CN104732144A - 一种基于伪协议的远程代码注入漏洞检测方法 - Google Patents

一种基于伪协议的远程代码注入漏洞检测方法 Download PDF

Info

Publication number
CN104732144A
CN104732144A CN201510148842.6A CN201510148842A CN104732144A CN 104732144 A CN104732144 A CN 104732144A CN 201510148842 A CN201510148842 A CN 201510148842A CN 104732144 A CN104732144 A CN 104732144A
Authority
CN
China
Prior art keywords
pseudo
character string
agreement
remote code
code injection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510148842.6A
Other languages
English (en)
Other versions
CN104732144B (zh
Inventor
傅晓
王志坚
桂飚
杨家奇
吴昊
王自钊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hohai University HHU
Original Assignee
Hohai University HHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hohai University HHU filed Critical Hohai University HHU
Priority to CN201510148842.6A priority Critical patent/CN104732144B/zh
Publication of CN104732144A publication Critical patent/CN104732144A/zh
Application granted granted Critical
Publication of CN104732144B publication Critical patent/CN104732144B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种基于伪协议的远程代码注入漏洞检测方法,首先构建可执行文件,设定其执行时获得的第一个命令参数为字符串;然后在待检测的对象Web浏览器所在的操作系统中注册伪协议F,其名称为字符串K、内核打开命令为所述可执行文件在操作系统中的路径;接着构造超文本标记语言文件H,其统一资源定位符为字符串K和远程注入代码组成;最后访问H中的统一资源定位符L所指向的地址,通过待检测的对象web服务器是否执行远程注入代码来判断是否存在基于伪协议的远程代码注入漏洞。本发明设计简单,使用方便,具有极高的穿透性,能够发现Web浏览器深度隐藏的远程代码注入漏洞。

Description

一种基于伪协议的远程代码注入漏洞检测方法
技术领域
本发明涉及信息安全中的漏洞检测技术,尤其涉及一种基于伪协议的远程代码注入漏洞检测方法。
背景技术
随着互联网时代的来临,世界全面信息化时代也随之到来。借助以计算机、互联网等先进技术,人们越来越习惯于在各种各样的网站上获得信息和接受服务,Web系统由于其高兼容性和用户友好性,已成为当下互联网信息系统中最主流的系统类型。于此同时,Web系统的安全性也正面临严峻的挑战。
Web系统通常由Web浏览器和Web服务器两部分组成,浏览器和服务器之间使用超文本传输协议(Hyper Text Transfer Protocol, HTTP)进行信息交互。由于HTTP协议的开放性,攻击者可以模拟Web服务器的响应,通过构造特定的HTTP数据远程向客户端的Web浏览器注入恶意代码并执行,从而危害客户端计算机系统的安全性,以实现信息窃取、系统劫持等目的。这类攻击通常被称为远程代码注入攻击(Remote Code Injection),可被攻击者利用进行此类攻击的漏洞被称为远程代码注入漏洞(Remote Code Injection Exploit)。
目前大多数网络防火墙、入侵检测系统等安全工具,针对某些远程代码注入漏洞,如跨站脚本(Cross-Site Script,XSS)等,提供有效的检测与预防手段。但是,对于利用伪协议(URL Protocol)实施的远程代码注入,目前尚未引起安全行业内相关厂商的足够重视。
发明内容
本发明所要解决的技术问题是针对背景技术中所涉及的问题,提供一种基于Web伪协议的远程代码注入漏洞检测方法,用以检测Web浏览器是否有潜在的远程代码注入漏洞,进而增强Web系统的安全性。
本发明为解决上述技术问题采用以下技术方案:
一种基于伪协议的远程代码注入漏洞检测方法,检测流程步骤为:
步骤1),构建可执行文件,并设定其执行时获得的第一个命令参数为字符串、编码格式为E;所述可执行文件接收到参数后,根据编码格式E调用相应的解码算法将参数解码后作为命令参数执行;
步骤2),构建命令行字符串CM为远程注入代码;
步骤3),根据编码格式E调用相应的编码算法对命令行字符串CM进行编码;
步骤4),在待检测的对象Web浏览器所在的操作系统中注册伪协议F,其中,伪协议F的名称为字符串K、内核打开命令为所述可执行文件在操作系统中的路径;
步骤5),将字符串K尾部添加协议标识符“://”之后,得到字符串KP;
步骤6),将经过编码后的命令行字符串CM附加到字符串KP尾部,得到字符串L;
步骤7),构造超文本标记语言文件H,将字符串L作为其统一资源定位符;
步骤8),采用待检测的对象Web浏览器打开超文本标记语言文件H,并访问统一资源定位符L所指向的地址;
步骤8.1),若浏览器执行命令行字符串CM,判断待检测的对象 Web浏览器存在基于伪协议的远程代码注入漏洞;
步骤8.2),若浏览器没有执行命令行字符串CM,判断待检测的对象Web浏览器不存在基于伪协议的远程代码注入漏洞。
作为本发明一种基于伪协议的远程代码注入漏洞检测方法进一步的优化方案,所述Web服务器采用机架式服务器。
作为本发明一种基于伪协议的远程代码注入漏洞检测方法进一步的优化方案,所述Web服务器的型号为联想万全R520 G7。
作为本发明一种基于伪协议的远程代码注入漏洞检测方法进一步的优化方案,所述Web服务器采用塔式服务器。
作为本发明一种基于伪协议的远程代码注入漏洞检测方法进一步的优化方案,所述Web服务器的型号为联想万全T260 G3。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
本发明设计简单,使用方便,通过编写特定的伪协议地址,可绕过Web浏览器端的漏洞检测措施实施远程代码注入,具有极高的穿透性,能够发现Web浏览器深度隐藏的远程代码注入漏洞。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
如图1所示,本发明公开了一种基于伪协议的远程代码注入漏洞检测方法,步骤如下:
步骤101:构建可执行文件P,集成开发环境为Microsoft Visual Studio .Net 2008,使用语言为C#。可执行文件P算法流程如步骤102到步骤103所示:
步骤102:设定P执行时获得的第一个命令参数的类型为字符串。设定编码格式E为“base64”,类型为字符串。P接收到参数时,调用base64解码算法将参数解码后作为命令参数执行。
步骤103:在检测对象Web浏览器所在操作系统中注册伪协议F,此处选取浏览器为Microsoft Internet Explorer 8,操作系统为Windows 7,伪协议F的名称为字符串K,K的值为“ed2k”,因此在操作系统注册表中HKEY_CLASSES_ROOT节点下添加名称为ed2k的新节点;伪协议F的内核打开命令为步骤101中编写的可执行文件P在文件系统中的路径,因此在操作系统注册表中节点HKEY_CLASSES_ROOT\ed2k节点下创建新节点\Shell\Open\command,并设该节点的值为可执行文件P在文件系统中的路径。
步骤104:构造超文本标记语言文件H,H的内容如下所示:
<html>
<body>
<a href="ed2k://Y21k"> ed2k://Y21k </a>
</body>
</html>
其中,统一资源定位符“ed2k://Y21k”由步骤105到步骤107生成:
步骤 105:设命令行字符串CM,其值为“cmd”,其含义是执行windows命令行程序,该字符串即为远程注入代码。由于步骤102中的编码格式E值为“base64”,因此调用base64编码算法将CM编码为“Y21k”,即即将传递给可执行文件P的参数;
步骤 106: 将步骤104中得到的字符串K尾部添加协议标识符“://”之后,得到字符串KP,KP的值为“ed2k://”;
步骤 107: 将步骤105中得到的编码后的命令行字符串CM附加到步骤107中得到的字符串KP尾部,得到字符串“ed2k://Y21k”,即所述统一资源定位符。
步骤 108:使用检测对象Web浏览器,即步骤103中所述的Microsoft Internet Explorer 8,打开步骤104中构造的超文本标记语言文件H,并在浏览器图形界面中点击所显示的链接,Web浏览器将会自动执行步骤105中的命令行字符串CM,打开windows命令行程序窗口。因此,说明该Web浏览器存在基于Web浏览器帮助对象的远程代码注入漏洞。
所述Web服务器可以采用机架式服务器,优先采用联想万全R520 G7。
所述Web服务器也可以采用塔式服务器,优先采用联想万全T260 G3。
本技术领域技术人员可以理解的是,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于伪协议的远程代码注入漏洞检测方法,其特征在于,检测流程步骤为:
步骤1),构建可执行文件,并设定其执行时获得的第一个命令参数为字符串、编码格式为E;所述可执行文件接收到参数后,根据编码格式E调用相应的解码算法将参数解码后作为命令参数执行;
步骤2),构建命令行字符串CM为远程注入代码;
步骤3),根据编码格式E调用相应的编码算法对命令行字符串CM进行编码;
步骤4),在待检测的对象Web浏览器所在的操作系统中注册伪协议F,其中,伪协议F的名称为字符串K、内核打开命令为所述可执行文件在操作系统中的路径;
步骤5),将字符串K尾部添加协议标识符“://”之后,得到字符串KP;
步骤6),将经过编码后的命令行字符串CM附加到字符串KP尾部,得到字符串L;
步骤7),构造超文本标记语言文件H,将字符串L作为其统一资源定位符;
步骤8),采用待检测的对象Web浏览器打开超文本标记语言文件H,并访问统一资源定位符L所指向的地址;
步骤8.1),若浏览器执行命令行字符串CM,判断待检测的对象 Web浏览器存在基于伪协议的远程代码注入漏洞;
步骤8.2),若浏览器没有执行命令行字符串CM,判断待检测的对象Web浏览器不存在基于伪协议的远程代码注入漏洞。
2.根据权利要求1所述的基于伪协议的远程代码注入漏洞检测方法,其特征在于,所述Web服务器采用机架式服务器。
3.根据权利要求2所述的基于伪协议的远程代码注入漏洞检测方法,其特征在于,所述Web服务器的型号为联想万全R520 G7。
4.根据权利要求1所述的基于伪协议的远程代码注入漏洞检测方法,其特征在于,所述Web服务器采用塔式服务器。
5.根据权利要求4所述的基于伪协议的远程代码注入漏洞检测方法,其特征在于,所述Web服务器的型号为联想万全T260 G3。
CN201510148842.6A 2015-04-01 2015-04-01 一种基于伪协议的远程代码注入漏洞检测方法 Active CN104732144B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510148842.6A CN104732144B (zh) 2015-04-01 2015-04-01 一种基于伪协议的远程代码注入漏洞检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510148842.6A CN104732144B (zh) 2015-04-01 2015-04-01 一种基于伪协议的远程代码注入漏洞检测方法

Publications (2)

Publication Number Publication Date
CN104732144A true CN104732144A (zh) 2015-06-24
CN104732144B CN104732144B (zh) 2017-06-23

Family

ID=53456024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510148842.6A Active CN104732144B (zh) 2015-04-01 2015-04-01 一种基于伪协议的远程代码注入漏洞检测方法

Country Status (1)

Country Link
CN (1) CN104732144B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109508548A (zh) * 2018-11-19 2019-03-22 四川长虹电器股份有限公司 一种基于仿真器技术的威胁行为搜集系统及方法
CN110300119A (zh) * 2019-07-09 2019-10-01 国家计算机网络与信息安全管理中心 一种漏洞验证的方法及电子设备
CN113704659A (zh) * 2021-09-08 2021-11-26 杭州默安科技有限公司 一种设备终端访问标记方法和系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101154185A (zh) * 2007-08-27 2008-04-02 电子科技大学 软件运行时执行恢复与重放方法
CN101984409A (zh) * 2010-11-10 2011-03-09 南京南瑞继保电气有限公司 一种用于Linux系统测试代码注入的方法
WO2011073982A1 (en) * 2009-12-15 2011-06-23 Seeker Security Ltd. Method and system of runtime analysis
CN102156832A (zh) * 2011-03-25 2011-08-17 天津大学 一种Firefox扩展的安全缺陷检测方法
CN102546576A (zh) * 2010-12-31 2012-07-04 北京启明星辰信息技术股份有限公司 一种网页挂马检测和防护方法、系统及相应代码提取方法
CN102646135A (zh) * 2012-03-31 2012-08-22 奇智软件(北京)有限公司 一种网页收藏方法、装置及系统
CN103218561A (zh) * 2013-03-18 2013-07-24 珠海市君天电子科技有限公司 一种保护浏览器的防篡改方法和装置
CN103413092A (zh) * 2013-09-10 2013-11-27 深圳市共进电子股份有限公司 一种网络终端禁止恶意代码注入的方法
US20140173731A1 (en) * 2007-07-27 2014-06-19 Redshift Internetworking, Inc. System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140173731A1 (en) * 2007-07-27 2014-06-19 Redshift Internetworking, Inc. System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
CN101154185A (zh) * 2007-08-27 2008-04-02 电子科技大学 软件运行时执行恢复与重放方法
WO2011073982A1 (en) * 2009-12-15 2011-06-23 Seeker Security Ltd. Method and system of runtime analysis
CN101984409A (zh) * 2010-11-10 2011-03-09 南京南瑞继保电气有限公司 一种用于Linux系统测试代码注入的方法
CN102546576A (zh) * 2010-12-31 2012-07-04 北京启明星辰信息技术股份有限公司 一种网页挂马检测和防护方法、系统及相应代码提取方法
CN102156832A (zh) * 2011-03-25 2011-08-17 天津大学 一种Firefox扩展的安全缺陷检测方法
CN102646135A (zh) * 2012-03-31 2012-08-22 奇智软件(北京)有限公司 一种网页收藏方法、装置及系统
CN103218561A (zh) * 2013-03-18 2013-07-24 珠海市君天电子科技有限公司 一种保护浏览器的防篡改方法和装置
CN103413092A (zh) * 2013-09-10 2013-11-27 深圳市共进电子股份有限公司 一种网络终端禁止恶意代码注入的方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109508548A (zh) * 2018-11-19 2019-03-22 四川长虹电器股份有限公司 一种基于仿真器技术的威胁行为搜集系统及方法
CN110300119A (zh) * 2019-07-09 2019-10-01 国家计算机网络与信息安全管理中心 一种漏洞验证的方法及电子设备
CN110300119B (zh) * 2019-07-09 2021-09-14 国家计算机网络与信息安全管理中心 一种漏洞验证的方法及电子设备
CN113704659A (zh) * 2021-09-08 2021-11-26 杭州默安科技有限公司 一种设备终端访问标记方法和系统
CN113704659B (zh) * 2021-09-08 2023-07-11 杭州默安科技有限公司 一种设备终端访问标记方法和系统

Also Published As

Publication number Publication date
CN104732144B (zh) 2017-06-23

Similar Documents

Publication Publication Date Title
CN101964025B (zh) Xss检测方法和设备
JP6624771B2 (ja) クライアントベースローカルマルウェア検出方法
US8819819B1 (en) Method and system for automatically obtaining webpage content in the presence of javascript
CN103095681B (zh) 一种检测漏洞的方法及装置
CN109413050B (zh) 一种访问速率自适应的互联网漏洞信息采集方法及系统
CN102831345B (zh) Sql注入漏洞检测中的注入点提取方法
CN104767747A (zh) 点击劫持安全检测方法和装置
US20110307951A1 (en) System and method for blocking the transmission of sensitive data using dynamic data tainting
CN105760379B (zh) 一种基于域内页面关联关系检测webshell页面的方法及装置
US20140173736A1 (en) Method and system for detecting webpage Trojan embedded
CN101895516B (zh) 一种跨站脚本攻击源的定位方法及装置
CN103152323B (zh) 控制客户端网络访问行为的方法及系统
CN102999723B (zh) 主动防御xss攻击的数据防御组件生成方法及其装置
CN102819710A (zh) 基于渗透测试的跨站点脚本漏洞检测方法
CN105959324A (zh) 基于正则匹配的网络攻击检测方法及装置
CN103856493A (zh) 跨域登录系统及方法
CN103856442A (zh) 一种黑链检测方法、装置和系统
Wang et al. A new cross-site scripting detection mechanism integrated with HTML5 and CORS properties by using browser extensions
CN104243475A (zh) 基于web反向代理的动态混淆的方法及系统
CN104732144A (zh) 一种基于伪协议的远程代码注入漏洞检测方法
CN102780684A (zh) Xss防御系统
CN105471821B (zh) 一种基于浏览器的信息处理方法及装置
CN104850789A (zh) 一种基于Web浏览器帮助对象的远程代码注入漏洞检测方法
CN114357457A (zh) 漏洞检测方法、装置、电子设备和存储介质
CN110708308B (zh) 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant