CN108989355A - 一种漏洞检测方法和装置 - Google Patents

Abstract

本申请实施例公开了一种漏洞检测方法及装置，先获取待检测统一资源定位符URL和攻击荷载，攻击荷载可以用于生成域名系统解析日志，向待检测URL发送访问请求，该访问请求中包括攻击荷载，判断是否存在待检测URL对应的域名系统解析日志，若存在，说明待检测URL存在漏洞执行了攻击荷载中的指令，生成了域名系统解析日志，也就是说，待检测URL没有检测出该攻击荷载或没有过滤出该攻击荷载，此时可认为待检测URL存在漏洞。因此本申请实施例中，可以自动完成对待检测URL的漏洞的检测，不需要手动载入和人工查看，提高了漏洞检测效率和准确性。

Description

一种漏洞检测方法和装置

技术领域

本发明涉及计算机Web服务应用技术领域，特别是涉及一种漏洞检测方法和装置。

背景技术

Web网站是互联网的基础组成部分，如今的Web网站都采用动态交互式网页技术，并且大多使用数据库来保存网站的数据。数据库驱动的Web网站通常包含三层：表示层、逻辑层和存储层。表示层用于页面展现，逻辑层实现具体的业务功能，存储层实现数据的存储。HTTP请求通过表示层传入逻辑层，逻辑层根据需要利用命令向存储层数据库请求数据，并形成HTTP响应返回至表示层。

Web网站可能存在漏洞，例如结构化查询语言(Structured Query Language，SQL)注入漏洞、命令执行漏洞和服务器端请求伪造(Server-Side Request Forgery，SSRF)等。其中，SQL注入漏洞是一种严重的Web安全漏洞，该漏洞主要是由于程序员在编写程序的时候没有对用户输入的参数进行有效性验证和过滤，导致恶意攻击者可将SQL命令注入到参数中，使得服务器执行这些SQL命令；代码执行漏洞是调用系统命令的漏洞，具体的，当用户能控制系统命令的函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击；SSRF是一种由攻击者构造形成由服务器端发送请求的安全漏洞，其形成原因通常为服务器端提供了从其他服务器应用获取数据的功能而没有对目标地址进行过滤和限制，如果该功能被滥用，则可以利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。

Web网站存在的漏洞将导致数据库数据泄露、数据被篡改，如果数据数据库允许执行操作系统命令，则可能导致整个数据库服务器被入侵。具体实现时，可以通过渗透测试对Web网站的漏洞进行检测，提高数据安全性。然而在Web应用无回显时，现有的渗透测试工具需要人工进行数据的输入和查看，对漏洞的检测效率较低，且容易出错。

发明内容

为解决上述技术问题，本申请实施例提供一种漏洞检测方法和装置，在Web应用无回显时，提高漏洞检测效率。

本申请实施例提供了一种漏洞检测方法，所述方法包括：

获取待检测统一资源定位符URL和攻击荷载；

向所述待检测URL发送访问请求，所述访问请求中包括所述攻击荷载；

若存在所述待检测URL对应的域名系统解析日志，则判断所述待检测URL存在漏洞，所述域名系统解析日志为所述待检测URL根据所述攻击荷载生成的。

可选的，所述获取攻击荷载包括：

根据待检测URL的待检测漏洞，获取攻击荷载。

可选的，所述待检测漏洞包括SQL注入漏洞、命令执行漏洞或服务器端请求伪造漏洞。

可选的，所述待检测URL为多个，所述向所述待检测URL发送访问请求，包括：

按照预设顺序依次向所述待检测URL发送访问请求。

可选的，所述域名系统解析日志位于测试平台。

本申请实施例提供了一种漏洞检测装置，所述装置包括：

第一获取单元，用于获取待检测统一资源定位符URL；

第二获取单元，用于攻击荷载；

请求发送单元，用于向所述待检测URL发送访问请求，所述访问请求中包括所述攻击荷载；

判断单元，用于若存在所述待检测URL对应的域名系统解析日志，则判断所述待检测URL存在漏洞，所述域名系统解析日志为所述待检测URL根据所述攻击荷载生成的。

可选的，所述第二获取单元具体用于：

根据待检测URL的待检测漏洞，获取攻击荷载。

可选的，所述待检测漏洞包括SQL注入漏洞、命令执行漏洞或服务器端请求伪造漏洞。

可选的，所述待检测URL为多个，所述请求发送单元具体用于：

按照预设顺序依次向所述待检测URL发送访问请求。

可选的，所述域名系统解析日志位于测试平台。

本申请实施例提供了一种漏洞检测方法及装置，先获取待检测统一资源定位符URL和攻击荷载，攻击荷载可以用于生成域名系统解析日志，向待检测URL发送访问请求，该访问请求中包括攻击荷载，判断是否存在待检测URL对应的域名系统解析日志，若存在，说明待检测URL存在漏洞执行了攻击荷载中的指令，生成了域名系统解析日志，也就是说，待检测URL没有检测出该攻击荷载或没有过滤出该攻击荷载，此时可认为待检测URL存在漏洞。因此本申请实施例中，可以自动完成对待检测URL的漏洞的检测，不需要手动载入和人工查看，提高了漏洞检测效率和准确性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种漏洞检测方法的流程图；

图2为本申请实施例提供的一种漏洞检测装置的结构框图。

具体实施方式

发明人经过研究发现，Web网站可能存在SQL注入漏洞、命令执行漏洞和SSRF等漏洞，而在对漏洞进行检测的过程中，Web应用有时无回显，导致漏洞检测效率低下。

目前在Web应用无回显时，可以通过渗透测试工具进行漏洞检测。渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制，通俗来说，可以通过模拟恶意黑客的攻击方法，来评估计算机网络系统的安全性。

此外，域名系统是万维网中域名和网络协议(Internet Protocol，IP)地址的映射关系，用户可以通过域名访问互联网，经过域名系统解析得到域名对应的IP地址，实现对相应的网址的访问。而DNS解析会产生DNS解析日志，因此可以将DNSlog工具作为渗透测试工具，获取DNS解析日志，获取的DNS解析日志可以对应各个域名。

以通过DNSlog攻击进行漏洞检测为例，渗透测试工程师可以在DNSlog平台上(例如http://ceye.io/)进行注册和登录，手动载入攻击荷载(payload)，向待检测Web应用发送包括攻击荷载的访问请求，存在漏洞的待检测Web应用对攻击荷载并未进行验证和过滤，或未验证出攻击荷载或未过滤出攻击荷载，因此会根据攻击荷载执行相应的操作，进而生成DNS解析日志，获取DNS解析日志，渗透测试工程师可以通过DNS解析日志查看相应的数据，判断DNS解析日志对应的Web应用是否存在漏洞。这种漏洞检测方法需要手动输入攻击荷载以及人工查看DNS解析日志，因此漏洞检测效率较低，且准确性较低。

基于此，本申请实施例提供了一种漏洞检测方法及装置，先获取待检测统一资源定位符URL和攻击荷载，攻击荷载可以用于生成域名系统解析日志，向待检测URL发送访问请求，该访问请求中包括攻击荷载，判断是否存在待检测URL对应的域名系统解析日志，若存在，说明待检测URL存在漏洞执行了攻击荷载中的指令，生成了域名系统解析日志，也就是说，待检测URL没有检测出该攻击荷载或没有过滤出该攻击荷载，此时可认为待检测URL存在漏洞。因此本申请实施例中，可以自动完成对待检测URL的漏洞的检测，不需要手动载入和人工查看，提高了漏洞检测效率和准确性。

下面结合附图，通过实施例来详细说明本申请实施例提供的漏洞检测方法及装置的具体实现方式。

参考图1所示为本申请实施例提供的一种漏洞检测方法的流程图，该方法可以包括以下步骤。

S101，获取待检测统一资源定位符URL和攻击荷载。

统一资源定位符(Uniform Resoure Locator，URL)是互联网上标准资源的地址，用于表示Web应用，待检测URL表示待检测的Web应用。

获取待检测URL可以具体为，获取用户手动输入的待检测URL，或者获取用户导入的待检测URL。具体实施时，可以预设导入URL的规则，例如导入具有特殊字符的URL，或具有某个绝对地址的URL，作为待检测URL。可以理解的是，在通过预设的规则导入URL后，还可以获取用户对URL的删除操作和/或增加操作，将经过用户操作的URL作为待检测URL，使待检测URL的配置更能够满足用户需求。

待检测URL可以是多个，本申请实施例中，可以按照一定顺序获取多个待检测URL，从而实现对待检测URL的批量检测。

攻击荷载对应系统被攻陷后执行的操作，攻击荷载可以随其他请求一起分发，以使系统根据攻击荷载执行相应的操作。攻击荷载可以以文本的形式存在，例如payloads.txt，文本内容可以包括系统命令或SQL语句等。

在获取攻击荷载之前，可以先确定攻击荷载的类型，而攻击荷载的类型和待检测漏洞相关。待检测漏洞可以包括SQL注入漏洞、命令执行漏洞和SSRF漏洞等，其中，SQL注入漏洞对应的攻击荷载包括SQL语句，命令执行漏洞对应的攻击荷载包括linux和/或windows系统命令，对应于待检测URL的linux或windows系统。因此，攻击荷载的类型也可以包括SQL注入漏洞、命令执行漏洞和SSRF漏洞等中的至少一种，可以理解的是，在攻击荷载的类型为多种时，可以对这多种类型的攻击荷载对应的漏洞进行检测，在攻击荷载的类型为一种时，可以对该类型的攻击荷载对应的漏洞进行检测，即可以检测是否存在漏洞以及存在何种漏洞。

获取攻击荷载可以具体为，获取用户手动输入的攻击荷载，或者获取用户导入的攻击荷载。具体实施时，可以预设导入攻击荷载的规则，例如导入某一类型的攻击荷载，或位于某一地址的攻击荷载。可以理解的是，在获取到攻击荷载之后，还可以获取用户对攻击荷载的删除和/或增加操作，以更新攻击荷载，使攻击荷载的配置能够更能够满足用户需求。

S102，向待检测URL发送访问请求。

访问请求可以是http请求，在访问请求中，可以包括攻击荷载。在待检测URL为多个时，可以按照预设顺序依次向待检测URL发送访问请求，例如可以按照待检测URL导入顺序发送访问请求。

若待检测URL不存在漏洞，则可以对攻击荷载进行检测和过滤，因此不会执行该攻击荷载对应的操作，也不会生成相应的DNS解析日志，相反，若待检测URL存在漏洞，则不能检测出攻击荷载或不能过滤该过滤荷载，因此会执行攻击荷载对应的操作，向其他地址发送请求，在发送请求之前进行域名解析获取该地址，生成DNS解析日志。举例来说，攻击荷载对应的操作为查询系统管理员的密码，若待检测URL存在漏洞，则会执行该操作，生成查询系统管理员的密码的请求，并在其他地址发送该请求之前进行域名解析，因此，生成DNS解析日志。

也就是说，在攻击荷载的类型为SQL语句时，若待检测URL存在SQL漏洞，则不能检测出或不能过滤该攻击荷载，因此待检测URL的主机会执行该攻击荷载对应的操作，向其他域名发送请求，在发送请求之前进行域名解析，相应的生成DNS解析日志。

同理，在攻击荷载的类型为命令执行漏洞或SSRF漏洞时，若待检测URL存在命令执行漏洞或SSRF，则会执行该攻击荷载对应的操作，相应的生成DNS解析日志。

生成的DNS解析日志中还可以包括与攻击荷载对应的信息，该信息是待检测URL中的存储层的数据，例如DNS解析日志可以是：dnsquery.test.b182oj.ceye.io。若不法人员恶意的利用攻击荷载，可以获取待检测URL中的数据，容易造成数据的泄露。

在待检测URL生成DNS解析日志后，还可以发送至测试平台，例如将生成的DNS发送至DNSlog平台。

S103，若存在待检测URL对应的DNS解析日志，则判断待检测URL存在漏洞。

如前所述，若待检测URL不存在漏洞，则可以对攻击荷载进行检测和过滤，因此不会执行该攻击荷载对应的操作，也不会生成相应的DNS解析日志，相反，若待检测URL存在漏洞，则不能检测出攻击荷载或不能过滤该攻击荷载，因此会执行攻击荷载对应的操作，生成DNS解析日志。

因此若存在待检测URL对应的DNS解析日志，则可以判断待检测URL不能检测出攻击荷载或不能过滤该攻击荷载，因此，待检测URL存在漏洞。

具体的，待检测URL存在的漏洞类型，可以与待检测漏洞相关，即与攻击荷载的类型相关。举例来说，在向待检测URL发送的是SQL注入类型的攻击荷载，并存在待检测URL对应的DNS解析日志，则认为待检测URL存在SQL注入漏洞。

本申请实施例提供了一种漏洞检测方法，先获取待检测统一资源定位符URL和攻击荷载，攻击荷载可以用于生成域名系统解析日志，向待检测URL发送访问请求，该访问请求中包括攻击荷载，判断是否存在待检测URL对应的域名系统解析日志，若存在，说明待检测URL存在漏洞执行了攻击荷载中的指令，生成了域名系统解析日志，也就是说，待检测URL没有检测出该攻击荷载或没有过滤出该攻击荷载，此时可认为待检测URL存在漏洞。因此本申请实施例中，可以自动完成对待检测URL的漏洞的检测，不需要手动载入和人工查看，提高了漏洞检测效率和准确性。

基于以上漏洞检测方法，本申请实施例还提供了一种漏洞检测装置，参考图2所示，为本申请实施例提供的一种漏洞检测装置的结构框图，该装置包括：

第一获取单元110，用于获取待检测统一资源定位符URL；

第二获取单元120，用于攻击荷载；

请求发送单元130，用于向所述待检测URL发送访问请求，所述访问请求中包括所述攻击荷载；

判断单元140，用于若存在所述待检测URL对应的域名系统解析日志，则判断所述待检测URL存在漏洞，所述域名系统解析日志为所述待检测URL根据所述攻击荷载生成的。

可选的，所述第二获取单元具体用于：

根据待检测URL的待检测漏洞，获取攻击荷载。

可选的，所述待检测漏洞包括SQL注入漏洞、命令执行漏洞或服务器端请求伪造漏洞。

可选的，所述待检测URL为多个，所述请求发送单元具体用于：

按照预设顺序依次向所述待检测URL发送访问请求。

可选的，所述域名系统解析日志位于测试平台。

本申请实施例提供了一种漏洞检测装置，先获取待检测统一资源定位符URL和攻击荷载，攻击荷载可以用于生成域名系统解析日志，向待检测URL发送访问请求，该访问请求中包括攻击荷载，判断是否存在待检测URL对应的域名系统解析日志，若存在，说明待检测URL存在漏洞执行了攻击荷载中的指令，生成了域名系统解析日志，也就是说，待检测URL没有检测出该攻击荷载或没有过滤出该攻击荷载，此时可认为待检测URL存在漏洞。因此本申请实施例中，可以自动完成对待检测URL的漏洞的检测，不需要手动载入和人工查看，提高了漏洞检测效率和准确性。

本申请实施例中提到的“第一……”、“第一……”等名称中的“第一”只是用来做名字标识，并不代表顺序上的第一。该规则同样适用于“第二”等。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-only memory，ROM)/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于方法实施例和设备实施例而言，由于其基本相似于系统实施例，所以描述得比较简单，相关之处参见系统实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请的优选实施方式，并非用于限定本申请的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种漏洞检测方法，其特征在于，所述方法包括：

获取待检测统一资源定位符URL和攻击荷载；

向所述待检测URL发送访问请求，所述访问请求中包括所述攻击荷载；

若存在所述待检测URL对应的域名系统解析日志，则判断所述待检测URL存在漏洞，所述域名系统解析日志为所述待检测URL根据所述攻击荷载生成的。

2.根据权利要求1所述的方法，其特征在于，所述获取攻击荷载包括：

根据待检测URL的待检测漏洞，获取攻击荷载。

3.根据权利要求1所述的方法，其特征在于，所述待检测漏洞包括SQL注入漏洞、命令执行漏洞或服务器端请求伪造漏洞。

4.根据权利要求1所述的方法，其特征在于，所述待检测URL为多个，所述向所述待检测URL发送访问请求，包括：

按照预设顺序依次向所述待检测URL发送访问请求。

5.根据权利要求1所述的方法，其特征在于，所述域名系统解析日志位于测试平台。

6.一种漏洞检测装置，其特征在于，所述装置包括：

第一获取单元，用于获取待检测统一资源定位符URL；

第二获取单元，用于攻击荷载；

请求发送单元，用于向所述待检测URL发送访问请求，所述访问请求中包括所述攻击荷载；

判断单元，用于若存在所述待检测URL对应的域名系统解析日志，则判断所述待检测URL存在漏洞，所述域名系统解析日志为所述待检测URL根据所述攻击荷载生成的。

7.根据权利要求6所述的装置，其特征在于，所述第二获取单元具体用于：

根据待检测URL的待检测漏洞，获取攻击荷载。

8.根据权利要求6所述的装置，其特征在于，所述待检测漏洞包括SQL注入漏洞、命令执行漏洞或服务器端请求伪造漏洞。

9.根据权利要求6所述的装置，其特征在于，所述待检测URL为多个，所述请求发送单元具体用于：

按照预设顺序依次向所述待检测URL发送访问请求。

10.根据权利要求6所述的装置，其特征在于，所述域名系统解析日志位于测试平台。