CN109194609A - 一种检测漏洞文件的方法及装置 - Google Patents

Abstract

本公开涉及网络安全技术领域，具体提供了一种检测漏洞文件的方法及装置，该漏洞检测方法包括：获取目标文件，所述目标文件为待测试文件；确定所述目标文件的测试环境；根据所述目标文件的测试环境及所述目标文件生成目标载荷；其中，所述目标载荷用于指示执行对应的指令；在所述目标文件被执行时，确定调用所述目标文件存在漏洞。本公开的发明内容能够至少减少相关技术中检测漏洞文件中存在的漏洞和误报问题，提高了检测漏洞文件的精准性。

Description

一种检测漏洞文件的方法及装置

技术领域

本公开涉及网络安全技术领域，尤其涉及一种检测漏洞文件的方法及装置。

背景技术

在信息技术飞速发展的今天，网络安全技术也在不断更新。不法分子通过各种网络安全技术来利用漏洞进行非法行为，其中文件包含漏洞就是一个重要的利用点。文件包含漏洞危害巨大，但现今的检测技术并不完备。传统的文件包含漏洞的检测并不能针对被检测目标的具体情况进行全面考虑，无法精准检测目标是否存在该漏洞，存在各种漏报、误报问题。

发明内容

本公开实施例提供一种检测漏洞文件的方法及装置，能够至少减少决相关技术中检测漏洞文件中存在的漏洞和误报问题，提高了检测漏洞文件的精准性。所述技术方案如下：

根据本公开实施例的第一方面，提供一种检测漏洞文件的方法，，应用于终端，所述方法包括：

获取目标文件，所述目标文件为待测试文件；

确定所述目标文件的测试环境；

根据所述目标文件的测试环境及所述目标文件生成目标载荷；其中，所述目标载荷用于指示执行对应的指令；

在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

在一个可选实施例中，在根据所述目标载荷的执行对应执行之前还包括：

上传所述目标载荷至所述终端的处理器中，并获取上传的所述目标载荷的路径信息。

在一个可选实施例中，在根据所述目标载荷的执行对应执行之前还包括：将所述目标载荷发送至目标服务器；

所述在所述目标文件被执行时，确定调用所述目标文件存在漏洞包括：

接收所述目标服务器执行所述对应指令的反馈消息；

确定所述反馈消息中包含预设字符，则确定所述目标文件被执行，确定调用所述目标文件存在漏洞。

在一个可选实施例中，所述目标文件的测试环境包括以下至少一种；

PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境。

根据本公开实施例的第二方面，提供一种检测漏洞文件的方法，应用于服务器，所述方法包括：

接收终端发送的目标载荷，其中所述目标载荷根据待测试的目标文件和测试环境生成；

根据所述目标载荷的指示执行对应指令，并向所述终端发送执行的反馈消息；其中，所述反馈消息用于确定在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

根据本公开实施例的第三方面，提供一种终端，所述终端包括：

获取模块、确定模块、生成模块、执行模块和判断模块；其中，

所述获取模块，用于获取的目标测试文件，所述目标文件为待测试文件；

所述确定模块，用于确定所述目标文件的测试环境；

所述生成模块，用于根据所述目标文件的测试环境及所述目标文件生成目标载荷；

所述执行模块，用于根据所述目标载荷的指示执行对应的指令；

所述判断模块，用于在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

在一个可选实施例中，所述终端还包括：通讯模块，其中，

所述通讯模块，用于在根据所述目标载荷的执行对应执行之前，上传所述目标载荷至所述终端的处理器中，并获取上传的所述目标载荷的路径信息。

在一个可选实施例中，所述终端还包括：通讯模块，其中，

所述通讯模块，用于在根据所述目标载荷的执行对应执行之前，将所述目标载荷发送至目标服务器；

所述通讯模块，还用于接收所述目标服务器执行所述对应指令的反馈消息；

所述判断模块，具体用于确定所述反馈消息中包含预设字符，则确定所述目标文件被执行，确定调用所述目标文件存在漏洞。

在一个可选实施例中，所述确定模块确定的目标文件的测试环境包括以下至少一种；

PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境。

根据本公开实施例的第四方面，提供一种服务器，所述服务器包括：通讯模块和执行模块；其中，

所述通讯模块，用于接收终端发送的目标载荷，其中所述目标载荷根据待测试的目标文件和测试环境生成；

所述执行模块，用于根据所述目标载荷的指示执行对应指令；

所述通讯模块，还用于向所述终端发送执行的反馈消息；其中，所述反馈消息用于确定在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

OrdOrd本实施例公开的检测漏洞文件的方法及相应的装置，相较相关技术提高了漏洞文件检测的准确性和可靠性。同时，本实施例的检测方法综合考虑了远程文件和本地文件，且根据不同的测试环境下相应的语言类型构造了不同的目标载荷和检测原理，相较相关技术具有覆盖面广，可检测多种环境下的漏洞文件，提高了漏洞文件检测的精准性。相关技术

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是本公开实施例提供的一种检测漏洞文件的方法的流程图；

图2是本公开实施例提供的一种检测漏洞文件的方法的流程图；

图3是本公开实施例提供的一种终端的逻辑层结构示意图；

图4是本公开实施例提供的一种服务器的逻辑层结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活，所以将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。文件包含漏洞又分为本地文件包含和远程文件包含。顾名思义，根据开发人员实现文件包含功能的逻辑不同，远程文件包含可以包含并解析远程文件，而本地文件包含只能包含并解析本地文件。利用远程文件包含漏洞，攻击者可以直接进行执行任意代码。而本地文件包含再配合任意的文件上传点即可执行任意代码。两类都会导致攻击者直接获取该目标权限。

本公开实施例提供了一种检测漏洞文件的方法，应用于终端，如图1所示，该检测漏洞文件的方法包括以下步骤：

101、获取目标文件，所述目标文件为待测试文件；

102、确定所述目标文件的测试环境；

103、根据所述目标文件的测试环境及所述目标文件生成目标载荷；其中，所述目标载荷用于指示执行对应的指令；

104、在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

在一个可选实施例中，在根据所述目标载荷的执行对应执行之前还包括：

上传所述目标载荷至所述终端的处理器中，并获取上传的所述目标载荷的路径信息。具体上传过程中可根据预设编码规则或加密规则上传所述目标测试文件。终端根据目标载荷执行对应的指令，在确定目标文件被执行时，确定调用目标文件存在漏洞。

在另一个可选实施例中，在根据所述目标载荷的执行对应执行之前还包括：将所述目标载荷发送至目标服务器；在发送前或发送后均可选择性地根据预设编码规则或加密规则设定所述目标测试文件。

所述在所述目标文件被执行时，确定调用所述目标文件存在漏洞包括：

接收所述目标服务器执行所述对应指令的反馈消息；

确定所述反馈消息中包含预设字符，则确定所述目标文件被执行，确定调用所述目标文件存在漏洞。

在一个可选实施例中，所述目标文件的测试目标环境包括以下至少一种；

PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境。

在一个可选实施例中，可以根据不同的测试目标环境下构造的不同的目标载荷的具体数据结构，设置相应地不同的检测执行规则，例如以下示例：

示例一、若测试环境为AHP环境下，称目标所述目标测试文件为PHP测试文件，则使用MD5(Message Digest Algorithm MD5，消息摘要算法加密)算法对所述目标PHP测试文件进行计算解析；其中，所述目标PHP测试文件在设定时采用MD5算法预编码；

示例二、若测试环境为AHP环境下，称目标测试文件为AHP测试文件，则使用Ord函数对目标AHP测试文件进行执行解析；其中，所述目标AHP测试文件在设定时采用Ord函数进行编码；

示例三、若测试环境为ASPX环境下，称若所述目标测试文件为ASPX测试文件，则使用Base64解码函数对所述目标AHP测试文件进行解析；

示例四、若测试环境为AHP环境下，称所述目标测试文件为JSP或JSPX测试文件，则使用Base64解码函数对所述目标JSP或JSPX测试文件进行解析。

本实施例公开的检测漏洞文件的方法及相应的装置，通过构造多类型文件的payload，并在解析执行运算的检测中构造出不存在于原页面和目标载荷Payload的复杂字符串(例如MD5)，相较相关技术提高了漏洞文件检测的准确性、可靠性和精准性。

在一个可选实施例中，本实施例公开的漏洞文件检测的方法通过对检测的目标测试文件的随机命名实现了检测过程的安全性，设定的目标测试文件的输入和检测结果的输出验证信息带有随机性，该重复验证技术杜绝误报的产生。

上述公开的实施例中的检测漏洞文件的方法，综合考虑了文件包含漏洞的在终端本地执行检测和在服务器侧远端执行检测两种场景，也即对应的本地文件和远程文两种不同类型的文件包含漏洞的检测，同时综合考虑了多种语言类型环境，相较相关技术具有检测全面性和精准性的特点。

基于图1对应的实施例和上述其他实施例公开的技术方案，为了对本公开的发明内容进行进一步的充分公开，以下实施例以在终端本地执行文件包含漏洞检测和以在远端(例如服务器侧)执行文件包含漏洞检测这两种应用场景下为示例进一步公开了本发明所述的漏洞文件检测方法的实现过程。

示例一、在远端(例如服务器侧)执行文件包含漏洞检测

第一步：获取目标测试并确定目标测试环境。根据目标测试环境PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境等设定相应的目标测试文件，相应为PHP测试文件、AHP测试文件、ASPX测试文件、JSPX测试文件。

第二步：根据所述目标文件和目标环境生成目标载荷。具体为构造包含第一步中根据测试环境设定的测试文件的检测载荷Payload。

第三步：将所述目标载荷发送至服务器，在服务器中对目标文件进行解析。具体的解析规则是按照预设的与第一步中生成的每个不同测试环境下设定的目标测试文件相应的解析规则。

第四步、服务器将解析的反馈消息发送给终端。

第五步、终端判断执行结果，若判断该文件是否有被解析执行。在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

下面将按照根据不同测试环境下和获取文件构造的不同类型的目标载荷(也即根据不同测试环境构造的不同的测试文件)，示例性地说明所述目标载荷的构建过程、检测规则和检测结果判断。

示例性地，若测试环境为PHP环境下，称目标测试文件为PHP测试文件。

生成目标载荷：<？php echo md5(233)；？>

检测规则：计算某数字的MD5值，若被解析执行，则响应内容应包含该MD5值。

检测结果判断：若服务器发送的反馈消息中具有预设字符，例如输出中有特定数字的MD5值，则确认所述目标文件被执行，并确定调用所述目标文件存在漏洞。

示例性地，若测试环境为ASP环境下，称若所述目标文件为ASP测试文件：

生成目标载荷：<％

Response.Writechr(101)&chr(49)&chr(54)&chr(53)&chr(52)&chr(50)&chr(49)&chr(49)&chr(49)&chr(48)&chr(98)&chr(97)&chr(48)&chr(51)&chr(48)&chr(57)&chr(57)&chr(97)&chr(49)&chr(99)&chr(48)&chr(51)&chr(57)&chr(51)&chr(51)&chr(55)&chr(51)&chr(99)&chr(53)&chr(98)&chr(52)&chr(51)

％>

检测规则：使用Ord函数将字符串转换为字符后再进行字符串拼接。若文件被解析执行，则响应内容应包含拼接后的字符串。

执行结果判断：若服务器发送的反馈消息中具有预设字符e165421110ba03099a1c0393373c5b43。则确认所述目标文件被执行，并确定调用所述目标文件存在漏洞。

示例性地，若测试环境为ASPX环境下，称目标测试文件为ASPX测试文件：

生成目标载荷：<％@Page Language＝"C#"％>

<％

Response.Write(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM＝")))；

％>

检测规则：使用Base64解码函数对以编码字符串进行解码，若文件被解析执行，则响应内容应包含解码后的字符串。

检测结果判断：若服务器发送的反馈消息中具有预设字符e165421110ba03099a1c0393373c5b43。则确认所述目标文件被执行，并确定调用所述目标文件存在漏洞。

示例性地，若测试环境为JSP环境下，称目标测试文件为JSP测试文件：

生成目标载荷：<％

out.println(new String(newsun.misc.BASE64Decoder().decodeBuffer("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM＝")))；

％>

检测规则：使用Base64解码函数对以编码字符串进行解码，若文件被解析执行，则响应内容应包含解码后的字符串。

检测结果判断：若服务器发送的反馈消息中具有预设字符e165421110ba03099a1c0393373c5b43。则确认所述目标文件被执行，并确定调用所述目标文件存在漏洞。

示例性地，若测试环境为JSPX环境下，称目标测试文件为JSPX测试文件：

生成目标载荷：

检测规则：使用Base64解码函数对以编码字符串进行解码，若文件被解析执行，则响应内容应包含解码后的字符串。

检测结果判断：若服务器发送的反馈消息中具有预设字符e165421110ba03099a1c0393373c5b43。则确认所述目标文件被执行，并确定调用所述目标文件存在漏洞。

示例二、在终端本地执行文件包含漏洞检测：

第一步：获取目标测试并确定目标测试环境。根据目标测试环境PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境等设定相应的目标测试文件，相应为PHP测试文件、AHP测试文件、ASPX测试文件、JSPX测试文件。

第二步：根据所述目标文件和目标环境生成目标载荷。具体为构造包含第一步中根据测试环境设定的测试文件的检测载荷Payload。

第三步：将所述目标载荷上传至终端的处理器中，在处理器中对目标文件进行解析。具体的解析规则是按照预设的与第一步中生成的每个不同测试环境下设定的目标测试文件相应的解析规则。

第四步、终端判断执行结果，若判断该文件是否有被解析执行。在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

本公开实施例提供了一种检测漏洞文件的方法，应用于服务器，如图2所示，该检测漏洞文件的方法包括以下步骤：

201、接收终端发送的目标载荷，其中所述目标载荷根据待测试的目标文件和测试环境生成；

202、根据所述目标载荷的指示执行对应指令，并向所述终端发送执行的反馈消息；其中，所述反馈消息用于确定在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

基于上述图1相应的实施例中所描述的检测文件上传漏洞的方法，下述为本公开装置实施例，可以用于执行本公开方法实施例。所述实施例提供一种终端，如图3所示，该终端包括：301获取模块、302确定模块、303生成模块、304执行模块和305判断模块；其中，

所述获取模块，用于获取的目标测试文件，所述目标文件为待测试文件；

所述确定模块，用于确定所述目标文件的测试环境；

所述生成模块，用于根据所述目标文件的测试环境及所述目标文件生成目标载荷；

所述执行模块，用于根据所述目标载荷的指示执行对应的指令；

所述判断模块，用于在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

在一个可选实施例中，所述终端还包括：通讯模块306，其中，

所述通讯模块，用于在根据所述目标载荷的执行对应执行之前，上传所述目标载荷至所述终端的处理器中，并获取上传的所述目标载荷的路径信息。

在一个可选实施例中，所述终端还包括：通讯模块，其中，

所述通讯模块，用于在根据所述目标载荷的执行对应执行之前，将所述目标载荷发送至目标服务器；

所述通讯模块，还用于接收所述目标服务器执行所述对应指令的反馈消息；

所述判断模块，具体用于确定所述反馈消息中包含预设字符，则确定所述目标文件被执行，确定调用所述目标文件存在漏洞。

在一个可选实施例中，所述确定模块确定的目标文件的测试环境包括以下至少一种；

PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境。

基于上述图2相应的实施例中所描述的检测文件上传漏洞的方法，下述为本公开装置实施例，可以用于执行本公开方法实施例。所述实施例提供一种服务器，如图4所示，该服务器包括：401通讯模块和402执行模块；其中，

所述通讯模块，用于接收终端发送的目标载荷，其中所述目标载荷根据待测试的目标文件和测试环境生成；

所述执行模块，用于根据所述目标载荷的指示执行对应指令；

所述通讯模块，还用于向所述终端发送执行的反馈消息；其中，所述反馈消息用于确定在所述目标文件被执行时，确定调用所述目标文件存在漏

基于上述图1和2对应的实施例中所描述的检测漏洞文件的方法，本公开实施例还提供一种计算机可读存储介质，例如，非临时性计算机可读存储介质可以是只读存储器(英文：Read Only Memory，ROM)、随机存取存储器(英文：Random Access Memory，RAM)、CD-ROM、磁带、软盘和光数据存储装置等。该存储介质上存储有计算机指令，用于执行上述图1和图2对应的实施例中所描述的方法，此处不再赘述。

本实施例公开的检测漏洞文件的方法及相应的装置，相较相关技术提高了漏洞文件检测的准确性和可靠性。本实施例公开的漏洞文件检测的方法通过对检测的目标测试文件的随机命名实现了检测过程的安全性，设定的目标测试文件的输入和检测结果的输出验证信息带有随机性，该重复验证技术杜绝误报的产生。同时，考虑了文件包含漏洞的在终端本地执行检测和在服务器侧远端执行检测两种场景，也即对应的本地文件和远程文两种不同类型的文件包含漏洞的检测，而且综合考虑了多种测试环境下语言类型环境，相较相关技术具有检测全面性和精准性的特点。

本领域技术人员在考虑说明书及实践这里公开的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (10)

1.一种检测漏洞文件的方法，应用于终端，其特征在于，所述方法包括：

获取目标文件，所述目标文件为待测试文件；

确定所述目标文件的测试环境；

根据所述目标文件的测试环境及所述目标文件生成目标载荷；其中，所述目标载荷用于指示执行对应的指令；

在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

2.根据权利要求1所述的方法，其特征在于，在根据所述目标载荷的执行对应执行之前还包括：

上传所述目标载荷至所述终端的处理器中，并获取上传的所述目标载荷的路径信息。

3.根据权利要求1所述的方法，其特征在于，在根据所述目标载荷的执行对应执行之前还包括：将所述目标载荷发送至目标服务器；

所述在所述目标文件被执行时，确定调用所述目标文件存在漏洞包括：

接收所述目标服务器执行所述对应指令的反馈消息；

确定所述反馈消息中包含预设字符，则确定所述目标文件被执行，确定调用所述目标文件存在漏洞。

4.根据权利要求1所述的方法，其特征在于，所述目标文件的测试环境包括以下至少一种；

PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境。

5.一种检测漏洞文件的方法，应用于服务器，其特征在于，所述方法包括：

接收终端发送的目标载荷，其中所述目标载荷根据待测试的目标文件和测试环境生成；

根据所述目标载荷的指示执行对应指令，并向所述终端发送执行的反馈消息；其中，所述反馈消息用于确定在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

6.一种终端，其特征在于，所述终端包括：获取模块、确定模块、生成模块、执行模块和判断模块；其中，

所述获取模块，用于获取的目标测试文件，所述目标文件为待测试文件；

所述确定模块，用于确定所述目标文件的测试环境；

所述生成模块，用于根据所述目标文件的测试环境及所述目标文件生成目标载荷；

所述执行模块，用于根据所述目标载荷的指示执行对应的指令；

所述判断模块，用于在所述目标文件被执行时，确定调用所述目标文件存在漏洞。

7.根据权利要求6所述的终端，其特征在于，所述终端还包括：通讯模块，其中，

所述通讯模块，用于在根据所述目标载荷的执行对应执行之前，上传所述目标载荷至所述终端的处理器中，并获取上传的所述目标载荷的路径信息。

8.根据权利要求6所述的终端，其特征在于，所述终端还包括：通讯模块，其中，

所述通讯模块，用于在根据所述目标载荷的执行对应执行之前，将所述目标载荷发送至目标服务器；

所述通讯模块，还用于接收所述目标服务器执行所述对应指令的反馈消息；

所述判断模块，具体用于确定所述反馈消息中包含预设字符，则确定所述目标文件被执行，确定调用所述目标文件存在漏洞。

9.根据权利要求6所述的终端，其特征在于，所述确定模块确定的目标文件的测试环境包括以下至少一种；

PHP测试环境、AHP测试环境、ASPX测试环境、JSPX测试环境。

10.一种服务器，其特征在于，所述服务器包括：通讯模块和执行模块；其中，

所述通讯模块，用于接收终端发送的目标载荷，其中所述目标载荷根据待测试的目标文件和测试环境生成；

所述执行模块，用于根据所述目标载荷的指示执行对应指令；

所述通讯模块，还用于向所述终端发送执行的反馈消息；其中，所述反馈消息用于确定在所述目标文件被执行时，确定调用所述目标文件存在漏洞。