CN107846407A - 一种批量检测ssrf漏洞的方法及系统 - Google Patents
一种批量检测ssrf漏洞的方法及系统 Download PDFInfo
- Publication number
- CN107846407A CN107846407A CN201711102365.5A CN201711102365A CN107846407A CN 107846407 A CN107846407 A CN 107846407A CN 201711102365 A CN201711102365 A CN 201711102365A CN 107846407 A CN107846407 A CN 107846407A
- Authority
- CN
- China
- Prior art keywords
- ssrf
- url
- file
- response
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种批量检测SSRF漏洞的方法及系统,采集含有关键字的URL或手动导入需要检测的URL的文件,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,手动输入SSRF攻击荷载或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
Description
技术领域
本发明涉及信息安全的技术领域,具体涉及一种批量检测SSRF漏洞的方法及系统。
背景技术
目前,很多web应用都提供了从其他的服务器上获取数据的功能。比如,用户输入一个URL,web应用可以根据该URL获取图片,下载文件,读取文件内容等。附图1显示的就是提供这种功能的典型web应用(百度识图)。可以看到,在输入框中可以粘贴图片网址。
但是,这个功能如果被恶意使用,攻击者可以利用存在漏洞的web应用作为代理,攻击远程或者本地的服务器。这种形式的攻击称为服务端请求伪造攻击(Server-sideRequest Forgery,SSRF)。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因是由于web应用没有对用户输入的URL和远程服务器返回的信息进行过滤与限制。
攻击者利用SSRF可以实现的攻击主要有5种:(1)可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;(2)攻击运行在内网或本地的应用程序(比如溢出);(3)对内网web应用进行指纹识别,通过访问默认文件实现;(4)攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);(5)利用file协议读取本地文件等。
发明内容
基于上述问题,本发明提出了一种批量检测SSRF漏洞的方法及系统,基于Scrapy框架,提取结构性数据而编写的应用框架,根据响应判断是否存在SSRF漏洞。
本发明提供如下技术方案:
一方面,本发明提供了一种批量检测SSRF漏洞的方法,包括:
步骤101,采集含有关键字的URL或手动导入需要检测的URL的文件;
步骤102,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,所述请求为正常的请求;
步骤103,手动输入SSRF攻击荷载,或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求;若所述第二响应为利用file协议读取本地文件且返回了文件内容,则检测到SSRF漏洞,对所述SSRF漏洞进行标记,执行步骤105;
步骤104,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;
步骤105,检测结束,输出检测结果并保存。
其中,若所述文件为图片,比较所述第一响应和第二响应,两次响应加载的图片不同,则存在SSRF漏洞。
其中,采集含有关键字的URL具体为:输入关键字或手动导入关键字文件,利用搜索引擎,收集含有关键字的URL并生成URL字典;手动导入需要检测的URL的文件为输入该文件的绝对路径。
优选的,所述检测在可视化图形界面中进行。
另外,本发明还提供了一种批量检测SSRF漏洞的系统,所述系统包括:
采集模块,用于采集含有关键字的URL或手动导入需要检测的URL的文件;
正常请求模块,用于读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,所述请求为正常的请求;
荷载请求模块,用于手动输入SSRF攻击荷载,或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求;若所述第二响应为利用file协议读取本地文件且返回了文件内容,则检测到SSRF漏洞,对所述SSRF漏洞进行标记,并转向输出模块输出;
比较模块,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;
输出模块,检测结束时输出检测结果并保存。
其中,若所述文件为图片,比较所述第一响应和第二响应,两次响应加载的图片不同,则存在SSRF漏洞。
其中,采集含有关键字的URL具体为:输入关键字或手动导入关键字文件,利用搜索引擎,收集含有关键字的URL并生成URL字典;手动导入需要检测的URL的文件为输入该文件的绝对路径。
优选的,所述系统包括可视化界面,所述检测在可视化图形界面中进行。
本发明提供了一种批量检测SSRF漏洞的方法及系统,采集含有关键字的URL或手动导入需要检测的URL的文件,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,手动输入SSRF攻击荷载或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
附图说明
图1是本发明的方法流程图;
图2是本发明的系结构框图。
具体实施方式
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
本发明可以批量检测web应用是否存在SSRF漏洞。很多web应用提供了从其他服务器应用获取数据的功能,但是没有对用户输入的URL进行过滤与限制,导致web应用存在SSRF漏洞。比如,访问http://www.example.com/api/get.php?url=file:///etc/passwd可读取本地/etc/passwd文件。
本发明基于Scrapy框架。Scrapy是一个为了爬取网站数据,提取结构性数据而编写的应用框架。利用该框架,可以实现访问搜索引擎网站,根据关键字进行收集URL,并生成URL字典的功能。同时,利用该框架,可以实现访问每一个需要检测的URL(正常的请求与包含SSRF攻击荷载的请求),并获取服务器端的响应,根据响应判断是否存在SSRF漏洞的功能。
本发明支持采集含有关键字的URL(利用搜索引擎),并生成URL字典(urls.txt)。本发明同时支持手动导入需要检测的多个URL的文件。渗透测试工程师可以选择其中一种方法。第一种方法能够批量检测包含同一关键字的多个URL。第二种方法能够手动、灵活配置需要检测的URL。
在需要对多个web应用进行SSRF漏洞测试时,渗透测试工程师可以利用本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
基于上述,一方面,本发明的实施方式提供了一种批量检测SSRF漏洞的方法,附图1为本发明的方法流程图,附图2为本发明的系统结构框图,包括:
步骤101,采集含有关键字的URL或手动导入需要检测的URL的文件;
首先选择采集含有关键字的URL,或者选择手动导入需要检测的URL的文件。如果选择第一种方法,需要输入关键字,或者手动导入关键字文件,然后利用搜索引擎,收集含有关键字的URL并生成URL字典(urls.txt)。如果选择第二种方法,需要输入该文件的绝对路径。
本发明基于Scrapy框架,易于扩展。使用该框架,可以实现访问搜索引擎网站(比如,baidu,bing,google),采集含有关键字的URL,例如,可以从URL中寻找以下关键字:Share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL、domain。渗透测试工程师可以输入关键字或者手动导入关键字文件。根据关键字搜索完成后,采集匹配关键字的URL,并生成URL字典(urls.txt)。该字典中每一行记录一个URL。然后程序可以读取该URL字典,对于其中的每一个URL,发送HTTP请求,获取服务器端的响应。同时支持手动导入需要检测的URL的文件。渗透测试工程师可以输入文件的绝对路径,然后程序同样可读取该文件,检测其中的每一个URL是否存在SSRF漏洞。
步骤102,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,所述请求为正常的请求;
读取步骤101中的含有一个或多个URL的文件。对于每一个URL,发送HTTP请求,获取服务器端的响应。这时发送的是正常的请求。
步骤103,手动输入SSRF攻击荷载,或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求;若所述第二响应为利用file协议读取本地文件且返回了文件内容,则检测到SSRF漏洞,对所述SSRF漏洞进行标记,执行步骤105;
选择手动输入SSRF攻击荷载(payload),或者选择载入包含多个SSRF攻击荷载的文件(payloads.txt)。再次发送HTTP请求,请求的参数中包含SSRF攻击荷载(payload)。获取服务器端的响应。这时发送的是包含payload的请求。
步骤104,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;
将发送正常的请求时服务器端的响应,与发送包含payload的请求时服务器端的响应相比较。需要根据payload的不同以及服务器端的响应,判断是否存在SSRF漏洞。比如,payload是file:///etc/passwd,即利用file协议读取本地文件/etc/passwd。如果服务器端的响应返回了/etc/passwd文件的内容,则证明存在SSRF漏洞,如果没有返回文件内容,则证明不存在SSRF漏洞。而payload为http://127.0.0.1:8080/phpMyAdmin/themes/original/img/b_tblimport.png的情况时,目的是通过访问该文件来判断phpMyAdmin是否安装。如果服务器端的响应中包含了该文件,则证明存在SSRF漏洞。而如果没有包含该文件,则证明不存在SSRF漏洞。
如果payload为内网另外一台服务器上的文件,比如http://192.168.0.10/123.txt时,如果该文件存在,会在原来的图片处显示文件的内容,如果该文件不存在,一般会显示404Not Found。这时SSRF漏洞的作用是探测内网。由于不知道服务器上是否存在该名称的文件,如果文件也是一幅图片,则需要与正常请求时服务器端的响应比较,两次加载的图片不同,则说明存在SSRF漏洞。这时就需要比较正常请求时的响应与包含payload请求时的响应。
步骤105,检测结束,输出检测结果并保存。
优选的,所述检测在可视化图形界面中进行。
本发明支持采集含有关键字的URL(利用搜索引擎),并生成URL字典(urls.txt)。同时支持手动导入需要检测的多个URL的文件,然后可以选择手动输入SSRF攻击荷载(payload),或者选择载入包含多个SSRF攻击荷载的文件(payloads.txt)。对于每一个URL,根据payload的不同以及服务器端的响应,判断是否存在SSRF漏洞。以上提及的关键字、URL文件以及payload文件均可灵活配置。在需要对多个web应用进行SSRF漏洞测试时,渗透测试工程师可以利用本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
本发明提供了一种批量检测SSRF漏洞的方法,采集含有关键字的URL或手动导入需要检测的URL的文件,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,手动输入SSRF攻击荷载或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
另一方面,本发明的实施方式提供了一种批量检测SSRF漏洞的系统,附图1为本发明的方法流程图,附图2为本发明的系统结构框图,所述系统包括:
采集模块201,用于采集含有关键字的URL或手动导入需要检测的URL的文件;
首先选择采集含有关键字的URL,或者选择手动导入需要检测的URL的文件。如果选择第一种方法,需要输入关键字,或者手动导入关键字文件,然后利用搜索引擎,收集含有关键字的URL并生成URL字典(urls.txt)。如果选择第二种方法,需要输入该文件的绝对路径。
本发明基于Scrapy框架,易于扩展。使用该框架,可以实现访问搜索引擎网站(比如,baidu,bing,google),采集含有关键字的URL,例如,可以从URL中寻找以下关键字:Share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL、domain。渗透测试工程师可以输入关键字或者手动导入关键字文件。根据关键字搜索完成后,采集匹配关键字的URL,并生成URL字典(urls.txt)。该字典中每一行记录一个URL。然后程序可以读取该URL字典,对于其中的每一个URL,发送HTTP请求,获取服务器端的响应。同时支持手动导入需要检测的URL的文件。渗透测试工程师可以输入文件的绝对路径,然后程序同样可读取该文件,检测其中的每一个URL是否存在SSRF漏洞。
正常请求模块202,用于读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,所述请求为正常的请求;
读取步骤101中的含有一个或多个URL的文件。对于每一个URL,发送HTTP请求,获取服务器端的响应。这时发送的是正常的请求。
荷载请求模块203,用于手动输入SSRF攻击荷载,或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求;若所述第二响应为利用file协议读取本地文件且返回了文件内容,则检测到SSRF漏洞,对所述SSRF漏洞进行标记,并转向输出模块输出;
选择手动输入SSRF攻击荷载(payload),或者选择载入包含多个SSRF攻击荷载的文件(payloads.txt)。再次发送HTTP请求,请求的参数中包含SSRF攻击荷载(payload)。获取服务器端的响应。这时发送的是包含payload的请求。
比较模块204,用于比较所述第一响应和第二响应,判断是否存在SSRF漏洞;
将发送正常的请求时服务器端的响应,与发送包含payload的请求时服务器端的响应相比较。需要根据payload的不同以及服务器端的响应,判断是否存在SSRF漏洞。比如,payload是file:///etc/passwd,即利用file协议读取本地文件/etc/passwd。如果服务器端的响应返回了/etc/passwd文件的内容,则证明存在SSRF漏洞,如果没有返回文件内容,则证明不存在SSRF漏洞。而payload为http://127.0.0.1:8080/phpMyAdmin/themes/original/img/b_tblimport.png的情况时,目的是通过访问该文件来判断phpMyAdmin是否安装。如果服务器端的响应中包含了该文件,则证明存在SSRF漏洞。而如果没有包含该文件,则证明不存在SSRF漏洞。
如果payload为内网另外一台服务器上的文件,比如http://192.168.0.10/123.txt时,如果该文件存在,会在原来的图片处显示文件的内容,如果该文件不存在,一般会显示404Not Found。这时SSRF漏洞的作用是探测内网。由于不知道服务器上是否存在该名称的文件,如果文件也是一幅图片,则需要与正常请求时服务器端的响应比较,两次加载的图片不同,则说明存在SSRF漏洞。这时就需要比较正常请求时的响应与包含payload请求时的响应。
输出模块205,检测结束,用于输出检测结果并保存。
优选的,所述系统包括可视化界面,所述检测在可视化图形界面中进行。
本发明支持采集含有关键字的URL(利用搜索引擎),并生成URL字典(urls.txt)。同时支持手动导入需要检测的多个URL的文件,然后可以选择手动输入SSRF攻击荷载(payload),或者选择载入包含多个SSRF攻击荷载的文件(payloads.txt)。对于每一个URL,根据payload的不同以及服务器端的响应,判断是否存在SSRF漏洞。以上提及的关键字、URL文件以及payload文件均可灵活配置。在需要对多个web应用进行SSRF漏洞测试时,渗透测试工程师可以利用本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
本发明提供了一种批量检测SSRF漏洞的系统,采集含有关键字的URL或手动导入需要检测的URL的文件,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,手动输入SSRF攻击荷载或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;本发明快速地检测web应用是否存在SSRF漏洞,提高工作效率。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种批量检测SSRF漏洞的方法,其特征在于:
步骤101,采集含有关键字的URL或手动导入需要检测的URL的文件;
步骤102,读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,所述请求为正常的请求;
步骤103,手动输入SSRF攻击荷载,或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求;若所述第二响应为利用file协议读取本地文件且返回了文件内容,则检测到SSRF漏洞,对所述SSRF漏洞进行标记,执行步骤105;
步骤104,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;
步骤105,检测结束,输出检测结果并保存。
2.根据权利要求1所述的方法,其特征在于:若所述文件为图片,比较所述第一响应和第二响应,两次响应加载的图片不同,则存在SSRF漏洞。
3.根据权利要求1所述的方法,其特征在于:采集含有关键字的URL具体为:输入关键字或手动导入关键字文件,利用搜索引擎,收集含有关键字的URL并生成URL字典;手动导入需要检测的URL的文件为输入该文件的绝对路径。
4.根据权利要求1所述的方法,其特征在于:所述检测在可视化图形界面中进行。
5.一种批量检测SSRF漏洞的系统,其特征在于:所述系统包括:
采集模块,用于采集含有关键字的URL或手动导入需要检测的URL的文件;
正常请求模块,用于读取含有至少一个URL的文件,对于每一个URL,发送HTTP请求,获取服务器端的第一响应,所述请求为正常的请求;
荷载请求模块,用于手动输入SSRF攻击荷载,或选择载入包含多个SSRF攻击荷载的文件,再次发送HTTP请求,请求的参数中包含SSRF攻击荷载,获取服务器端的第二响应,所述请求为包含荷载的请求;若所述第二响应为利用file协议读取本地文件且返回了文件内容,则检测到SSRF漏洞,对所述SSRF漏洞进行标记,并转向输出模块输出;
比较模块,比较所述第一响应和第二响应,判断是否存在SSRF漏洞;
输出模块,检测结束时输出检测结果并保存。
6.根据权利要求5所述的系统,其特征在于:若所述文件为图片,比较所述第一响应和第二响应,两次响应加载的图片不同,则存在SSRF漏洞。
7.根据权利要求5所述的系统,其特征在于:采集含有关键字的URL具体为:输入关键字或手动导入关键字文件,利用搜索引擎,收集含有关键字的URL并生成URL字典;手动导入需要检测的URL的文件为输入该文件的绝对路径。
8.根据权利要求5所述的系统,其特征在于:所述系统包括可视化界面,所述检测在可视化图形界面中进行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711102365.5A CN107846407A (zh) | 2017-11-10 | 2017-11-10 | 一种批量检测ssrf漏洞的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711102365.5A CN107846407A (zh) | 2017-11-10 | 2017-11-10 | 一种批量检测ssrf漏洞的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107846407A true CN107846407A (zh) | 2018-03-27 |
Family
ID=61680952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711102365.5A Pending CN107846407A (zh) | 2017-11-10 | 2017-11-10 | 一种批量检测ssrf漏洞的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107846407A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108959935A (zh) * | 2018-06-25 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种漏洞插件批量执行方法及装置 |
CN109450846A (zh) * | 2018-09-19 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种el表达式注入漏洞批量检测装置及检测方法 |
CN110417796A (zh) * | 2019-08-05 | 2019-11-05 | 杭州安恒信息技术股份有限公司 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
CN110968475A (zh) * | 2019-11-13 | 2020-04-07 | 泰康保险集团股份有限公司 | 监控网页的方法、装置、电子设备及可读存储介质 |
CN110995676A (zh) * | 2019-11-22 | 2020-04-10 | 苏州浪潮智能科技有限公司 | 一种语义攻击型拒绝服务漏洞检测方法 |
CN111818107A (zh) * | 2020-09-14 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
CN114567859A (zh) * | 2022-01-26 | 2022-05-31 | 银盛通信有限公司 | 一种移动转售系统机器卡批量套外限制设置的方法 |
CN115065540A (zh) * | 2022-06-20 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 检测web漏洞攻击的方法、装置和电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
CN103425929A (zh) * | 2012-05-22 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | web白盒扫描方法及装置 |
CN105141647A (zh) * | 2014-06-04 | 2015-12-09 | 中国银联股份有限公司 | 一种检测Web应用的方法和系统 |
CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
CN105430002A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | 漏洞检测方法及装置 |
US20160337400A1 (en) * | 2015-05-15 | 2016-11-17 | Virsec Systems, Inc. | Detection of sql injection attacks |
-
2017
- 2017-11-10 CN CN201711102365.5A patent/CN107846407A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103425929A (zh) * | 2012-05-22 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | web白盒扫描方法及装置 |
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
CN105141647A (zh) * | 2014-06-04 | 2015-12-09 | 中国银联股份有限公司 | 一种检测Web应用的方法和系统 |
CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
US20160337400A1 (en) * | 2015-05-15 | 2016-11-17 | Virsec Systems, Inc. | Detection of sql injection attacks |
CN105430002A (zh) * | 2015-12-18 | 2016-03-23 | 北京奇虎科技有限公司 | 漏洞检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
HE1RENYAGAO: "SSRF漏洞的挖掘经验", 《HTTPS://SOBUG.COM/ARTICLE/DETAIL/11》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108959935A (zh) * | 2018-06-25 | 2018-12-07 | 郑州云海信息技术有限公司 | 一种漏洞插件批量执行方法及装置 |
CN108959935B (zh) * | 2018-06-25 | 2021-08-20 | 郑州云海信息技术有限公司 | 一种漏洞插件批量执行方法及装置 |
CN109450846A (zh) * | 2018-09-19 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种el表达式注入漏洞批量检测装置及检测方法 |
CN110417796A (zh) * | 2019-08-05 | 2019-11-05 | 杭州安恒信息技术股份有限公司 | 一种客户端请求处理方法、装置、设备及可读存储介质 |
CN110968475A (zh) * | 2019-11-13 | 2020-04-07 | 泰康保险集团股份有限公司 | 监控网页的方法、装置、电子设备及可读存储介质 |
CN110995676A (zh) * | 2019-11-22 | 2020-04-10 | 苏州浪潮智能科技有限公司 | 一种语义攻击型拒绝服务漏洞检测方法 |
CN111818107A (zh) * | 2020-09-14 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 网络请求的响应方法、装置、设备及可读存储介质 |
CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
CN114567859A (zh) * | 2022-01-26 | 2022-05-31 | 银盛通信有限公司 | 一种移动转售系统机器卡批量套外限制设置的方法 |
CN114567859B (zh) * | 2022-01-26 | 2023-10-13 | 银盛通信有限公司 | 一种移动转售系统机器卡批量套外限制设置的方法 |
CN115065540A (zh) * | 2022-06-20 | 2022-09-16 | 北京天融信网络安全技术有限公司 | 检测web漏洞攻击的方法、装置和电子设备 |
CN115065540B (zh) * | 2022-06-20 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 检测web漏洞攻击的方法、装置和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107846407A (zh) | 一种批量检测ssrf漏洞的方法及系统 | |
CN106101145B (zh) | 一种网站漏洞检测方法及装置 | |
CN106796635B (zh) | 确定装置、确定方法 | |
CN103023710B (zh) | 一种安全测试系统和方法 | |
KR101092024B1 (ko) | 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템 | |
CN103297394B (zh) | 网站安全检测方法和装置 | |
CN104486140A (zh) | 一种检测网页被劫持的装置及其检测方法 | |
KR100968126B1 (ko) | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 | |
CN102663052B (zh) | 一种提供搜索引擎搜索结果的方法及装置 | |
CN101340434A (zh) | 网站恶意内容检测与认证方法及系统 | |
CN110083391A (zh) | 调用请求监控方法、装置、设备及存储介质 | |
CN108667770A (zh) | 一种网站的漏洞测试方法、服务器及系统 | |
CN103618696B (zh) | 对cookie信息进行处理的方法和服务器 | |
CN102855418A (zh) | 发现Web内网代理漏洞的方法 | |
CN103780450B (zh) | 浏览器访问网址的检测方法和系统 | |
CN104363252B (zh) | 网站安全检测方法与装置 | |
CN104281808A (zh) | 一种通用的Android恶意行为检测方法 | |
CN104021154B (zh) | 一种在浏览器中进行搜索的方法和装置 | |
CN105302801A (zh) | 一种资源缓存方法及装置 | |
CN104539605A (zh) | 网站xss漏洞检测方法和设备 | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
CN104182681A (zh) | 基于hook的iOS系统关键行为检测装置和方法 | |
CN106713318A (zh) | 一种web站点安全防护方法及系统 | |
CN103312692B (zh) | 链接地址安全性检测方法及装置 | |
CN107612925A (zh) | 一种基于访问行为特征的WebShell挖掘方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180327 |