CN109302433B - 远程命令执行漏洞的检测方法、装置、设备及存储介质 - Google Patents

远程命令执行漏洞的检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN109302433B
CN109302433B CN201811546404.5A CN201811546404A CN109302433B CN 109302433 B CN109302433 B CN 109302433B CN 201811546404 A CN201811546404 A CN 201811546404A CN 109302433 B CN109302433 B CN 109302433B
Authority
CN
China
Prior art keywords
random value
cloud
domain name
command execution
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811546404.5A
Other languages
English (en)
Other versions
CN109302433A (zh
Inventor
郑天时
徐奎
柳庆阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201811546404.5A priority Critical patent/CN109302433B/zh
Publication of CN109302433A publication Critical patent/CN109302433A/zh
Application granted granted Critical
Publication of CN109302433B publication Critical patent/CN109302433B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种远程命令执行漏洞的检测方法,该方法包括:当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使WEB服务器将访问命令中的域名传递至预先搭建的云端NS服务器,其中,预设域名包括一用于唯一标识域名的随机值,且随机值预先保存在云端数据库中;当云检测服务器接收到云端NS服务器发送的随机值时,判断云端数据库中是否保存有与接收到随机值相同的随机值,若是,则判定WEB服务器存在远程命令执行漏洞。本发明还公开了一种远程命令执行漏洞的检测装置、设备和一种计算机可读存储介质。本发明能够实现对远程命令执行漏洞的准确检测。

Description

远程命令执行漏洞的检测方法、装置、设备及存储介质
技术领域
本发明涉及网络通信技术领域,尤其涉及远程命令执行漏洞的检测方法、装置、设备及存储介质。
背景技术
远程命令执行漏洞是一种常见的高危害级别的漏洞,通过这个漏洞,能够让攻击者在远程服务器上执行指定的命令。远程命令执行漏洞传统的验证方式是通过执行系统命令,把命令的输出内容回显到页面上来验证命令是否存在,然而有些远程命令执行漏洞并不在返回内容中包含命令的输出结果,这种情况下,传统的方法就无法验证了。
目前存在一种无回显的远程命令执行漏洞的验证方法,该方法通过特定命令制造时间上的延时,根据对比不同请求的返回时间长短,来识别远程命令执行漏洞的存在,但是这种方法会由于网络的延迟而产生误报,检测准确性较低。
发明内容
本发明的主要目的在于提出一种远程命令执行漏洞的检测方法、装置、设备及存储介质,旨在实现对远程命令执行漏洞的准确检测。
为实现上述目的,本发明提供一种远程命令执行漏洞的检测方法,所述方法包括如下步骤:
当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的预设域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;
当所述云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
优选地,所述向待检测的WEB服务器注入基于预设域名的访问命令的步骤之前,还包括:
调用预设插件生成一个随机值;
根据所述随机值以及原始域名生成所述预设域名。
优选地,所述调用预设插件生成一个随机值的步骤之后,还包括:
为生成的所述随机值设置一个初始标识位,并将设置的所述初始标识位和生成的所述随机值关联保存至所述云端数据库中;
所述判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值的步骤之后,还包括:
当所述云端数据库中保存有与接收到所述随机值相同的随机值时,判断所述云端数据库中保存的所述随机值的初始标识位是否发生过改变,若否,则更改所述云端数据库中保存的所述随机值的初始标识位。
优选地,所述初始标识位和生成的所述随机值以键值对的形式保存在所述云端数据库中。
优选地,所述判定所述WEB服务器存在远程命令执行漏洞的步骤之后,还包括:
在向所述WEB服务器注入基于预设域名的访问命令后的预设时长内,检测所述云端数据库中保存的所述随机值的初始标识位是否发生改变,若是,则确定所述WEB服务器存在远程命令执行漏洞的判定结果是准确的,否则发出基于所述判定结果的误判告警。
优选地,所述向待检测的WEB服务器注入基于预设域名的访问命令的步骤之前,还包括:
向待检测的WEB服务器发送刷新缓存命令,以使所述WEB服务器刷新本地缓存。
此外,为实现上述目的,本发明还提供一种远程命令执行漏洞的检测装置,所述远程命令执行漏洞的检测装置包括:
命令注入模块,用于当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;
判断模块,用于当云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
此外,为实现上述目的,本发明还提供一种远程命令执行漏洞的检测设备,所述远程命令执行漏洞的检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的远程命令执行漏洞的检测程序,所述远程命令执行漏洞的检测程序被所述处理器执行时实现如上所述的远程命令执行漏洞的检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有远程命令执行漏洞的检测程序,所述远程命令执行漏洞的检测程序被处理器执行时实现如上所述的远程命令执行漏洞的检测方法的步骤。
本发明提出的远程命令执行漏洞的检测方法,首先,当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,由于当WEB服务器存在远程命令执行漏洞时,该访问命令中的域名会被WEB服务器传递至预先搭建的云端NS服务器,因此,当云检测服务器接收到云端NS服务器发送的用于唯一标识域名的随机值,且判断云端数据库中保存有与该随机值相同的随机值时,说明访问命令中的域名传递到了云端NS服务器,此时即可判定WEB服务器存在远程命令执行漏洞。通过这种方式,实现了对远程命令执行漏洞的准确检测。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明远程命令执行漏洞的检测方法第一实施例的流程示意图;
图3为本发明实施例中WEB服务器将访问命令中的域名传递至预先搭建的云端NS服务器的场景示意图;
图4为本发明远程命令执行漏洞的检测装置一实施例的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;当云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
目前存在一种无回显的远程命令执行漏洞的验证方法,该方法通过特定命令制造时间上的延时,根据对比不同请求的返回时间长短,来识别远程命令执行漏洞的存在,但是这种方法会由于网络的延迟而产生误报,检测准确性较低。
本发明提出的远程命令执行漏洞的检测方法,首先,当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,由于当WEB服务器存在远程命令执行漏洞时,该访问命令中的域名会被WEB服务器传递至预先搭建的云端NS服务器,因此,当云检测服务器接收到云端NS服务器发送的用于唯一标识域名的随机值,且判断云端数据库中保存有与该随机值相同的随机值时,说明访问命令中的域名传递到了云端NS服务器,此时即可判定WEB服务器存在远程命令执行漏洞。通过这种方式,实现了对远程命令执行漏洞的准确检测。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明实施例远程命令执行漏洞的检测设备为云检测服务器。
如图1所示,该远程命令执行漏洞的检测设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及远程命令执行漏洞的检测程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的远程命令执行漏洞的检测程序,并执行以下远程命令执行漏洞的检测方法实施例中的操作。
基于上述硬件结构,提出本发明远程命令执行漏洞的检测方法实施例。
参照图2,图2为本发明远程命令执行漏洞的检测方法第一实施例的流程示意图,所述方法包括:
步骤S10,当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的预设域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;
本实施例远程命令执行漏洞的检测方法应用于云检测服务器,该云检测服务器具备远程命令执行漏洞检测功能,为保证本发明正常实施,云端还预先搭建有一恶意的NS(Name Server)服务器,即域名服务器记录。
首先,当云检测服务器接收到远程命令执行漏洞检测指令时,可以通过预设插件向待检测的WEB服务器注入基于预设域名的访问命令。其中,预设域名中包括一用于唯一标识该域名的随机值,该随机值可以是随机数据通过哈希算法计算得到的哈希值(如MD5值),也可以是随机数据本身,本实施例对随机值的生成方式及位数不作限定;另外,域名的随机值还被预先保存在云端数据库中,用于后续比对。
访问命令可以以ping(一种计算机命令)的形式注入WEB服务器,在WEB服务器接收到访问命令后,正常情况下,如果WEB服务器不存在远程命令执行漏洞,将不会执行该命令,而当WEB服务器存在远程命令执行漏洞时,该命令就会生效,此时WEB服务器会最终将该访问命令中的域名传递至预先搭建的云端NS服务器。
具体地,作为一种实施方式,参照图3,图3为本发明实施例中WEB服务器将访问命令中的域名传递至预先搭建的云端NS服务器的场景示意图。以域名xxx.text.com为例(其中xxx表示随机值),首先,当WEB服务器接收到云检测服务器注入基于域名xxx.text.com的访问命令时,如果WEB服务器存在远程命令执行漏洞,则该访问命令能够被正常执行,此时WEB服务器对该访问命令进行解析以获取到其中携带的域名xxx.text.com,然后,WEB服务器向本地DNS服务器查询域名xxx.text.com,本地DNS(Domain Name Server)服务器查询到该域名由云端DNS服务器解析,将该域名传递至云端DNS服务器,云端DNS服务器根据用户自定义向本地DNS服务器返回NS服务器地址ns.text.com,本地DNS服务器在接收到云端DNS服务器返回的NS服务器地址后,即将域名xxx.text.com发送给对应的云端NS服务器。
云端NS服务器通过记录并解析DNS日志,可以获取到域名中的随机值,之后再将该随机值发送给云检测服务器,以使云检测服务器验证远程命令执行漏洞是否存在。
步骤S20,当所述云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
当云检测服务器接收到云端NS服务器发送的随机值时,从云端数据库中进行查找,判断云端数据库中是否保存有与该随机值相同的随机值。由于随机值是域名的唯一标识,因此当云端数据库中保存有与该随机值相同的随机值时,说明云检测服务器向WEB服务器注入的访问命令中的域名传递到了云端NS服务器,此时即可判定WEB服务器存在远程命令执行漏洞;当云端数据库中没有与该随机值相同的随机值时,则不作判定处理。
本实施例提出的远程命令执行漏洞的检测方法,首先,当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,由于当WEB服务器存在远程命令执行漏洞时,该访问命令中的域名会被WEB服务器传递至预先搭建的云端NS服务器,因此,当云检测服务器接收到云端NS服务器发送的用于唯一标识域名的随机值,且判断云端数据库中保存有与该随机值相同的随机值时,说明访问命令中的域名传递到了云端NS服务器,此时即可判定WEB服务器存在远程命令执行漏洞。通过这种方式,实现了对远程命令执行漏洞的准确检测。
进一步地,基于本发明远程命令执行漏洞的检测方法第一实施例,提出本发明远程命令执行漏洞的检测方法第二实施例。
在本实施例中,所述向待检测的WEB服务器注入基于预设域名的访问命令的步骤可以包括:调用预设插件生成一个随机值;根据所述随机值以及原始域名生成所述预设域名。
具体地,可以根据随机值生成原始域名的下一级子域名,将该下一级子域名作为预设域名。以原始域名为一级域名,子域名为二级域名为例,不妨设生成的随机值为123456,预设原始域名为一级域名text.com,此时可以根据随机值生成一个一级域名的子域名123456.text.com,其中,随机值123456即作为域名123456.text.com的唯一标识;之后,再向待检测的WEB服务器注入基于123456.text.com的访问命令。当然,原始域名还可以是二级域名,此时对应的子域名为三级域名,具体实施时可灵活设置。
进一步地,上述调用预设插件生成一个随机值的步骤之后,还可以包括:为生成的所述随机值设置一个初始标识位,并将设置的所述初始标识位和生成的所述随机值关联保存至所述云端数据库中;此时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值的步骤之后,还可以包括:当所述云端数据库中保存有与接收到所述随机值相同的随机值时,判断所述云端数据库中保存的所述随机值的初始标识位是否发生过改变,若否,则更改所述云端数据库中保存的所述随机值的初始标识位。
在生成随机值后,云检测服务器可以为生成的随机值设置一个初始标识位,并将设置的初始标识位和随机值关联保存至所述云端数据库中。优选地,初始标识位和随机值可以以键值对的形式保存在云端数据库中,以便于结构化存储数据,其中初始标识位可灵活设置,比如可以设置为“False”。当后续检测到云端数据库中保存有与接收到云端NS服务器发送的随机值相同的随机值时,首先判断云端数据库中保存的所述随机值的初始标识位是否发生过改变,即已经由“False”变为了“True”,若未发生过改变,则更改云端数据库中保存的随机值的初始标识位,即:将“False”更改为“True”,以表示存在远程命令执行漏洞。通过这种方式,实现了对远程命令执行漏洞的检测结果进行数据化标识记录。
相反,若云端数据库中保存的随机值的初始标识位已经发生过改变,说明在本次接收到随机值之前,云检测服务器已经接收过一个相同的随机值,并基于该相同的随机值作出了WEB服务器存在远程命令执行漏洞的判定。产生这种现象的原因在于:根据现有的随机值生成工具,仍存在极低的概率生成两个一模一样的随机值,当这两个一模一样的随机值先后均被云检测服务器接收到时,对于后接收到的随机值,云检测服务器中必然保存有一个与其相同的随机值,此时会导致WEB服务器存在远程命令执行漏洞的误判。因此,若云端数据库中保存的所述随机值的初始标识发生过改变,需考虑误判的可能。
进一步地,所述判定所述WEB服务器存在远程命令执行漏洞的步骤之后,还包括:
在向所述WEB服务器注入基于预设域名的访问命令后的预设时长内,检测所述云端数据库中保存的所述随机值的初始标识位是否发生改变,若是,则确定所述WEB服务器存在远程命令执行漏洞的判定结果是准确的,否则发出基于所述判定结果的误判告警。
具体地,当云检测服务器向待检测的WEB服务器注入基于预设域名的访问命令后,可以在预设时长内检测云端数据库中保存的随机值的初始标识位是否发生改变,该检测可以是实时检测,也可以是按预设周期检测,其中预设时长可以根据实际情况(如网络延时)进行灵活设置;当检测到云端数据库中保存的随机值的初始标识位发生改变(由“False”变为了“True”)时,可以确定所述WEB服务器存在远程命令执行漏洞的判定结果是准确的;反之,若在预设时长内未检测到云端数据库中保存的随机值的初始标识位发生改变,即一直都是“True”,则可以发出基于WEB服务器存在远程命令执行漏洞的判定结果的误判告警,也即,此时并非是WEB服务器存在远程命令执行漏洞,而是由于两个一模一样的随机值先后均被云检测服务器接收到而产生了误判。
上述通过初始标识位的方式能够有效识别出远程命令执行漏洞误判的情况,便于管理人员及时采取相应措施以消除误判。
进一步地,所述向待检测的WEB服务器注入基于预设域名的访问命令的步骤之前,还可以包括:向待检测的WEB服务器发送刷新缓存命令,以使所述WEB服务器刷新本地缓存。
在云检测服务器向待检测的WEB服务器注入基于预设域名的访问命令之前,可以先向该WEB服务器发送刷新缓存命令,以使WEB服务器刷新本地缓存。刷新缓存可以避免由于WEB服务器通过缓存执行云检测服务器当前注入的访问命令而导致的误执行情况,比如WEB服务器的远程命令执行漏洞被修复,但通过缓存还是可以正常执行访问命令,如此导致远程命令执行漏洞的误检测,而刷新缓存能够减少误报的情况发生,进一步提高了命令执行漏洞检测的准确性。
本发明还提供一种远程命令执行漏洞的检测装置,参照图4,图4为本发明远程命令执行漏洞的检测装置一实施例的模块示意图,本实施例中,所述远程命令执行漏洞的检测装置包括:
命令注入模块10,用于当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;
判断模块20,用于当云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
上述各功能模块实现的方法可参照本发明远程命令执行漏洞的检测方法实施例,此处不再赘述。
本实施例提出的远程命令执行漏洞的检测装置,当命令注入模块10接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,由于当WEB服务器存在远程命令执行漏洞时,该访问命令中的域名会被WEB服务器传递至预先搭建的云端NS服务器,因此,当云检测服务器接收到云端NS服务器发送的用于唯一标识域名的随机值,且判断模块20判断云端数据库中保存有与该随机值相同的随机值时,说明访问命令中的域名传递到了云端NS服务器,此时即可判定WEB服务器存在远程命令执行漏洞。通过这种方式,实现了对远程命令执行漏洞的准确检测。
本发明还提供一种计算机可读存储介质。
本发明计算机可读存储介质上存储有远程命令执行漏洞的检测程序,所述远程命令执行漏洞的检测程序被处理器执行时实现如上所述的远程命令执行漏洞的检测方法的步骤。
其中,在所述处理器上运行的远程命令执行漏洞的检测程序被执行时所实现的方法可参照本发明远程命令执行漏洞的检测方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种远程命令执行漏洞的检测方法,其特征在于,所述远程命令执行漏洞的检测方法包括如下步骤:
向待检测的WEB服务器发送刷新缓存命令,以使所述WEB服务器刷新本地缓存;
当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的预设域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;
当所述云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
2.如权利要求1所述的远程命令执行漏洞的检测方法,其特征在于,所述向待检测的WEB服务器注入基于预设域名的访问命令的步骤之前,还包括:
调用预设插件生成一个随机值;
根据所述随机值以及原始域名生成所述预设域名。
3.如权利要求2所述的远程命令执行漏洞的检测方法,其特征在于,所述调用预设插件生成一个随机值的步骤之后,还包括:
为生成的所述随机值设置一个初始标识位,并将设置的所述初始标识位和生成的所述随机值关联保存至所述云端数据库中;
所述判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值的步骤之后,还包括:
当所述云端数据库中保存有与接收到所述随机值相同的随机值时,判断所述云端数据库中保存的所述随机值的初始标识位是否发生过改变,若否,则更改所述云端数据库中保存的所述随机值的初始标识位。
4.如权利要求3所述的远程命令执行漏洞的检测方法,其特征在于,所述初始标识位和生成的所述随机值以键值对的形式保存在所述云端数据库中。
5.如权利要求3所述的远程命令执行漏洞的检测方法,其特征在于,所述判定所述WEB服务器存在远程命令执行漏洞的步骤之后,还包括:
在向所述WEB服务器注入基于预设域名的访问命令后的预设时长内,检测所述云端数据库中保存的所述随机值的初始标识位是否发生改变,若是,则确定所述WEB服务器存在远程命令执行漏洞的判定结果是准确的,否则发出基于所述判定结果的误判告警。
6.一种远程命令执行漏洞的检测装置,其特征在于,所述远程命令执行漏洞的检测装置包括:
命令注入模块,用于向待检测的WEB服务器发送刷新缓存命令,以使所述WEB服务器刷新本地缓存,当云检测服务器接收到远程命令执行漏洞检测指令时,向待检测的WEB服务器注入基于预设域名的访问命令,以使所述WEB服务器将所述访问命令中的预设域名传递至预先搭建的云端NS服务器,并经由所述云端NS服务器对所述预设域名进行解析得到所述预设域名中的随机值后,将所述随机值发送给所述云检测服务器,其中,所述预设域名包括一用于唯一标识所述域名的随机值,且所述随机值预先保存在云端数据库中;
判断模块,用于当所述云检测服务器接收到所述云端NS服务器发送的随机值时,判断所述云端数据库中是否保存有与接收到所述随机值相同的随机值,若是,则判定所述WEB服务器存在远程命令执行漏洞。
7.一种远程命令执行漏洞的检测设备,其特征在于,所述远程命令执行漏洞的检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的远程命令执行漏洞的检测程序,所述远程命令执行漏洞的检测程序被所述处理器执行时实现如权利要求1至5中任一项所述的远程命令执行漏洞的检测方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有远程命令执行漏洞的检测程序,所述远程命令执行漏洞的检测程序被处理器执行时实现如权利要求1至5中任一项所述的远程命令执行漏洞的检测方法的步骤。
CN201811546404.5A 2018-12-17 2018-12-17 远程命令执行漏洞的检测方法、装置、设备及存储介质 Active CN109302433B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811546404.5A CN109302433B (zh) 2018-12-17 2018-12-17 远程命令执行漏洞的检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811546404.5A CN109302433B (zh) 2018-12-17 2018-12-17 远程命令执行漏洞的检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN109302433A CN109302433A (zh) 2019-02-01
CN109302433B true CN109302433B (zh) 2021-05-04

Family

ID=65142909

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811546404.5A Active CN109302433B (zh) 2018-12-17 2018-12-17 远程命令执行漏洞的检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN109302433B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110336770A (zh) * 2019-04-04 2019-10-15 平安科技(深圳)有限公司 远程监测漏洞的方法、装置、设备和存储介质
CN110311886A (zh) * 2019-04-04 2019-10-08 平安科技(深圳)有限公司 服务器漏洞检测方法、装置、设备和存储介质
CN111597559B (zh) * 2020-05-15 2023-10-13 北京铭图天成信息技术有限公司 系统命令注入漏洞检测方法和装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105429955A (zh) * 2015-10-30 2016-03-23 西安四叶草信息技术有限公司 一种远程漏洞的检测方法
CN105631341A (zh) * 2015-12-18 2016-06-01 北京奇虎科技有限公司 一种漏洞盲测方法及装置
CN107181768A (zh) * 2017-07-26 2017-09-19 成都科来软件有限公司 一种服务器系统的漏洞检测方法
CN107222588A (zh) * 2017-07-14 2017-09-29 中国互联网络信息中心 一种提高dns可用性的方法及系统
CN108632219A (zh) * 2017-03-21 2018-10-09 腾讯科技(深圳)有限公司 一种网站漏洞检测方法、检测服务器及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105429955A (zh) * 2015-10-30 2016-03-23 西安四叶草信息技术有限公司 一种远程漏洞的检测方法
CN105631341A (zh) * 2015-12-18 2016-06-01 北京奇虎科技有限公司 一种漏洞盲测方法及装置
CN108632219A (zh) * 2017-03-21 2018-10-09 腾讯科技(深圳)有限公司 一种网站漏洞检测方法、检测服务器及系统
CN107222588A (zh) * 2017-07-14 2017-09-29 中国互联网络信息中心 一种提高dns可用性的方法及系统
CN107181768A (zh) * 2017-07-26 2017-09-19 成都科来软件有限公司 一种服务器系统的漏洞检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
巧用DNSlog实现无回显注入;Afant1;《https://www.cnblogs.com/afanti/p/8047530.html》;20171216;第1-4页 *

Also Published As

Publication number Publication date
CN109302433A (zh) 2019-02-01

Similar Documents

Publication Publication Date Title
CN108989355B (zh) 一种漏洞检测方法和装置
US10073916B2 (en) Method and system for facilitating terminal identifiers
CN109302433B (zh) 远程命令执行漏洞的检测方法、装置、设备及存储介质
US10182068B2 (en) Determine vulnerability using runtime agent and network sniffer
CN108664793B (zh) 一种检测漏洞的方法和装置
CN108881101B (zh) 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
US9147067B2 (en) Security method and apparatus
CN112703496B (zh) 关于恶意浏览器插件对应用用户的基于内容策略的通知
WO2019127890A1 (zh) 漏洞扫描方法、装置、计算机设备和存储介质
CN109005142B (zh) 网站安全检测方法、装置、系统、计算机设备和存储介质
CN108256322B (zh) 安全测试方法、装置、计算机设备和存储介质
US20110099607A1 (en) Method of authenticating and branding emails and other messages using information available in a message list
CN105635064B (zh) Csrf攻击检测方法及装置
CN105337993A (zh) 一种基于动静结合的邮件安全检测装置及方法
CN108156270B (zh) 域名请求处理方法和装置
CN110888838A (zh) 基于对象存储的请求处理方法、装置、设备及存储介质
KR102242219B1 (ko) 서버가 공격받는 것을 막기 위한 방법 및 디바이스
CN111600885A (zh) Sql注入漏洞检测方法和装置、设备及存储介质
CN109617977B (zh) 一种网页请求处理方法及装置
CN113055399A (zh) 注入攻击的攻击成功检测方法、系统及相关装置
CN109660552A (zh) 一种将地址跳变和WAF技术相结合的Web防御方法
US20170054753A1 (en) Polluting results of vulnerability scans
CN108282446A (zh) 识别扫描器的方法及设备
CN103634422A (zh) 一种cdn源站的ip地址识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant