方法包括:获取网络请求;若网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求;其中,测试地址包括位于内网的网络漏洞测试平台的地址;向目标应用发送修改后的网络请求;基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞。
在一些实施例中,基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞包括:若网络漏洞测试平台收到修改后的网络请求,则确定目标应用存在SSRF漏洞。
在一些实施例中,基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞包括:若测试地址所指示的应用收到修改后的网络请求,则基于网络请求中用于表示请求来源的信息,确定网络请求所对应的原始网络请求;基于原始网络请求,原始网络请求是否触发SSRF漏洞攻击;响应于确定原始网络请求是否触发SSRF漏洞攻击的结果指示原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
在一些实施例中,基于原始网络请求,确定原始网络请求是否触发SSRF漏洞攻击,包括:基于预设的验证规则验证原始网络请求是否触发SSRF漏洞攻击;或向检测人员呈现原始网络请求和对原始网络请求进行判定的请求,基于检测人员输入的对原始网络请求的判定结果,确定原始网络请求是否触发SSRF漏洞攻击。
在一些实施例中,方法还包括:基于网络请求包含的第一字段信息,确定网络请求的发起端是否为服务端。
第二方面,本公开的实施例提供了一种用于确定SSRF漏洞的装置,装置包括:获取单元,被配置成获取网络请求;修改单元,被配置成若网络请求的发起端为服务端,则采用测试地址替换网络请求中的目标地址,得到修改后的网络请求;其中,测试地址包括位于内网的网络漏洞测试平台的地址;发送单元,被配置成向目标应用发送替换后的网络请求;确定单元,被配置成基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞。
在一些实施例中,确定单元包括:第一确定模块,被配置成若网络漏洞测试平台收到修改后的网络请求,则确定目标应用存在SSRF漏洞。
在一些实施例中,确定单元包括:请求确定模块,被配置成若测试地址所指示的应用收到修改后的网络请求,则基于网络请求中用于表示请求来源的信息,确定网络请求所对应的原始网络请求;触发确定模块,被配置成基于原始网络请求,确定原始网络请求是否触发SSRF漏洞攻击;漏洞确定模块,被配置成响应于确定原始网络请求是否触发SSRF漏洞攻击的结果指示原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
在一些实施例中,触发确定模块进一步被配置成基于预设的验证规则验证原始网络请求是否触发SSRF漏洞攻击;或向检测人员呈现原始网络请求和对原始网络请求进行判定的请求,基于检测人员输入的对原始网络请求的判定结果,确定原始网络请求是否触发SSRF漏洞攻击。
在一些实施例中,装置还包括发起端确定单元,被配置成基于网络请求包含的第一字段信息,确定网络请求的发起端是否为服务端。
第三方面,本公开的实施例提供了一种设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面任一实施例中的方法。
第四方面,本公开的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如第一方面任一实施例中的方法。
本公开的实施例用于确定SSRF漏洞的方法和装置,首先获取网络请求,若网络请求的发起端为服务端,则采用测试地址替换网络请求中的目标地址,得到修改后的网络请求,其中测试地址包括位于内网的网络漏洞测试平台的地址;向目标应用发送修改后的网络请求;最后基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞。在这一过程中,将发起端为服务端的网络请求中的目标地址,人为地替换为非法的、目标应用不允许访问的位于内网的测试地址,并向目标应用发送修改后的网络请求,以模拟真实的SSRF漏洞攻击;之后,基于测试地址所指示的应用是否收到修改后的网络请求,确定模拟真实的SSRF漏洞攻击是否可以到达攻击地址,并根据该模拟真实的SSRF漏洞攻击是否可以到达攻击地址来确定目标应用是否存在SSRF漏洞,相当于采用了模拟SSRF漏洞攻击的结果作为真实SSRF漏洞攻击的结果,能够极大地减少误报,大幅度降低人力和时间成本。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一些实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的用于确定SSRF漏洞的方法的一个实施例的流程图;
图3是根据本公开的用于确定SSRF漏洞的方法的又一个实施例的流程图;
图4是根据本公开的用于确定SSRF漏洞的装置的一个实施例的结构示意图;
图5是适于用来实现本公开的实施例的设备的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的实施例的网页生成方法或网页生成装置的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、外部服务器103,网络104、服务器集群105。
外部服务器103可以通过网络104与终端设备101、102以及服务器集群中的中间服务器1051进行交互,以将终端设备发送的请求转发至服务器集群中的中间服务器1051,并将中间服务器1051返回的响应转发至终端设备101、102。
服务器集群105中可以包括中间服务器1051、内部服务器1053、1054等。中间服务器1051既可对外与终端设备或外部服务器通信,又可对内与内网1052内的内部服务器1053、1054或图中未示出的内网内的其他内部服务器通信,实现对访问内部服务器1053、1054或其它内部服务器的请求进行过滤或者限制。内部服务器1053、1054可以通过内网1052与中间服务器1051交互,也可以通过内网1052与内网1052内的任意一个其它内部服务器进行交互。
网络104用以在终端设备101、102、外部服务器103和中间服务器1051之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。内网1052用以在中间服务器1051和内部服务器1053、服务器1054或图中未示出的其它内部服务器之间提供通信链路的介质。内网1052可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102直接通过网络104与中间服务器1051交互,以接收或发送消息等。用户也可以使用终端设备101、102通过网络104、外部服务器103与中间服务器1051交互,以接收或发送消息等。终端设备101、102上可以安装有各种通讯客户端应用,例如网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102可以是硬件,也可以是软件。当终端设备101、102为硬件时,可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。当终端设备101、102为软件时,可以安装在上述所列举的电子设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
需要说明的是,本公开的实施例所提供的用于确定SSRF漏洞的方法可以由独立于服务器集群105之外的外部服务器103或终端101、102执行。相应地,用于确定SSRF漏洞的装置可以设置于独立于服务器集群105之外的外部服务器103或终端设备101、102上,在此不做具体限定。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络、外部服务器、内网和服务器集群的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、外部服务器、网络和服务器集群,其中,服务器集群中可以具有任意数目的中间服务器和内部服务器。
继续参考图2,示出了根据本公开的用于确定SSRF漏洞的方法的一个实施例的流程200。该用于确定SSRF漏洞的方法,包括以下步骤:
步骤201,获取网络请求。
在本实施例中,用于确定SSRF漏洞的方法的执行主体(例如图1所示的终端101、102或外部服务器103),可以通过有线连接方式或者无线连接方式从用户利用其进行请求资源的终端接收获取请求资源的当前网络请求;或者从中间服务器1051的本地日志中获取请求资源的网络请求。
上述网络请求包括了用于获取请求资源的HTTP请求中的GET请求或POST请求等等。实践中,GET请求或者POST请求中包含用于表明资源请求信息的字段,如用于表明被请求资源的主机或者端口号的HOST字段,用于表明发起端的User-Agent字段,用于表明请求来源的Referer字段等等。
需要指出的是,上述无线连接方式可以包括但不限于3G/4G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
在本实施例中,执行主体可从日志中获取网络请求,从而使获得的网络请求更加全面,基于获得的更加全面的网络请求,可以更加准确地确定目标应用是否存在SSRF漏洞。
步骤202,若网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求;其中,测试地址包括位于内网的网络漏洞测试平台的地址。
在本实施例中,测试地址用于表明位于内网中的设备包含的用于测试网络漏洞的应用在内网中的地址,可以是用于表明预先在内网搭建的网络漏洞测试平台的地址。例如预先在内网中搭建一个DNSlog服务平台,DNSlog服务平台的对应地址(域名或者IP)即可作为测试地址。
在本实施例中,网络请求中的目标地址是网络请求所请求访问的位置、应用或文件的域名或者IP。目标地址可以是基于网络请求包含的第二字段信息如域名字段或者IP字段确定的地址信息。
上述执行主体可以将请求发送至用于判断请求发起端的服务,来确定网络请求的发起端是否为服务端,若网络请求的发起端为服务端,则采用测试地址替换网络请求中的目标地址,得到修改后的网络请求。
在本实施例的一些可选的实现方式中,执行主体可以基于所述网络请求包含的第一字段信息,确定所述网络请求的发起端是否为服务端,若于网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求。
具体地,执行主体可以基于用于表明发起端的User-Agent字段,确定User-Agent字段中是否有可用于表明发起端是服务端的关键字,比如curl、libcurl、wget、git等关键字,如果包含上述关键字,则可确定网络请求的发起端是服务端;还可以是基于用于表明发起端的User-Agent字段信息,确定User-Agent字段中是否不包含有可用于表明发起端是浏览器端关键字比如Mozilla,如果不包含上述关键字,则可确定网络请求的发起端是服务端。
本实现方式中,执行主体基于网络请求包含的第一字段信息确定网络请求的发起端是否为服务端,若网络请求的发起端为服务端,则采用测试地址替换网络请求中的目标地址,得到修改后的网络请求,能够降低确定SSRF漏洞的时间成本。
步骤203,向目标应用发送修改后的网络请求。
在本实施例中,目标应用可以是安装于中间服务器上的用于接收外部请求并进行响应的应用。例如目标应用可以是如图1所示的中间服务器1051上接收外部请求并对外部请求进行响应的应用,执行主体可向中间服务器1051上的目标应用发送修改后的网络请求。
步骤204,基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞。
在本实施例中,基于步骤203,网络请求通过目标应用访问位于内网中的网络漏洞测试平台,而后执行主体基于位于内网中的网络漏洞测试平台是否收到了对应的访问请求,确定目标应用是否存在SSRF漏洞。在一个具体的示例中,上述执行主体可以采用脚本语言使网络请求自动地访问目标应用,并根据上述测试地址所指示的应用的通知或上述执行主体对测试地址所指示的应用进行查询的结果,来判断位于内网中的网络漏洞测试平台是否收到了对应的访问请求。
在本实施例一些可选的实现方式中,上述执行主体可以直接基于位于内网中的网络漏洞测试平台是否收到了对应的访问请求来确定目标应用是否存在SSRF漏洞。例如,上述执行主体可以基于网络漏洞测试平台没有收到网络请求,确定目标应用不存在SSRF漏洞;还可以基于测试地址所指示的应用收到网络请求,确定目标应用存在SSRF漏洞。
在上述执行主体在确认测试地址所指示的位于内网中的网络漏洞测试平台收到了对应的访问请求之后,可以直接将目标应用存在SSRF漏洞作为确定结果进行输出,也可以更进一步的对目标应用存在SSRF漏洞进行进一步的分析,再根据进一步分析的结果确定目标应用是否存在SSRF漏洞。
本公开的上述实施例提供的方法,首先获取网络请求,若网络请求的发起端为服务端,则采用测试地址替换网络请求中的目标地址,得到修改后的网络请求,其中测试地址包括位于内网的网络漏洞测试平台的地址;向目标应用发送修改后的网络请求;最后基于测试地址所指示的应用是否收到修改后的网络请求,直接确定目标应用是否存在SSRF漏洞,能够极大地减少误报,降低人力和时间成本。
进一步参考图3,其示出了用于确定SSRF漏洞的方法的又一个实施例的流程300。该用于确定SSRF漏洞的方法流程300,包括以下步骤:
步骤301,获取网络请求。
在本实施例中,用于确定SSRF漏洞的方法的执行主体(例如图1所示的终端101、102或外部服务器103),可以通过有线连接方式或者无线连接方式从用户利用其进行请求资源的终端接收获取请求资源的当前网络请求;或者从中间服务器1051的本地日志中获取请求资源的网络请求。
上述网络请求包括了用于获取请求资源的HTTP请求中的GET请求或POST请求等等。实践中,GET请求或者POST请求中包含用于表明资源请求信息的字段,如用于表明被请求资源的主机或者端口号的HOST字段,用于表明发起端的User-Agent字段,用于表明请求来源的Referer字段等等。
在本实施例中,执行主体可从日志中获取网络请求,从而使获得的网络请求更加全面,基于获得的更加全面的网络请求,可以更加准确地确定目标应用是否存在SSRF漏洞。
步骤302,若网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求;其中,测试地址包括位于内网的网络漏洞测试平台的地址。
在本实施例中,测试地址用于表明位于内网中的设备包含的用于测试网络漏洞的应用在内网中的地址,可以是用于表明预先在内网搭建的网络漏洞测试平台的地址。例如预先在内网中搭建一个DNSlog服务平台,DNSlog服务平台的对应地址(域名或者IP)即可作为测试地址。
在本实施例中,网络请求中的目标地址是网络请求所请求访问的位置、应用或文件的域名或者IP。目标地址可以是基于网络请求包含的第二字段信息如域名字段或者IP字段确定的地址信息。
在本实施例的一些可选的实现方式中,执行主体可以基于所述网络请求包含的第一字段信息,确定所述网络请求的发起端是否为服务端,若网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求。
执行主体可基于用于表明发起端的User-Agent字段,确定User-Agent字段中是否有可用于表明发起端是服务端的关键字,比如curl、libcurl、wget、git等关键字,如果包含上述关键字,则可确定网络请求的发起端是服务端;还可以是基于用于表明发起端的User-Agent字段信息,确定User-Agent字段中是否不包含有可用于表明发起端是浏览器端关键字比如Mozilla,如果不包含上述关键字,则可确定网络请求的发起端是服务端。
在本实施例中,执行主体基于所述网络请求包含的第一字段信息,确定网络请求的发起端是否为服务端,若网络请求的发起端为服务端,采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求,能够降低确定SSRF漏洞的时间成本。
备选的,执行主体还可以将请求发送至用于判断请求发起端的服务,来确定网络请求的发起端是否为服务端,若网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求。
步骤303,向目标应用发送修改后的网络请求。
在本实施例中,在本实施例中,目标应用可以是既可与内网内的内部服务器进行通信,又可与内网外的终端设备或外部服务器进行通信的服务器,例如目标应用可以是如图1所示的中间服务器1051,执行主体可向中间服务器1051发送修改后的网络请求。
步骤304,若测试地址所指示的应用收到修改后的网络请求,基于网络请求中用于表示请求来源的信息,确定网络请求所对应的原始网络请求。
在本实施例中,基于步骤303,网络请求通过目标应用访问位于内网中的网络漏洞测试平台,执行主体判断位于内网中的网络漏洞测试平台是否收到了对应的访问请求,若位于内网中的网络漏洞测试平台收到了对应的访问请求,则确定网络请求所对应的原始网络请求,以便根据原始网络请求确定目标应用是否存在SSRF漏洞。
其中,在确定网络请求所对应的原始网络请求时,可以基于网络请求包含的用于表示请求来源的第三字段信息,确定网络请求所对应的原始网络请求。第三字段信息可以是Referer字段,执行主体通过Referer字段可以确定网络请求的触发域,根据触发域确定原始网络请求。
在一个具体示例中,上述执行主体可以采用脚本语言使网络请求自动地访问目标应用,并根据上述测试地址所指示的应用的通知或上述执行主体对测试地址所指示的应用进行查询的结果,来判断位于内网中的网络漏洞测试平台是否收到了对应的访问请求。
步骤305,基于原始网络请求,确定原始网络请求是否触发SSRF漏洞攻击。
在本实施例中,通过步骤304确定原始网络请求后,上述执行主体可以基于预设的验证规则验证原始网络请求是否触发SSRF漏洞攻击。其中,预设的验证规则可以为本领域技术人员根据经验或应用场景预先设置的用于验证原始网络请求是否触发SSRF漏洞攻击的规则。或者,上述执行主体还可以通过向检测人员呈现原始网络请求和对原始网络请求进行判定的请求,基于检测人员输入的对原始网络请求的判定结果,确定原始网络请求是否触发SSRF漏洞攻击。
步骤306,响应于确定原始网络请求是否触发SSRF漏洞攻击的结果指示原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
在本实施例中,若执行主体已确定原始网络请求触发SSRF漏洞攻击,则目标应用存在SSRF漏洞,若原始网络请求不触发SSRF漏洞攻击,则目标应用不存在SSRF漏洞。
本公开的上述实施例提供的方法,根据获取的网络请求,确定网络请求对应的原始网络请求,再对原始网络请求进行分析验证,确定目标应用是否存在漏洞,能够更加准确的确定目标应用是否存在漏洞,极大地减少了误报,大幅度降低了人力和时间成本。
进一步参考图4,作为对上述各图所示方法的实现,本公开提供了一种用于确定SSRF漏洞的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例的用于确定SSRF漏洞的装置400包括:获取单元401、修改单元402、发送单元403和确定单元404。其中,获取单元401,被配置成获取网络请求;修改单元402,被配置成若网络请求的发起端为服务端,则采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求;其中,测试地址包括位于内网的网络漏洞测试平台的地址;发送单元403,被配置成向目标应用发送修改后的网络请求;而确定单元404,被配置成基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞。
在本实施例一些可选的实现方式中,确定单元404被配置成基于网络漏洞测试平台收到修改后的网络请求,确定目标应用存在SSRF漏洞。
在本实施例一些可选的实现方式中,确定单元404还被配置成若网络漏洞测试平台收到修改后的网络请求,则基于网络请求中用于表示请求来源的信息,确定网络请求所对应的原始网络请求;基于原始网络请求,确定原始网络请求是否触发SSRF漏洞攻击;确定原始网络请求是否触发SSRF漏洞攻击的结果指示原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
在本实施例一些可选的实现方式中,可以基于预设的验证规则验证原始网络请求是否触发SSRF漏洞攻击;或向检测人员呈现原始网络请求和对原始网络请求进行判定的请求,基于检测人员输入的对原始网络请求的判定结果,确定原始网络请求是否触发SSRF漏洞攻击。
在本实施例一些可选的实现方式中,可以基于网络请求包含的第一字段信息,确定网络请求的发起端是否为服务端,还可以将请求发送至用于判断请求发起端的服务,来确定网络请求的发起端是否为服务端。
应当理解,装置400中记载的各个单元与参考图2-图3描述的方法中记载的各个步骤相对应。由此,上文针对方法描述的操作和特征同样适用于装置400及其中包含的各个单元,在此不再赘述。
下面参考图5,其示出了适于用来实现本公开的实施例的设备500的结构示意图。图5示出的设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图5所示,设备500可以包括处理装置(例如中央处理器)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有电子设备500操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
通常,以下装置可以连接至I/O接口505:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置506;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置507;包括例如磁带、硬盘等的存储装置508;以及通信装置509。通信装置509可以允许电子设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备500,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图5中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置509从网络上被下载和安装,或者从存储装置508被安装,或者从ROM 502被安装。在该计算机程序被处理装置501执行时,执行本公开的实施例的方法中限定的上述功能。需要说明的是,本公开的实施例的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取网络请求;若网络请求的发起端为服务端,采用测试地址,替换网络请求中的目标地址,得到修改后的网络请求;其中,测试地址包括位于内网的网络漏洞测试平台的地址;向目标应用发送修改后的网络请求;基于测试地址所指示的应用是否收到修改后的网络请求,确定目标应用是否存在SSRF漏洞。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的实施例的操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元、修改单元、发送单元和确定单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,获取单元还可以被描述为获取网络请求的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种用于确定SSRF漏洞的方法,包括:
获取网络请求;
若所述网络请求的发起端为服务端,则采用测试地址替换所述网络请求中的目标地址,得到修改后的网络请求;其中,所述测试地址包括位于内网的网络漏洞测试平台的地址;
向目标应用发送所述修改后的网络请求;
基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞;
其中,所述方法还包括:
基于所述网络请求包含的第一字段信息,确定所述网络请求的发起端是否为服务端,包括:响应于确定所述网络请求中的第一字段信息包含用于表明发起端是服务器的预设关键字,确定所述网络请求的发起端为服务端。
2.根据权利要求1所述的方法,其中,所述基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞包括:
若所述网络漏洞测试平台收到所述修改后的网络请求,则确定目标应用存在SSRF漏洞。
3.根据权利要求1所述的方法,其中,所述基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞包括:
若所述测试地址所指示的应用收到所述修改后的网络请求,则基于所述网络请求中用于表示请求来源的信息,确定所述网络请求所对应的原始网络请求;
基于所述原始网络请求,确定所述原始网络请求是否触发SSRF漏洞攻击;
响应于确定所述原始网络请求是否触发SSRF漏洞攻击的结果指示所述原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
4.根据权利要求3所述的方法,其中,所述基于所述原始网络请求,确定所述原始网络请求是否触发SSRF漏洞攻击,包括:
基于预设的验证规则验证所述原始网络请求是否触发SSRF漏洞攻击;或
向检测人员呈现所述原始网络请求和对所述原始网络请求进行判定的请求,基于所述检测人员输入的对所述原始网络请求的判定结果,确定所述原始网络请求是否触发SSRF漏洞攻击。
5.一种用于确定SSRF漏洞的装置,包括:
获取单元,被配置成获取网络请求;
修改单元,被配置成若所述网络请求的发起端为服务端,则采用测试地址,替换所述网络请求中的目标地址,得到修改后的网络请求;其中,所述测试地址包括位于内网的网络漏洞测试平台的地址;
发送单元,被配置成向目标应用发送所述修改后的网络请求;
确定单元,被配置成基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞;
其中,所述装置还包括:
发起端确定单元,被配置成基于所述网络请求包含的第一字段信息,确定所述网络请求的发起端是否为服务端,包括:响应于确定所述网络请求中的第一字段信息包含用于表明发起端是服务器的预设关键字,确定所述网络请求的发起端为服务端。
6.根据权利要求5所述的装置,其中,所述确定单元包括:
第一确定模块,被配置成若所述网络漏洞测试平台收到所述修改后的网络请求,则确定目标应用存在SSRF漏洞。
7.根据权利要求5所述的装置,其中,所述确定单元包括:
请求确定模块,被配置成若所述测试地址所指示的应用收到所述修改后的网络请求,则基于所述网络请求中用于表示请求来源的信息,确定所述网络请求所对应的原始网络请求;
触发确定模块,被配置成基于所述原始网络请求,确定所述原始网络请求是否触发SSRF漏洞攻击;
漏洞确定模块,被配置成响应于确定所述原始网络请求是否触发SSRF漏洞攻击的结果指示所述原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
8.根据权利要求7所述的装置,其中,所述触发确定模块进一步被配置成:
基于预设的验证规则验证所述原始网络请求是否触发SSRF漏洞攻击;或
向检测人员呈现所述原始网络请求和对所述原始网络请求进行判定的请求,基于所述检测人员输入的对所述原始网络请求的判定结果,确定所述原始网络请求是否触发SSRF漏洞攻击。
9.一种设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-4中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010108100.1A CN111371745B (zh) | 2020-02-21 | 2020-02-21 | 用于确定ssrf漏洞的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010108100.1A CN111371745B (zh) | 2020-02-21 | 2020-02-21 | 用于确定ssrf漏洞的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111371745A CN111371745A (zh) | 2020-07-03 |
| CN111371745B true CN111371745B (zh) | 2022-06-28 |
Family
ID=71211510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010108100.1A Active CN111371745B (zh) | 2020-02-21 | 2020-02-21 | 用于确定ssrf漏洞的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111371745B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539605A (zh) * | 2014-12-23 | 2015-04-22 | 北京奇虎科技有限公司 | 网站xss漏洞检测方法和设备 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025B (zh) * | 2009-07-23 | 2016-02-03 | 北京神州绿盟信息安全科技股份有限公司 | Xss检测方法和设备 |
| CN104881603B (zh) * | 2014-02-27 | 2018-07-03 | 腾讯科技(深圳)有限公司 | 网页重定向漏洞检测方法及装置 |
| CN104735092A (zh) * | 2015-04-22 | 2015-06-24 | 北京瑞星信息技术有限公司 | web漏洞检测的方法及装置 |
| CN106302337B (zh) * | 2015-05-22 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN106339309B (zh) * | 2015-07-14 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 应用程序的测试方法、客户端及系统 |
| CN105516131B (zh) * | 2015-12-04 | 2019-03-26 | 珠海豹趣科技有限公司 | 一种扫描漏洞的方法、装置及电子设备 |
| CN106156634B (zh) * | 2016-07-13 | 2019-06-14 | 成都知道创宇信息技术有限公司 | 一种识别Web程序漏洞的方法 |
| CN108809890B (zh) * | 2017-04-26 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 漏洞检测方法、测试服务器及客户端 |
| CN107347076B (zh) * | 2017-08-23 | 2020-01-17 | 杭州安恒信息技术股份有限公司 | Ssrf漏洞的检测方法及装置 |
| CN108989355B (zh) * | 2018-09-07 | 2021-06-15 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
| CN110011955B (zh) * | 2018-12-06 | 2022-03-04 | 蚂蚁蓉信(成都)网络科技有限公司 | 一种ssrf漏洞或攻击确定、处理方法、装置、设备及介质 |
-
2020
- 2020-02-21 CN CN202010108100.1A patent/CN111371745B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539605A (zh) * | 2014-12-23 | 2015-04-22 | 北京奇虎科技有限公司 | 网站xss漏洞检测方法和设备 |
| CN109428878A (zh) * | 2017-09-01 | 2019-03-05 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、检测装置和检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111371745A (zh) | 2020-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111045756B (zh) | 生成接口服务的方法、装置、计算设备和介质 | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| US20150161390A1 (en) | Fast and accurate identification of message-based api calls in application binaries | |
| CN108989369B (zh) | 对用户请求进行限流的方法及其系统 | |
| CN109376534B (zh) | 用于检测应用的方法和装置 | |
| CN112597047A (zh) | 测试方法、装置、电子设备和计算机可读介质 | |
| US9910724B2 (en) | Fast and accurate identification of message-based API calls in application binaries | |
| CN110688428B (zh) | 用于发布智能合约的方法和装置 | |
| CN111740992A (zh) | 网站安全漏洞检测方法、装置、介质及电子设备 | |
| CN110362488A (zh) | 一种页面测试方法、装置、电子设备及存储介质 | |
| CN111930709A (zh) | 数据存储方法、装置、电子设备和计算机可读介质 | |
| CN114840379A (zh) | 日志生成方法、装置、服务器及存储介质 | |
| CN107766224B (zh) | 测试方法和测试装置 | |
| US9405933B2 (en) | Secure access to running client application features from a browser application | |
| CN113362173A (zh) | 防重机制验证方法、验证系统、电子设备及存储介质 | |
| CN109145591B (zh) | 应用程序的插件加载方法 | |
| CN111767542A (zh) | 一种越权检测方法和装置 | |
| CN111371745B (zh) | 用于确定ssrf漏洞的方法和装置 | |
| CN111338928A (zh) | 基于chrome浏览器测试的方法及装置 | |
| CN112379967B (zh) | 模拟器检测方法、装置、设备及介质 | |
| CN113609516A (zh) | 基于异常用户的信息生成方法、装置、电子设备和介质 | |
| CN108471635B (zh) | 用于连接无线接入点的方法和设备 | |
| CN112882948A (zh) | 一种应用的稳定性测试方法、装置、系统及存储介质 | |
| CN112579428A (zh) | 接口测试的方法、装置、电子设备和存储介质 | |
| CN111831530A (zh) | 测试方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |