CN108696488A - 一种上传接口识别方法、识别服务器及系统 - Google Patents
一种上传接口识别方法、识别服务器及系统 Download PDFInfo
- Publication number
- CN108696488A CN108696488A CN201710233531.9A CN201710233531A CN108696488A CN 108696488 A CN108696488 A CN 108696488A CN 201710233531 A CN201710233531 A CN 201710233531A CN 108696488 A CN108696488 A CN 108696488A
- Authority
- CN
- China
- Prior art keywords
- upload
- interface
- identified
- request
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种上传接口识别方法、识别服务器及系统,该方法包括:识别服务器获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中;解析所述待识别请求包的内容特征;判断所述内容特征是否与上传请求包设定的内容特征相应;若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。本发明实施例可实现较为全面的上传请求包的识别,从而提升识别出的上传接口的全面性,减少漏检的概率。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种上传接口识别方法、识别服务器及系统。
背景技术
目前大部分页面(如网站、web程序等提供的页面)都支持文件上传功能,用户在使用文件上传功能时,可通过页面提供的上传接口上传用户头像、相册照片以及附件等文件;然而方便的文件上传功能极有可能成为黑客利用的入口点,从而出现文件上传漏洞(FileUpload Attack)。
文件上传漏洞是指黑客通过上传接口,向通过网站、web程序访问的目录上传危险文件,这些危险文件可以在远程服务器上执行脚本,达到控制服务器的目的;可见,文件上传漏洞严重威胁网站、web程序的使用安全,因此识别页面所存在的文件上传漏洞极为必要。
为识别页面所存在的文件上传漏洞,需要先识别出页面中的上传接口,然后通过操作该上传接口识别出该上传接口是否对应有文件上传漏洞;因此页面中的上传接口识别,作为文件上传漏洞识别的前置步骤,其识别的全面性,对于后续文件上传漏洞识别的全面性而言至关重要。
现有的识别上传接口的方式主要是通过web爬虫技术爬取页面,然后判断爬取的页面中是否存在input type="file"(输入类型为文件)的标签,来判断页面中是否存在上传接口,即页面中若存在input type="file"的标签,则认为页面中存在上传接口,否则,认为页面中不存在上传接口。
然而,input type="file"仅是页面中上传接口的一种常见实现形式,通过判断页面中的input type="file"标签来实现上传接口识别的方式,可能会漏检以其他形式实现的上传接口,导致上传接口的漏检概率提升,使得上传接口识别的全面性较低。
发明内容
有鉴于此,本发明实施例提供一种上传接口识别方法、识别服务器及系统,以降低上传接口的漏检概率,提升上传接口识别的全面性。
为实现上述目的,本发明实施例提供如下技术方案:
一种上传接口识别方法,其特征在于,包括:
获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中;
解析所述待识别请求包的内容特征;
判断所述内容特征是否与上传请求包设定的内容特征相应;
若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
一种识别服务器,其特征在于,包括:
待识别请求包获取模块,用于获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中;
内容特征解析模块,用于解析所述待识别请求包的内容特征;
上传请求包判断模块,用于判断所述内容特征是否与上传请求包设定的内容特征相应;
上传接口识别确定模块,用于若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
一种上传接口识别系统,其特征在于,包括:
请求收集服务器,用于收集页面客户端发往页面服务器的请求包;
识别服务器,用于从所述请求收集服务器所收集的请求包中获取待识别请求包;解析所述待识别请求包的内容特征;判断所述内容特征是否与上传请求包设定的内容特征相应;若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
基于上述技术方案,本发明实施例提供的上传接口识别方法中,识别服务器可获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中,从而识别服务器可解析所述待识别请求包的内容特征,判断所述内容特征是否与上传请求包设定的内容特征相应,若所述内容特征与上传请求包设定的内容特征相应,则识别服务器可确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应,实现上传接口的识别;
需要说明的是,在HTTP等网络协议的约定下,上传请求包中必须携带有约定的内容特征,因此通过对发往页面服务器的请求包进行内容特征的分析,确定内容特征与上传请求包设定的内容特征相应的请求包,可以实现有效上传请求的请求包的识别,进而将所识别的请求包指示的接口地址,确定为与上传接口对应,可以实现上传接口的识别;由于HTTP等上传请求必然会携带约定的内容特征,因此通过该内容特征实现上传请求包的识别,以所识别的上传请求包指示的接口地址确定上传接口,可实现较为全面的上传请求包的识别,识别出的上传接口的全面性也将相应的提升,减少漏检的概率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的上传接口识别系统的架构示意图;
图2为本发明实施例提供的上传接口识别方法的信令流程图;
图3为本发明实施例提供的上传接口识别方法的流程图;
图4为上传接口识别的示例图;
图5为本发明实施例提供的上传漏洞识别的方法流程图;
图6为本发明实施例提供的上传漏洞识别的另一方法流程图;
图7为本发明实施例提供的上传接口识别系统的另一架构示意图;
图8为本发明实施例提供的上传接口识别方法的另一信令流程图;
图9为本发明实施例提供的识别服务器的结构框图;
图10为本发明实施例提供的识别服务器的另一结构框图;
图11为本发明实施例提供的识别服务器的再一结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为降低上传接口的漏检概率,提升上传接口识别的全面性,本发明实施例考虑对页面客户端发往页面服务器的请求包进行收集,对收集的请求包进行内容特征分析,从中选取出内容特征与上传请求包相应的请求包,进而将该请求包指示的接口地址确定为与上传接口对应,实现上传接口的识别;
由于在HTTP(HyperText Transfer Protocol,超文本传输协议)等网络协议的约定下,HTTP等上传请求包中必须携带有约定的内容特征,因此通过对发往页面服务器的请求包进行内容特征的分析,从而实现页面中上传接口的识别,可以提升上传接口识别的全面性。
基于此思路,图1示出了本发明实施例提供的上传接口识别系统的架构示意图,通过该上传接口识别系统可实现本发明实施例提供的上传接口识别方法,参照图1,该上传接口识别系统可以包括:请求收集服务器10,识别服务器20;可选的,图1中还示出了可不存在于上传接口识别系统中,但可与请求收集服务器10相配合的页面客户端30,页面服务器40和交换机50;
其中,页面客户端30可以认为是浏览器、web客户端等具有加载页面(网站、web程序等页面)功能的客户端,页面客户端30可以设置于智能手机、平板电脑、笔记本电脑等用户设备上;
页面服务器40为网络侧设置的提供页面服务的服务设备,如网站服务器、web服务器等;页面客户端30与页面服务器40的一种交互方式是,页面客户端向页面服务器发送页面加载请求、上传请求等请求包,页面服务器作出相应响应,向页面客户端反馈页面内容、上传反馈结果等反馈;
请求收集服务器10可以是能够收集页面客户端与页面服务器之间的网络层流量的网络设备,包括页面客户端与页面服务器之间的请求入流量(如四层~七层的请求入流量);即请求收集服务器10可以对页面客户端发往页面服务器的请求包进行收集;可选的,在一种可选实现中,请求收集服务器10可以选用IDS(Intrusion Detection Systems,入侵检测系统)服务器实现;
识别服务器20为本发明实施例设置的用于实现页面中上传接口识别的服务设备,识别服务器20可以由单台服务器实现,也可以由多台服务器组成的服务器群组实现;
在本发明实施例中,识别服务器20可获取请求收集服务器10收集的请求包,对请求包进行内容特征分析,从收集的请求包中识别出内容特征与上传请求包相应的请求包,从而将所识别的上传请求包指示的接口地址确定为与上传接口对应,实现上传接口的识别。
以页面客户端与页面服务器采用HTTP协议交互为例,相应的请求包可以是HTTP请求包,图2示出了本发明实施例提供的上传接口识别方法的信令流程图,参照图2,该流程可以包括:
步骤S10、IDS服务器收集页面客户端发往页面服务器的请求包。
IDS服务器可以认为是请求收集服务器的一种可选实现形式;IDS服务器可对页面客户端与页面服务器的交互过程进行监控,从监控的内容中收集到发往页面服务器的请求包,即收集页面服务器的入口对应的请求包(页面服务器的入口对应的请求包,可以认为是页面服务器的入流量);
可选的,发往页面服务器的请求包可能是:请求加载页面内容的页面加载请求包,上传文件的上传请求包等。
步骤S11、识别服务器获取IDS服务器收集的请求包,对请求包进行过滤,获取到待识别HTTP请求包。
可选的,HTTP请求包仅是采用HTTP协议时,发往页面服务器的请求包的一种可选形式;在使用其他网络协议时,请求包的形式可相应调整,此处仅以HTTP请求包进行举例说明;
IDS服务器可定期(定期时间可事先约定)或者依照上传指令(上传指令可由工作人员输入)将所收集的请求包上传给识别服务器;可选的,在IDS服务器向识别服务器一次上传请求包的过程中,IDS服务器可将上一次上传结束至本次上传期间收集的请求包进行上传;
由于IDS服务器收集的请求包中可能存在重复的,不符合HTTP协议要求的非法请求包(由于采用HTTP协议,因此上传请求应遵循HTTP协议要求,对于收集的请求包中不符合HTTP协议要求的需要进行去除),因此识别服务器可对从IDS服务器获取的请求包进行过滤处理,获取到待识别HTTP请求包;
过滤可以包括但不限于:对请求包进行去重(如可将同一个cgi(通用网关接口)同一个参数但值不同的请求包进行去重,归结为同一个请求包),并不符合HTTP协议的请求包进行去除。
进一步,对IDS服务器收集的请求包进行过滤并不是必要的,本发明实施例也可以直接将IDS服务器收集的请求包,作为待识别HTTP请求包使用。
步骤S12、识别服务器解析所述待识别HTTP请求包的包头字段和包体字段。
可选的,所获取的待识别HTTP请求包的数量可能是至少一个,对于每一个待识别HTTP请求包,本发明实施例可使用HTTP协议,将待识别HTTP请求包进行解析,得到各待识别HTTP请求包的http header(包头)字段,以及http body(包体)字段。
步骤S13、识别服务器判断所述待识别HTTP请求包的包体字段的起始内容是否与设定的第一内容相应,结束内容是否与设定的第二内容相应。
可选的,识别服务器可随机选取或者按序(如按照待识别HTTP请求包对应的收集顺序)选取待识别HTTP请求包,并对所选取的各待识别HTTP请求包进行如步骤S13所示处理,直至所有的待识别HTTP请求包均被处理;
可选的,设定的第一内容可以是依照HTTP协议,HTTP上传请求包在包体字段中遵循的起始内容,设定的第二内容可以是依照HTTP协议,HTTP上传请求包在包体字段中遵循的结束内容;
如依照HTTP协议,HTTP上传请求包中一般具有multipart(多区域分界传输)或form-data(表单数据)等上传关键词;
以具有multipart关键词为例,multipart在HTTP上传请求包的包体字段均使用"\r\n"+"--"+boundary内容开始,在HTTP上传请求包的包体结束时,使用"\r\n"+"--"+boundary+"--"内容结束;因此如果待识别HTTP请求包的包体字段的起始内容,使用"\r\n"+"--"+boundary内容开始,并在包体结束时,使用"\r\n"+"--"+boundary+"--"内容结束,则认为该待识别HTTP请求包为HTTP上传请求包;
显然,上述描述的以multipart关键词为例的第一内容和第二内容说明仅是示意性的,根据所使用的上传关键词的不同,第一内容和第二内容的形式也可以相应调整,具体可视实际的HTTP协议使用情况而定。
步骤S14、若所述待识别HTTP请求包的包体字段的起始内容与设定的第一内容相应,结束内容与设定的第二内容相应,识别服务器确定所述待识别HTTP请求包为HTTP上传请求包,将所述HTTP上传请求包的包头字段指示的接口地址确定为与上传接口对应。
可选的,若待识别HTTP请求包的包体字段的起始内容与设定的第一内容相应,结束内容与设定的第二内容相应,则该待识别HTTP请求包为HTTP上传请求包;而HTTP上传请求包的上传接口地址一般携带在HTTP上传请求包的包头字段,本发明实施例可从该HTTP上传请求包的包头字段中确定相应指示的接口地址,将该接口地址确定为与上传接口对应,实现上传接口的识别。
可选的,HTTP上传请求包所对应的接口地址也可能不一定携带在包头字段中,将上传接口的接口地址携带在包头字段中仅是一种可选形式。
值得注意的是,步骤S12至步骤S14的处理单位是以一个待识别HTTP请求包为基准。
需要说明的是,步骤S12和步骤S13是识别服务器在获取到待识别HTTP请求包,解析待识别HTTP请求包的内容特征,判断所解析的内容特征是否与HTTP上传请求包对应的内容特征相应的一种具体实现;
步骤S14可以认为是在确定待识别HTTP请求包的内容特征与HTTP上传请求包对应的内容特征相应后,将该待识别HTTP请求包确定为HTTP上传请求包,将该HTTP上传请求包指示的接口地址确定为与上传接口对应的一种具体实现。
基于图2所示信令流程,站在识别服务器的角度,本发明实施例提供的上传接口识别方法可如图3所示,图3所示方法内容为识别服务器实现上传接口识别的核心流程,在该核心流程的基础上,具体实现细节可与上文内容相互参照;
如图3所示,该方法可以包括:
步骤S100、识别服务器获取待识别HTTP请求包,所述待识别HTTP请求包包含于页面客户端发往页面服务器的采用HTTP协议的请求包。
可选的,识别服务器获取待识别HTTP请求包的可选方式可以是:获取IDS服务器收集的页面客户端发往页面服务器的请求包,对所获取的请求包进行过滤,得到页面客户端发往页面服务器的非重复且采用HTTP协议的请求包;
可选的,识别服务器也可直接将IDS服务器收集的页面客户端发往页面服务器的请求包,作为待识别HTTP请求包使用。
可选的,待识别HTTP请求包仅是采用HTTP协议的情况下,待识别请求包的一种可选形式,该待识别请求包可包含于页面客户端发往页面服务器的请求包中。
步骤S110、识别服务器解析所述待识别HTTP请求包的内容特征。
可选的,识别服务器可以解析所述待识别HTTP请求包的包头字段和包体字段,此处所指的内容特征不限于与所解析的包体字段的内容相应。
步骤S120、识别服务器判断所述内容特征是否与HTTP上传请求包设定的内容特征相应。
可选的,识别服务器可判断所述待识别HTTP请求包的包体字段的起始内容是否与设定的第一内容相应,结束内容是否与设定的第二内容相应,且,设定的第一内容可以是依照HTTP协议,HTTP上传请求包在包体字段中遵循的起始内容,设定的第二内容可以是依照HTTP协议,HTTP上传请求包在包体字段中遵循的结束内容;
可选的,除通过设定HTTP上传请求包的起始内容和结束内容,来设定HTTP上传请求包的内容特征外,本发明实施例还可采用其他方式实现HTTP上传请求包的内容特征设定,如在HTTP上传请求包的包头内容中设定特定的标识字符,该标识字符可以用于表示HTTP上传请求包。
可选的,HTTP上传请求包仅是本发明实施例所指的上传请求包的一种可选形式,在采用其他协议的情况下,上传请求包的形式可相应调整。
步骤S130、若所述内容特征与HTTP上传请求包设定的内容特征相应,所述待识别服务器确定所述待识别HTTP请求包为HTTP上传请求包。
步骤S140、识别服务器将所述HTTP上传请求包指示的接口地址确定为与上传接口对应。
可选的,若待识别HTTP请求包的内容特征与HTTP上传请求包设定的内容特征相应,则可从该待识别HTTP请求包的包头字段中提取所指示的接口地址,将该接口地址确定为与上传接口对应。
本发明实施例提供的上传接口识别方法中,识别服务器可获取待识别HTTP请求包,所述待识别HTTP请求包包含于页面客户端发往页面服务器的采用HTTP协议的请求包中,从而识别服务器可解析所述待识别HTTP请求包的内容特征,判断所述内容特征是否与HTTP上传请求包设定的内容特征相应,若所述内容特征与HTTP上传请求包设定的内容特征相应,则识别服务器可确定所述待识别HTTP请求包为HTTP上传请求包,从而将所述HTTP上传请求包指示的接口地址确定为与上传接口对应,实现上传接口的识别;
需要说明的是,在HTTP等网络协议的约定下,HTTP上传请求包中必须携带有约定的内容特征,因此通过对发往页面服务器的请求包进行内容特征的分析,确定内容特征与HTTP上传请求包设定的内容特征相应的请求包,可以实现有效上传请求的请求包的识别,进而将所识别的请求包指示的接口地址,确定为与上传接口对应,可以实现上传接口的识别;由于HTTP等上传请求必然会携带约定的内容特征,因此通过该内容特征实现上传请求包的识别,以所识别的上传请求包指示的接口地址确定上传接口,可实现较为全面的上传请求包的识别,识别出的上传接口的全面性也将相应的提升,减少漏检的概率。
进一步,现有技术通过网络爬虫爬取页面,判断页面源代码中是否包含<inputtype="file">标签来识别上传接口的方式,还可能存在此类标签并不代表页面启用了上传功能的情况,导致所确定的上传接口误报的情况发生;而本发明实施例,通过HTTP等上传请求包必然会携带约定的内容特征的特性,识别上传接口,则可表明所识别的上传接口处于启用状态,才可使得针对该上传接口的HTTP上传请求包得以发送至页面服务器,因此本发明实施例提供的上传接口识别方法还可避免所识别的上传接口误报的情况,提高识别结果的准确性。
同时,现有通过网络爬虫抓取页面的方式,还会导致高频的请求容易将页面服务器的系统资源打满,造成页面业务挂掉的情况,而本发明实施例通过收集页面客户端发往页面服务器的请求包作为源数据,可避免网络爬虫抓取页面导致页面服务器存在高频的请求的情况,减轻页面服务器的压力。
可选的,以图4所示示例,为便于说明,以一条请求包(与HTTP上传请求对应的请求包)的处理为例,对本发明实施例提供的上传接口识别方法的一种应用示例进行说明:
页面客户端可在页面的上传接口中上传文档文件,从而页面客户端可构建出HTTP上传请求相应的请求包发送至页面服务器;
IDS服务器对页面客户端发送至页面服务器的请求包进行收集,并上传至识别服务器;
识别服务器解析该请求包的包体字段与包头字段;需要注意的是,此处仅以单条请求包的收集和处理进行示例说明,在实际应用中,IDS服务器上传至识别服务器的请求包的数量可能是多个;可选的,识别服务器还可选用对IDS服务器收集的请求包进行过滤处理的手段;
识别服务器判断包体字段使用"\r\n"+"--"+boundary内容开始,且包体结束时,使用"\r\n"+"--"+boundary+"--"内容结束,确定该请求包为HTTP上传请求包;
识别服务器将该请求包的包头字段携带的接口地址确定为与上传接口对应,实现上传接口的识别。
在应用本发明实施例提供的上传接口识别方法的基础上,可以在识别出上传接口后,实现上传漏洞的识别;具体的,在以上述描述的方法内容识别出上传接口后,可通过图5所示方法实现上传漏洞的识别,图5示出了本发明实施例提供的上传漏洞识别的方法流程图,该方法可应用于上述所指的识别服务器(如在识别服务器中设置漏洞识别相应的程序功能),也可以应用于与上述所指的识别服务器相通信的漏洞识别服务器(漏洞识别服务器可与上述所述的识别服务器对应不同的物理服务设备)中;
参照图5,该漏洞识别方法可以包括:
步骤S200、判断HTTP上传请求包是否包含设定的上传关键字,且所述HTTP上传请求包所对应上传的文件名称是否包含脚本文件后缀。
可选的,设定的上传关键字可以是multipart或form-data等,作为HTTP上传请求包,其必然携带有需要上传的文件,本发明实施例还需要识别所请求上传的文件的文件名称是否包含脚本文件后缀;
可选的,脚本文件后缀如ASP、PHP、JSP、HTML、EXE等可通过Web访问的目录上传的脚本文件的后缀;需要说明的是,类似ASP、PHP、JSP的脚本文件能够将这些文件传递给CGI解释器,就可以在页面服务器上执行任意脚本,例如上传了WEBSHELL,则就相当于拥有了这台页面服务器的权限,导致上传漏洞被利用(“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现,也有人称之为网站的后门);
因此通过分析上传文件的文件名称包含脚本文件后缀的HTTP上传请求包,可以确定出利用网站漏洞的HTTP上传请求包,从而后续可通过分析页面服务器对该HTTP上传请求包的反馈结果,来判断该HTTP上传请求包对应的上传接口是否存在上传漏洞。
步骤S210、若所述HTTP上传请求包包含设定的上传关键字,且所述HTTP上传请求包所对应上传的文件名称包含脚本文件后缀,调取页面服务器对所述HTTP上传请求包的上传反馈结果。
步骤S220、若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
对于包含上传关键字,且上传的文件名称包含脚本文件后缀的HTTP上传请求包,如果页面服务器针对该HTTP上传请求包的反馈结果与上传成功对应,则说明该HTTP上传请求包上传的脚本文件被页面服务器所接收,而脚本文件很可能在页面服务器上执行,导致页面服务器的权限被非法控制;这种没有严格限制用户上传的文件后缀以及文件类型的情况,将导致HTTP上传请求包对应的上传接口存在上传漏洞;
可选的,HTTP上传请求包对应的上传接口,可以认为是,HTTP上传请求包指示的接口地址对应的上传接口。
可选的,图5所示方法中HTTP上传请求包仅是上传请求包的一种可选形式。
可选的,在根据识别的HTTP上传请求包进行上传漏洞识别前,本发明实施例还可从识别的HTTP上传请求包中过滤掉安全可信任的HTTP上传请求包,从而根据危险不可信的HTTP上传请求包进行上传漏洞识别,即步骤S200所处理的HTTP上传请求包可以是危险不可信的HTTP上传请求包;
相应的,图6示出了另一种漏洞识别方法,参照图6,该漏洞识别方法可以包括:
步骤S300、判断所识别的HTTP上传请求包对应的HOST字段,是否由设定的可信HOST发起,若是,执行步骤S310,若否,执行步骤S320。
步骤S310、过滤该HTTP上传请求包。
可选的,在通过图1或图2所示方法识别出HTTP上传请求包后,对于所识别的各HTTP上传请求包,本发明实施例可判断HTTP上传请求包对应的HOST字段,是否由设定的可信HOST发起,若是,则说明该HTTP上传请求包安全可信任,可对该HTTP上传请求包进行过滤,不用进行上传漏洞识别,若否,则说明该HTTP上传请求包有可能是危险不可信的,可对该HTTP上传请求包进行后续处理。
步骤S320、判断HTTP上传请求包是否包含设定的上传关键字,且所述HTTP上传请求包所对应上传的文件名称是否包含脚本文件后缀。
步骤S330、若所述HTTP上传请求包包含设定的上传关键字,且所述HTTP上传请求包所对应上传的文件名称包含脚本文件后缀,调取页面服务器对所述HTTP上传请求包的上传反馈结果。
步骤S340、若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
可选的,对于所识别的上传接口,以及存在上传漏洞的上传接口本发明实施例可分开存储;如可设置第一数据库用于存储所识别的上传接口,以便上传漏洞检测,同时可设置第二数据库用于存储所识别的存在上传漏洞的上传接口。
进一步,对于所识别的存在上传漏洞的上传接口,本发明实施例可根据上传接口与对应维护的部门和负责人的关系,确定存在上传漏洞的上传接口对应的负责人和所属维护部门,并分析上传接口存在漏洞所引起的问题危害,和对应解决方案;从而将存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案以系统工单形式汇总,通知给所确定的所属维护部门和负责人。
如图7所示,图7提供了另一种系统架构示意图,该系统架构可实现上传接口识别,以及存在上传漏洞的上传接口的识别;结合图1和图7所示,图7所示系统还可以包括:
第一数据库60,第二数据库70,工单发布服务器80;其中,识别服务器20整合了上传接口识别,以及上传漏洞识别的功能。
可选的,图7所示系统架构的信令交互流程可以如图8所示,参照图8,该过程可以包括:
步骤S20、IDS服务器收集页面客户端发往页面服务器的请求包。
步骤S21、识别服务器获取IDS服务器收集的请求包,对请求包进行过滤,获取到待识别HTTP请求包。
步骤S22、识别服务器解析所述待识别HTTP请求包的包头字段和包体字段。
步骤S23、识别服务器判断所述待识别HTTP请求包的包体字段的起始内容是否与设定的第一内容相应,结束内容是否与设定的第二内容相应。
步骤S24、若所述待识别HTTP请求包的包体字段的起始内容与设定的第一内容相应,结束内容与设定的第二内容相应,识别服务器确定所述待识别HTTP请求包为HTTP上传请求包,将所述HTTP上传请求包的包头字段指示的接口地址确定为与上传接口对应。
步骤S25、识别服务器将所确定的上传接口记录到第一数据库。
步骤S26、识别服务器确定HOST字段不是由设定的可信HOST发起的HTTP上传请求包。
步骤S27、识别服务器判断HOST字段不是由设定的可信HOST发起的HTTP上传请求包,是否包含设定的上传关键字,且该HTTP上传请求包所对应上传的文件名称是否包含脚本文件后缀。
步骤S28、若该HTTP上传请求包包含设定的上传关键字,且所述HTTP上传请求包所对应上传的文件名称包含脚本文件后缀,识别服务器调取页面服务器对该HTTP上传请求包的上传反馈结果。
步骤S29、若所述反馈结果指示上传成功,识别服务器确定该HTTP上传请求包对应的上传接口存在上传漏洞。
步骤S30、识别服务器将存在上传漏洞的上传接口记录到第二数据库。
步骤S31、工单发布服务器根据第二数据库中记录的上传接口,输出系统工单,所述系统工单记录有存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案。
可选的,工单发布服务器的功能也可整合在识别服务器中。
经过实践证明,本发明实施例在上传接口识别方面具有如下优点:
通过对发往页面服务器的请求包进行定位,大大提高了HTTP上传请求包的覆盖发现能力和准确性,提升了上传接口的识别全面性和准确性;
不依赖爬虫等容易使得页面系统遭受高频率扫描,导致web应用及系统挂掉的黑盒行为,避免了爬虫的性能不足与缺陷,大大降低了页面系统挂掉的风险;
由于是实时对发往页面服务器的请求包进行定位,因此避免了爬虫、人工等黑盒手段采集慢的问题,大大提高了上传接口的发现效率;并且可提升后续上传漏洞的识别效率;
可以非常灵活的定义基于HTTP包的规则策略,对接现有的系统非常方便,扩展到其他漏洞的发现也非常方便。
下面对本发明实施例提供的识别服务器进行介绍,下文描述的识别服务器内容可以认为是识别服务器为实现本发明实施例提供的上传接口识别方法,所需设置的功能模块架构;下文描述内容可与上文方法内容相互对应参照。
图9为本发明实施例提供的识别服务器的结构框图,参照图9,该识别服务器可以包括:
待识别请求包获取模块100,用于获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中;
可选的,待识别请求包可以是待识别HTTP请求包(即请求包采用HTTP协议形式组包)。
内容特征解析模块200,用于解析所述待识别请求包的内容特征;
上传请求包判断模块300,用于判断所述内容特征是否与上传请求包设定的内容特征相应;
可选的,上传请求包可以是HTTP上传请求包(即页面客户端发往页面服务器的上传请求包采用HTTP协议形式组包)。
上传接口识别确定模块400,用于若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
可选的,内容特征解析模块200,用于解析所述待识别请求包的内容特征,具体包括:
解析所述待识别请求包的包体字段;
相应的,上传请求包判断模块300,用于判断所述内容特征是否与上传请求包设定的内容特征相应,具体包括:
判断所述包体字段的起始内容是否与设定的第一内容相应,且结束内容是否与设定的第二内容相应;其中,设定的第一内容为上传请求包在包体字段中遵循的起始内容,设定的第二内容为上传请求包在包体字段中遵循的结束内容。
进一步,内容特征解析模块200,用于解析所述待识别请求包的内容特征,还可以包括:
解析所述待识别请求包的包头字段;(即内容特征解析模块200可解析所述待识别请求包的包体字段和包头字段);
相应的,上传接口识别确定模块400,用于若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,具体包括:
若所述包体字段的起始内容与设定的第一内容相应,且结束内容与设定的第二内容相应,确定所述待识别请求包为上传请求包;
上传接口识别确定模块400,用于将所述上传请求包指示的接口地址确定为与上传接口对应,具体包括:
将所述上传请求包的包头字段指示的接口地址确定为与上传接口对应。
可选的,待识别请求包可以是对收集的页面客户端发往页面服务器的请求包进行过滤后的请求包;相应的,待识别请求包获取模块100,用于获取待识别请求包,具体包括:
获取IDS服务器收集的页面客户端发往页面服务器的请求包;
对所获取的请求包进行过滤,得到待识别请求包;所述待识别请求包为页面客户端发往页面服务器的非重复且采用HTTP协议的请求包。
可选的,图10示出了本发明实施例提供的识别服务器的另一结构,结合图9和图10所示,该识别服务器还可以包括:
上传漏洞识别模块500,用于判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀;若所述上传请求包包含设定的上传关键字,且所述上传请求包所对应上传的文件名称包含脚本文件后缀,调取所述上传请求包的上传反馈结果;若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
可选的,如图10所示,该识别服务器还可以包括:
上传请求包过滤模块600,用于判断所述上传请求包对应的HOST字段,是否由设定的可信HOST发起,若所述上传请求包对应的HOST字段不由设定的可信HOST发起,触发上传漏洞识别模块500执行判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀的步骤;
即上传漏洞识别模块500所处理的上传请求包可以是上传请求包过滤模块600过滤后的,不由设定的可信HOST发起的上传请求包。
可选的,上传请求包过滤模块600也可以不选用在图10所示识别服务器中。
可选的,图11示出了本发明实施例提供的识别服务器的再一结构,结合图10和图11所示,该识别服务器还可以包括:
数据库记录模块700,用于将所确定的上传接口记录到第一数据库,并将所确定的存在上传漏洞的上传接口记录到第二数据库;
工单输出模块800,用于根据第二数据库中记录的上传接口,输出系统工单,所述系统工单记录有存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案。
可选的,工单输出模块800也可不选用在图11所示识别服务器中。
本发明实施例提供的识别服务器可以降低上传接口的漏检概率,提升上传接口识别的全面性,进一步可提升上传接口识别的准确性;从而为提升上传漏洞识别的全面性和准确性提供可能。
本发明实施例还提供一种上传接口识别系统,该上传接口识别系统的结构可以如图1所示包括:请求收集服务器和识别服务器;
其中,请求收集服务器,用于收集页面客户端发往页面服务器的请求包;
识别服务器,用于从所述请求收集服务器所收集的请求包中获取待识别请求包;解析所述待识别请求包的内容特征;判断所述内容特征是否与上传请求包设定的内容特征相应;若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
可选的,请求收集服务器和识别服务器的具体功能实现细节,还扩展实现功能可参照上文相应部分的描述。
进一步,在本发明实施例中,识别服务器,还可用于判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀;若所述上传请求包包含设定的上传关键字,且所述上传请求包所对应上传的文件名称包含脚本文件后缀,调取所述上传请求包的上传反馈结果;若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
进一步,本发明实施例提供的上传接口识别系统的另一结构可如图7所示,结合图1和图7,该上传接口系统可以包括:第一数据库,第二数据库,工单发布服务器;
其中,第一数据库,用于记录所确定的上传接口;
第二数据库,用于记录所确定的存在上传漏洞的上传接口;
工单发布服务器,用于根据第二数据库中记录的上传接口,输出系统工单,所述系统工单记录有存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (16)
1.一种上传接口识别方法,其特征在于,包括:
获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中;
解析所述待识别请求包的内容特征;
判断所述内容特征是否与上传请求包设定的内容特征相应;
若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
2.根据权利要求1所述的上传接口识别方法,其特征在于,所述解析所述待识别请求包的内容特征包括:
解析所述待识别请求包的包体字段;
所述判断所述内容特征是否与上传请求包设定的内容特征相应包括:
判断所述包体字段的起始内容是否与设定的第一内容相应,且结束内容是否与设定的第二内容相应;其中,设定的第一内容为上传请求包在包体字段中遵循的起始内容,设定的第二内容为上传请求包在包体字段中遵循的结束内容。
3.根据权利要求2所述的上传接口识别方法,其特征在于,所述解析所述待识别请求包的内容特征还包括:
解析所述待识别请求包的包头字段;
所述若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包包括:
若所述包体字段的起始内容与设定的第一内容相应,且结束内容与设定的第二内容相应,确定所述待识别请求包为上传请求包;
所述将所述上传请求包指示的接口地址确定为与上传接口对应包括:
将所述上传请求包的包头字段指示的接口地址确定为与上传接口对应。
4.根据权利要求1所述的上传接口识别方法,其特征在于,所述获取待识别请求包包括:
获取入侵检测系统IDS服务器收集的页面客户端发往页面服务器的请求包;
对所获取的请求包进行过滤,得到待识别请求包;所述待识别请求包为页面客户端发往页面服务器的非重复且采用超文本传输协议HTTP协议的请求包。
5.根据权利要求1-4任一项所述的上传接口识别方法,其特征在于,还包括:
判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀;
若所述上传请求包包含设定的上传关键字,且所述上传请求包所对应上传的文件名称包含脚本文件后缀,调取所述上传请求包的上传反馈结果;
若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
6.根据权利要求5所述的上传接口识别方法,其特征在于,还包括:
判断所述上传请求包对应的HOST字段,是否由设定的可信HOST发起;
若所述上传请求包对应的HOST字段不由设定的可信HOST发起,执行所述判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀的步骤。
7.根据权利要求6所述的上传接口识别方法,其特征在于,还包括:
将所确定的上传接口记录到第一数据库,并将所确定的存在上传漏洞的上传接口记录到第二数据库。
8.根据权利要求7所述的上传接口识别方法,其特征在于,还包括:
根据第二数据库中记录的上传接口,输出系统工单,所述系统工单记录有存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案。
9.一种识别服务器,其特征在于,包括:
待识别请求包获取模块,用于获取待识别请求包,所述待识别请求包包含于页面客户端发往页面服务器的请求包中;
内容特征解析模块,用于解析所述待识别请求包的内容特征;
上传请求包判断模块,用于判断所述内容特征是否与上传请求包设定的内容特征相应;
上传接口识别确定模块,用于若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
10.根据权利要求9所述的识别服务器,其特征在于,所述内容特征解析模块,用于解析所述待识别请求包的内容特征,具体包括:
解析所述待识别请求包的包体字段;
所述上传请求包判断模块,用于判断所述内容特征是否与上传请求包设定的内容特征相应,具体包括:
判断所述包体字段的起始内容是否与设定的第一内容相应,且结束内容是否与设定的第二内容相应;其中,设定的第一内容为上传请求包在包体字段中遵循的起始内容,设定的第二内容为上传请求包在包体字段中遵循的结束内容。
11.根据权利要求10所述的识别服务器,其特征在于,所述内容特征解析模块,用于解析所述待识别请求包的内容特征,还包括:
解析所述待识别请求包的包头字段;
所述上传接口识别确定模块,用于若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,具体包括:
若所述包体字段的起始内容与设定的第一内容相应,且结束内容与设定的第二内容相应,确定所述待识别请求包为上传请求包;
所述上传接口识别确定模块,用于将所述上传请求包指示的接口地址确定为与上传接口对应,具体包括:
将所述上传请求包的包头字段指示的接口地址确定为与上传接口对应。
12.根据权利要求9-11任一项所述的识别服务器,其特征在于,还包括:
上传漏洞识别模块,用于判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀;若所述上传请求包包含设定的上传关键字,且所述上传请求包所对应上传的文件名称包含脚本文件后缀,调取所述上传请求包的上传反馈结果;若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
13.根据权利要求12所述的识别服务器,其特征在于,还包括:
数据库记录模块,用于将所确定的上传接口记录到第一数据库,并将所确定的存在上传漏洞的上传接口记录到第二数据库;
工单输出模块,用于根据第二数据库中记录的上传接口,输出系统工单,所述系统工单记录有存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案。
14.一种上传接口识别系统,其特征在于,包括:
请求收集服务器,用于收集页面客户端发往页面服务器的请求包;
识别服务器,用于从所述请求收集服务器所收集的请求包中获取待识别请求包;解析所述待识别请求包的内容特征;判断所述内容特征是否与上传请求包设定的内容特征相应;若所述内容特征与上传请求包设定的内容特征相应,确定所述待识别请求包为上传请求包,将所述上传请求包指示的接口地址确定为与上传接口对应。
15.根据权利要求14所述的上传接口识别系统,其特征在于,所述识别服务器,还用于判断所述上传请求包是否包含设定的上传关键字,且所述上传请求包所对应上传的文件名称是否包含脚本文件后缀;若所述上传请求包包含设定的上传关键字,且所述上传请求包所对应上传的文件名称包含脚本文件后缀,调取所述上传请求包的上传反馈结果;若所述反馈结果指示上传成功,则确定所述HTTP上传请求包对应的上传接口存在上传漏洞。
16.根据权利要求15所述的上传接口识别系统,其特征在于,还包括:
第一数据库,用于记录所确定的上传接口;
第二数据库,用于记录所确定的存在上传漏洞的上传接口;
工单发布服务器,用于根据第二数据库中记录的上传接口,输出系统工单,所述系统工单记录有存在上传漏洞的上传接口对应的负责人和所属维护部门,以及上传接口存在漏洞所引起的问题危害,和对应解决方案。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710233531.9A CN108696488B (zh) | 2017-04-11 | 2017-04-11 | 一种上传接口识别方法、识别服务器及系统 |
| PCT/CN2018/080269 WO2018188470A1 (zh) | 2017-04-11 | 2018-03-23 | 一种上传接口识别方法、识别服务器及系统及存储介质 |
| US16/443,433 US10972496B2 (en) | 2017-04-11 | 2019-06-17 | Upload interface identification method, identification server and system, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710233531.9A CN108696488B (zh) | 2017-04-11 | 2017-04-11 | 一种上传接口识别方法、识别服务器及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108696488A true CN108696488A (zh) | 2018-10-23 |
| CN108696488B CN108696488B (zh) | 2022-04-15 |
Family
ID=63792807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710233531.9A Active CN108696488B (zh) | 2017-04-11 | 2017-04-11 | 一种上传接口识别方法、识别服务器及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10972496B2 (zh) |
| CN (1) | CN108696488B (zh) |
| WO (1) | WO2018188470A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109412896A (zh) * | 2018-11-14 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 上传功能的测试方法、装置、计算机设备和存储介质 |
| CN111585975A (zh) * | 2020-04-17 | 2020-08-25 | 上海中通吉网络技术有限公司 | 安全漏洞检测方法、设备及系统、交换机 |
| CN112446030A (zh) * | 2020-10-23 | 2021-03-05 | 苏州浪潮智能科技有限公司 | 一种网页端的文件上传漏洞检测方法和装置 |
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111757378B (zh) * | 2020-06-03 | 2024-04-02 | 中科时代(深圳)计算机系统有限公司 | 一种无线网络中设备识别方法及装置 |
| CN111740996B (zh) * | 2020-06-22 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种流量解析场景下快速拆分http请求与响应的方法 |
| US11729790B2 (en) | 2020-08-06 | 2023-08-15 | Samsung Electronics Co., Ltd. | Mobile communications methods for monitoring and scheduling |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276316A1 (en) * | 2004-07-29 | 2008-11-06 | Roelker Daniel J | Intrusion detection strategies for hypertext transport protocol |
| CN102868765A (zh) * | 2012-10-09 | 2013-01-09 | 乐视网信息技术(北京)股份有限公司 | 文件上传方法和系统 |
| CN102984190A (zh) * | 2011-09-07 | 2013-03-20 | 腾讯数码(天津)有限公司 | 一种文件传输方法、系统和装置 |
| CN103905258A (zh) * | 2012-12-24 | 2014-07-02 | 百度国际科技(深圳)有限公司 | 一种客户端数据上传功能的测试方法及装置 |
| US20140259100A1 (en) * | 2011-10-14 | 2014-09-11 | Tencent Technology (Shenzhen) Company Limited | Network security identification method, security detection server, and client and system therefor |
| CN104079528A (zh) * | 2013-03-26 | 2014-10-01 | 北大方正集团有限公司 | 一种Web应用的安全防护方法及系统 |
| CN104079429A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种基于referer字段的盗链防护的方法及Web网关 |
| CN104796426A (zh) * | 2015-04-29 | 2015-07-22 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN105227387A (zh) * | 2014-06-16 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网页漏洞的检测方法、装置及系统 |
| CN105516073A (zh) * | 2014-10-20 | 2016-04-20 | 中国银联股份有限公司 | 网络入侵防御方法 |
| US20160127389A1 (en) * | 2013-12-04 | 2016-05-05 | Apple Inc | Preventing url confusion attacks |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8931102B2 (en) * | 2011-06-01 | 2015-01-06 | International Business Machines Corporation | Testing web applications for file upload vulnerabilities |
| US9241007B1 (en) * | 2013-07-18 | 2016-01-19 | Blue Pillar, Inc. | System, method, and computer program for providing a vulnerability assessment of a network of industrial automation devices |
| CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
| CN106033512A (zh) * | 2015-03-20 | 2016-10-19 | 中兴通讯股份有限公司 | 一种安全漏洞加固方法及系统 |
| US10291643B2 (en) * | 2016-07-29 | 2019-05-14 | Praetorian Group, Inc. | Method and system for validating a vulnerability submitted by a tester in a crowdsourcing environment |
-
2017
- 2017-04-11 CN CN201710233531.9A patent/CN108696488B/zh active Active
-
2018
- 2018-03-23 WO PCT/CN2018/080269 patent/WO2018188470A1/zh active Application Filing
-
2019
- 2019-06-17 US US16/443,433 patent/US10972496B2/en active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276316A1 (en) * | 2004-07-29 | 2008-11-06 | Roelker Daniel J | Intrusion detection strategies for hypertext transport protocol |
| CN102984190A (zh) * | 2011-09-07 | 2013-03-20 | 腾讯数码(天津)有限公司 | 一种文件传输方法、系统和装置 |
| US20140259100A1 (en) * | 2011-10-14 | 2014-09-11 | Tencent Technology (Shenzhen) Company Limited | Network security identification method, security detection server, and client and system therefor |
| CN102868765A (zh) * | 2012-10-09 | 2013-01-09 | 乐视网信息技术(北京)股份有限公司 | 文件上传方法和系统 |
| CN103905258A (zh) * | 2012-12-24 | 2014-07-02 | 百度国际科技(深圳)有限公司 | 一种客户端数据上传功能的测试方法及装置 |
| CN104079528A (zh) * | 2013-03-26 | 2014-10-01 | 北大方正集团有限公司 | 一种Web应用的安全防护方法及系统 |
| US20160127389A1 (en) * | 2013-12-04 | 2016-05-05 | Apple Inc | Preventing url confusion attacks |
| CN104079429A (zh) * | 2014-05-22 | 2014-10-01 | 汉柏科技有限公司 | 一种基于referer字段的盗链防护的方法及Web网关 |
| CN105227387A (zh) * | 2014-06-16 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网页漏洞的检测方法、装置及系统 |
| CN105516073A (zh) * | 2014-10-20 | 2016-04-20 | 中国银联股份有限公司 | 网络入侵防御方法 |
| CN104796426A (zh) * | 2015-04-29 | 2015-07-22 | 上海络安信息技术有限公司 | 网页后门的检测方法 |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| TRUONG DINH TU;CHENG GUANG;GUO XIAOJUN;PAN WUBIN: "Webshell detection techniques in web applications", 《FIFTH INTERNATIONAL CONFERENCE ON COMPUTING, COMMUNICATIONS AND NETWORKING TECHNOLOGIES (ICCCNT)》 * |
| 罗娜: "基于协议分析的入侵检测系统的设计", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109412896A (zh) * | 2018-11-14 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 上传功能的测试方法、装置、计算机设备和存储介质 |
| CN109412896B (zh) * | 2018-11-14 | 2022-04-15 | 中国平安人寿保险股份有限公司 | 上传功能的测试方法、装置、计算机设备和存储介质 |
| CN111585975A (zh) * | 2020-04-17 | 2020-08-25 | 上海中通吉网络技术有限公司 | 安全漏洞检测方法、设备及系统、交换机 |
| CN111585975B (zh) * | 2020-04-17 | 2023-03-14 | 上海中通吉网络技术有限公司 | 安全漏洞检测方法、设备及系统、交换机 |
| CN112446030A (zh) * | 2020-10-23 | 2021-03-05 | 苏州浪潮智能科技有限公司 | 一种网页端的文件上传漏洞检测方法和装置 |
| CN112446030B (zh) * | 2020-10-23 | 2023-01-06 | 苏州浪潮智能科技有限公司 | 一种网页端的文件上传漏洞检测方法和装置 |
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
| CN115134164B (zh) * | 2022-07-18 | 2024-02-23 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190306186A1 (en) | 2019-10-03 |
| WO2018188470A1 (zh) | 2018-10-18 |
| CN108696488B (zh) | 2022-04-15 |
| US10972496B2 (en) | 2021-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108696488A (zh) | 一种上传接口识别方法、识别服务器及系统 | |
| CN103888490B (zh) | 一种全自动的web客户端人机识别的方法 | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| CN112383546A (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US20110289583A1 (en) | Correlation engine for detecting network attacks and detection method | |
| CN108363662A (zh) | 一种应用程序测试方法、存储介质及终端设备 | |
| US10250465B2 (en) | Network traffic monitoring and classification | |
| CN108667770A (zh) | 一种网站的漏洞测试方法、服务器及系统 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN110879891B (zh) | 基于web指纹信息的漏洞探测方法及装置 | |
| CN106534146A (zh) | 一种安全监测系统及方法 | |
| CN102761450A (zh) | 一种网站分析系统及方法和装置 | |
| CN108768921A (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| RU2738337C1 (ru) | Система и способ обнаружения интеллектуальных ботов и защиты от них | |
| CN108206769A (zh) | 过滤网络质量告警的方法、装置、设备和介质 | |
| CN107948199A (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN105159992A (zh) | 一种应用程序的页面内容及网络行为的检测方法及装置 | |
| CN110135201A (zh) | 一种基于独立运行环境的网页取证方法及装置 | |
| CN109271217A (zh) | 云环境下的网络流量检测方法及系统 | |
| CN104967698B (zh) | 一种爬取网络数据的方法和装置 | |
| CN107819639B (zh) | 一种测试方法和装置 | |
| CN107992416A (zh) | 一种网页时延的确定方法及装置 | |
| US9736215B1 (en) | System and method for correlating end-user experience data and backend-performance data | |
| CN113300977B (zh) | 一种基于多特征融合分析的应用流量识别与分类方法 | |
| CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |