CN109446819B - 越权漏洞检测方法及装置 - Google Patents
越权漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN109446819B CN109446819B CN201811279042.8A CN201811279042A CN109446819B CN 109446819 B CN109446819 B CN 109446819B CN 201811279042 A CN201811279042 A CN 201811279042A CN 109446819 B CN109446819 B CN 109446819B
- Authority
- CN
- China
- Prior art keywords
- url
- response information
- access
- list
- urls
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种越权漏洞检测方法及装置,通过采用基于Web访问日志还原URL的方式,增大了URL检测的范围及覆盖度,此外获取通过访问各个URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息,并根据第一响应信息和第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果,无需人工检测参与,能够高效地挖掘出越权访问漏洞,保证网站安全。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种越权漏洞检测方法及装置。
背景技术
目前,在进行漏洞检测时,传统的漏洞扫描器会爬取网站某一个页面上的所有链接地址,再访问这些链接地址,根据响应内容判定是否存在漏洞。然而,上述方案中难以区分WEB应用的前后台,涉及的URL范围窄,导致很多越权漏洞难以检测到。因此一般越权漏洞大多采用人工检测方式,但是人工检测方式需要专业的渗透人员,对WEB应用代码进行审计,对应用的接口进行测试,从而导致测试过程繁琐、效率低下,极大增加人力成本。
发明内容
为了克服现有技术中的上述不足,本申请的目的在于提供一种越权漏洞检测方法及装置,以解决或者改善上述问题。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供越权漏洞检测方法,应用于与访问终端和网站服务器通信连接的安全服务器,所述方法还包括:
获取各个访问终端访问对应的网站服务器时生成的Web访问日志;
从所述Web访问日志中提取第一URL列表,并针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表,其中,所述第二URL列表包括多个URL以及与每个URL关联的随机URL;
针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息;
根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果。
可选地,所述获取各个访问终端向访问目标网站服务器时生成的Web访问日志的步骤,包括:
接收各个访问终端发起的访问对应的网站服务器的访问请求;
将各个访问终端发起的所述访问请求转发给对应的网站服务器,并记录各个访问终端发起的访问请求中的访问记录,以获取各个网站服务器的Web访问日志。
可选地,所述从所述Web访问日志中提取第一URL列表的步骤,包括:
将所述Web访问日志中的访问异常日志进行过滤,得到过滤访问异常日志后的Web访问日志;
从所述过滤访问异常日志后的Web访问日志中提取多个URL,得到初始URL列表;
对所述初始URL列表中参数名称相同的URL进行去重处理,得到去重处理后的初始URL列表;
将所述去重处理后的初始URL列表中的每个URL与预先配置的危险URL数据库中的各个危险URL进行比对,获取所述去重处理后的初始URL列表中存在的危险URL;
将获取到的所有的危险URL从所述去重处理后的初始URL列表中删除,将剩余的URL组成所述第一URL列表。
可选地,所述针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表的步骤,包括:
针对所述第一URL列表中的每个URL,将该URL中的参数类型中的字符串或者数字进行随机替换,生成与该URL关联的随机URL。
可选地,所述针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息的步骤,包括:
针对每个URL,向该URL对应的网站服务器发送访问请求,并接收该网站服务器响应所述访问请求反馈的第一响应信息,并向该URL关联的随机URL对应的网站服务器发送访问请求,并接收该网站服务器响应所述访问请求反馈的第二响应信息。
可选地,所述根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果的步骤,包括:
将所述第一响应信息和所述第二响应信息进行信息对比,判断所述第一响应信息中的字符串长度是否与所述第二响应信息的字符串长度匹配,得到匹配结果,并采用预设的正则表达式分别检测所述第一响应信息和所述第二响应信息中是否存在敏感信息,得到检测结果;
若所述匹配结果表征所述第一响应信息中的字符串长度与所述第二响应信息的字符串长度匹配,且所述检测结果表征所述第一响应信息和所述第二响应信息中均存在敏感信息,则判定该URL对应的网站存在越权漏洞。
第二方面,本申请实施例还提供一种越权漏洞检测装置,应用于与访问终端和网站服务器通信连接的安全服务器,所述装置还包括:
日志获取模块,用于获取各个访问终端访问对应的网站服务器时生成的Web访问日志;
提取模块,用于从所述Web访问日志中提取第一URL列表,并针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表,其中,所述第二URL列表包括多个URL以及与每个URL关联的随机URL;
响应信息获取模块,用于针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息;
检测模块,用于根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果。
第三方面,本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现上述的越权漏洞检测方法。
相对于现有技术而言,本申请具有以下有益效果:
本申请实施例提供一种越权漏洞检测方法及装置,通过采用基于Web访问日志还原URL的方式,增大了URL检测的范围及覆盖度,此外获取通过访问各个URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息,并根据第一响应信息和第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果,无需人工检测参与,能够高效地挖掘出越权访问漏洞,保证网站安全。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本申请实施例提供的越权漏洞检测方法的应用场景示意图;
图2为本申请实施例提供的越权漏洞检测方法的流程示意图;
图3为本申请实施例提供的越权漏洞检测装置的功能模块图;
图4为本申请实施例提供的用于上述越权漏洞检测方法的安全服务器的结构示意框图。
图标:100-安全服务器;110-总线;120-处理器;130-存储介质;140-总线接口;150-网络适配器;160-用户接口;200-越权漏洞检测装置;210-日志获取模块;220-提取模块;230-响应信息获取模块;240-检测模块;300-访问终端;500-网站服务器。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其它实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
请参阅图1,为本申请实施例提供的越权漏洞检测方法的应用场景示意图。本实施例中,安全服务器100分别与至少一个访问终端300和网站服务器500通信连接。
其中,网站服务器500(Website Server)为在互联网数据中心中存放网站的服务器,主要用于网站的互联网中的发布、应用,是网络应用的基础硬件设施。
访问终端300可以是一种具有无线收发功能的设备可以部署在陆地上,包括室内或室外、手持、穿戴或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述访问终端300可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality,VR)终端设备、增强现实(AugmentedReality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。
安全服务器100可以用于在某个访问终端300需要访问该网站服务器500时,首先接收该访问终端300发送的访问请求,并对该访问请求进行安全识别后转发给给网站服务器500。
下面结合图1中所示的应用场景对本申请实施例的技术方案进行详细阐述,请参阅图2,为本申请实施例提供的越权漏洞检测方法的一种流程示意图。所应说明的是,本申请实施例提供的越权漏洞检测方法不以图1及以下的具体顺序为限制。该方法的具体流程如下:
步骤S210,获取各个访问终端300访问对应的网站服务器500时生成的Web访问日志。
本实施例中,安全服务器100可接收各个访问终端300发起的访问对应的网站服务器500的访问请求,然后将各个访问终端300发起的所述访问请求转发给对应的网站服务器500,并记录各个访问终端300发起的访问请求中的访问记录,以获取各个网站服务器500的Web访问日志。
步骤S220,从所述Web访问日志中提取第一URL列表,并针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表。
本实施例中,所述第二URL列表包括多个URL以及与每个URL关联的随机URL。作为一种实施方式,本步骤S220可以通过如下子步骤实现:
首先,将所述Web访问日志中的访问异常日志进行过滤,得到过滤访问异常日志后的Web访问日志。也即,在进行URL整理时,需要过滤掉状态码404、403、500等访问异常的日志。
以下述访问日志为例:
192.168.1.100 26/Jul/2018:09:21:23+0800wwww.test.com"GET/index.php?act=login HTTP/1.1"200 0"Dalvik/1.6.0(Linux;U;Android4.1.1;ARMM7K Build/JRO03H)""-"
上述访问日志中的响应状态码为200,说明是正常响应,无需过滤。
然后,从所述过滤访问异常日志后的Web访问日志中提取多个URL,得到初始URL列表。以上述访问日志为例,可以根据主机地址及URI就恢复出访问的URL,还原后的URL为:
http://www.test.com/index.php?act=login。
接着,对所述初始URL列表中参数名称相同的URL进行去重处理,得到去重处理后的初始URL列表。
本实施例中,为了减少URL请求数量,节约后续的漏洞检测时间,本实施例可以对所述初始URL列表中参数名称相同的URL进行去重处理,以如下几个URL为例:
http://www.test.com/index.php?newsid=1000
http://www.test.com/index.php?newsid=1001
http://www.test.com/index.php?notice=1000
由于上述几个URL中的前两个URL的参数名称相同,都为newsid,因此去重处理后的结果为:
http://www.test.com/index.php?newsid=1000
http://www.test.com/index.php?notice=1000
而后,本实施例还需要将部分存在危险的URL删除掉,避免在下一步的操作中造成重要文件删除、数据库内容修改等。可选地,尅将所述去重处理后的初始URL列表中的每个URL与预先配置的危险URL数据库中的各个危险URL进行比对,获取所述去重处理后的初始URL列表中存在的危险URL。
最后,将获取到的所有的危险URL从所述去重处理后的初始URL列表中删除,将剩余的URL组成所述第一URL列表。
在上述基础上,针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表。
作为一种实施方式,本实施例针对所述第一URL列表中的每个URL,将该URL中的参数类型中的字符串或者数字进行随机替换,生成与该URL关联的随机URL。其中,随机替换的目的是将来URL中的参数进行修改,随机生成一些新的URL。
此处以对参数类型进行随机替换为例,在一种实施方式中,具体替换规则可以为,如果参数的类型为字符串,,则随机生成相同长度的字符串,以及如果参数类型为数字,则将数字的值进行加一。当然可以理解的是,以上替换规则仅为示例,在实际实施过程中,可以采用更多的替换方法。
作为示例,替换前的URL可以为:
http://www.test.com/index.php?token=c4ca4238a0b923820dcc509a6f75849b
http://www.test.com/admin/update_info.php?user_id=1443
替换后的URL可以为:
http://www.test.com/index.php?token=c51ce410c124a10e0db5e4b97fc2af39
http://www.test.com/admin/update_info.php?user_id=1444
然后,将替换后的URL加入到第一URL列表中,从而形成第二URL列表。
步骤S230,针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息。
本实施例中,可以针对每个URL,向该URL对应的网站服务器500发送访问请求,并接收该网站服务器500响应所述访问请求反馈的第一响应信息,并向该URL关联的随机URL对应的网站服务器500发送访问请求,并接收该网站服务器500响应所述访问请求反馈的第二响应信息。
其中,上述的第一响应信息和第二响应信息一般为HTML代码,本实施例可以将HTML代码单独保存成文件,并记录文件与URL的对应关系。
其中,一种HTML代码示例可以为:
<!DOCTYPE HTML5>
<HTML>
<HEAD>
<TITLE>UserEdit.</TITLE>
</HEAD>
<BODY onload="decrypt()">
<input type=text name=username value=admin>
<input type=text name=password value=admin>
<input type=submit>
</BODY>
</HTML>
步骤S240,根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果。
在一种实施方式中,可以将所述第一响应信息和所述第二响应信息进行信息对比,判断所述第一响应信息中的字符串长度是否与所述第二响应信息的字符串长度匹配,得到匹配结果,并采用预设的正则表达式分别检测所述第一响应信息和所述第二响应信息中是否存在敏感信息,得到检测结果。若所述匹配结果表征所述第一响应信息中的字符串长度与所述第二响应信息的字符串长度匹配,且所述检测结果表征所述第一响应信息和所述第二响应信息中均存在敏感信息,则判定该URL对应的网站存在越权漏洞。
其中,采用预设的正则表达式进行正则匹配是一种字符串的匹配方法。本实施例中可以根据检测的需要,整理预设的正则表达式用于检测手机号码、邮箱、账号密码、银行卡号、身份证号码等敏感信息。
作为示例,一种URL以及该URL关联的随机URL如下:
http://www.test.com/admin/update_info.php?user_id=1443
http://www.test.com/admin/update_info.php?user_id=1444
对应的第一响应信息为:
<html>
<head><title>user_edit</title></head>
<body>
<form action="save.php?user_id=1443"method="post">
username:<br>
<input type="text"name="username"value="lili">
<br>
mobile:<br>
<input type="text"name="mobile"value="13800138001">
<br><br>
<input type="submit"value="Submit">
</form>
</body>
</html>
对应的第二响应信息为:
<html>
<head><title>user_edit</title></head>
<body>
<form action="save.php?user_id=1444"method="post">
username:<br>
<input type="text"name="username"value="ming">
<br>
mobile:<br>
<input type="text"name="mobile"value="13800138002">
<br><br>
<input type="submit"value="Submit">
</form>
</body>
</html>
不难看出,第一响应信息和第二响应信息的字符串匹配,同时根据以下正则表达式可以搜索到手机号码:
^(13[0-9]|14[579]|15[0-3,5-9]|16[6]|17[0135678]|18[0-9]|19[89])\\d{8}$
搜索到的手机号码为13800138002,因此可以判定上述URL对应的网站存在越权漏洞,同时可以检测到敏感数据内容。
如此,本实施例通过采用基于Web访问日志还原URL的方式,增大了URL检测的范围及覆盖度,此外获取通过访问各个URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息,并根据第一响应信息和第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果,无需人工检测参与,能够高效地挖掘出越权访问漏洞,保证网站安全。
进一步地,请参阅图3,本申请实施例还提供一种越权漏洞检测装置200,该装置可以包括:
日志获取模块210,用于获取各个访问终端300访问对应的网站服务器500时生成的Web访问日志。
提取模块220,用于从所述Web访问日志中提取第一URL列表,并针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表,其中,所述第二URL列表包括多个URL以及与每个URL关联的随机URL。
响应信息获取模块230,用于针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息。
检测模块240,用于根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果。
可选地,所述提取模块220,具体可以用于:
将所述Web访问日志中的访问异常日志进行过滤,得到过滤访问异常日志后的Web访问日志;
从所述过滤访问异常日志后的Web访问日志中提取多个URL,得到初始URL列表;
对所述初始URL列表中参数名称相同的URL进行去重处理,得到去重处理后的初始URL列表;
将所述去重处理后的初始URL列表中的每个URL与预先配置的危险URL数据库中的各个危险URL进行比对,获取所述去重处理后的初始URL列表中存在的危险URL;
将获取到的所有的危险URL从所述去重处理后的初始URL列表中删除,将剩余的URL组成所述第一URL列表。
可选地,所述响应信息获取模块230,具体可以用于:
针对每个URL,向该URL对应的网站服务器500发送访问请求,并接收该网站服务器500响应所述访问请求反馈的第一响应信息,并向该URL关联的随机URL对应的网站服务器500发送访问请求,并接收该网站服务器500响应所述访问请求反馈的第二响应信息。
可选地,所述检测模块240,具体可以用于:
将所述第一响应信息和所述第二响应信息进行信息对比,判断所述第一响应信息中的字符串长度是否与所述第二响应信息的字符串长度匹配,得到匹配结果,并采用预设的正则表达式分别检测所述第一响应信息和所述第二响应信息中是否存在敏感信息,得到检测结果;
若所述匹配结果表征所述第一响应信息中的字符串长度与所述第二响应信息的字符串长度匹配,且所述检测结果表征所述第一响应信息和所述第二响应信息中均存在敏感信息,则判定该URL对应的网站存在越权漏洞。
可以理解的是,本实施例中的各功能模块的具体操作方法可参照上述方法实施例中相应步骤的详细描述,在此不再重复赘述。
进一步地,请参阅图4,为本申请实施例提供的用于上述越权漏洞检测方法的安全服务器100的一种结构示意框图。本实施例中,所述安全服务器100可以由总线110作一般性的总线体系结构来实现。根据安全服务器100的具体应用和整体设计约束条件,总线110可以包括任意数量的互连总线和桥接。总线110将各种电路连接在一起,这些电路包括处理器120、存储介质130和总线接口140。可选地,安全服务器100可以使用总线接口140将网络适配器150等经由总线110连接。网络适配器150可用于实现安全服务器100中物理层的信号处理功能,并通过天线实现射频信号的发送和接收。用户接口160可以连接外部设备,例如:键盘、显示器、鼠标或者操纵杆等。总线110还可以连接各种其它电路,如定时源、外围设备、电压调节器或者功率管理电路等,这些电路是本领域所熟知的,因此不再详述。
可以替换的,安全服务器100也可配置成通用处理系统,例如通称为芯片,该通用处理系统包括:提供处理功能的一个或多个微处理器,以及提供存储介质130的至少一部分的外部存储器,所有这些都通过外部总线体系结构与其它支持电路连接在一起。
可替换的,安全服务器100可以使用下述来实现:具有处理器120、总线接口140、用户接口160的ASIC(专用集成电路);以及集成在单个芯片中的存储介质130的至少一部分,或者,安全服务器100可以使用下述来实现:一个或多个FPGA(现场可编程门阵列)、PLD(可编程逻辑器件)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合。
其中,处理器120负责管理总线110和一般处理(包括执行存储在存储介质130上的软件)。处理器120可以使用一个或多个通用处理器和/或专用处理器来实现。处理器120的例子包括微处理器、微控制器、DSP处理器和能够执行软件的其它电路。应当将软件广义地解释为表示指令、数据或其任意组合,而不论是将其称作为软件、固件、中间件、微代码、硬件描述语言还是其它。
在图4中存储介质130被示为与处理器120分离,然而,本领域技术人员很容易明白,存储介质130或其任意部分可位于安全服务器100之外。举例来说,存储介质130可以包括传输线、用数据调制的载波波形、和/或与无线节点分离开的计算机制品,这些介质均可以由处理器120通过总线接口140来访问。可替换地,存储介质130或其任意部分可以集成到处理器120中,例如,可以是高速缓存和/或通用寄存器。
所述处理器120可执行上述实施例,具体地,所述存储介质130中可以存储有所述越权漏洞检测装置200,所述处理器120可以用于执行所述越权漏洞检测装置200。
进一步地,本申请实施例还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的越权漏洞检测方法。
综上所述,本申请实施例提供一种越权漏洞检测方法及装置,通过采用基于Web访问日志还原URL的方式,增大了URL检测的范围及覆盖度,此外获取通过访问各个URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息,并根据第一响应信息和第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果,无需人工检测参与,能够高效地挖掘出越权访问漏洞,保证网站安全。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
可以替换的,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的电子设备、服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (8)
1.一种越权漏洞检测方法,其特征在于,应用于与访问终端和网站服务器通信连接的安全服务器,所述方法还包括:
获取各个访问终端访问对应的网站服务器时生成的Web访问日志;
从所述Web访问日志中提取第一URL列表,并针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表,其中,所述第二URL列表包括多个URL以及与每个URL关联的随机URL;
针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息;
根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果;
所述根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果的步骤,包括:
将所述第一响应信息和所述第二响应信息进行信息对比,判断所述第一响应信息中的字符串长度是否与所述第二响应信息的字符串长度匹配,得到匹配结果,并采用预设的正则表达式分别检测所述第一响应信息和所述第二响应信息中是否存在敏感信息,得到检测结果;
若所述匹配结果表征所述第一响应信息中的字符串长度与所述第二响应信息的字符串长度匹配,且所述检测结果表征所述第一响应信息和所述第二响应信息中均存在敏感信息,则判定该URL对应的网站存在越权漏洞。
2.根据权利要求1所述的越权漏洞检测方法,其特征在于,所述获取各个访问终端向访问目标网站服务器时生成的Web访问日志的步骤,包括:
接收各个访问终端发起的访问对应的网站服务器的访问请求;
将各个访问终端发起的所述访问请求转发给对应的网站服务器,并记录各个访问终端发起的访问请求中的访问记录,以获取各个网站服务器的Web访问日志。
3.根据权利要求1所述的越权漏洞检测方法,其特征在于,所述从所述Web访问日志中提取第一URL列表的步骤,包括:
将所述Web访问日志中的访问异常日志进行过滤,得到过滤访问异常日志后的Web访问日志;
从所述过滤访问异常日志后的Web访问日志中提取多个URL,得到初始URL列表;
对所述初始URL列表中参数名称相同的URL进行去重处理,得到去重处理后的初始URL列表;
将所述去重处理后的初始URL列表中的每个URL与预先配置的危险URL数据库中的各个危险URL进行比对,获取所述去重处理后的初始URL列表中存在的危险URL;
将获取到的所有的危险URL从所述去重处理后的初始URL列表中删除,将剩余的URL组成所述第一URL列表。
4.根据权利要求1所述的越权漏洞检测方法,其特征在于,所述针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表的步骤,包括:
针对所述第一URL列表中的每个URL,将该URL中的参数类型中的字符串或者数字进行随机替换,生成与该URL关联的随机URL。
5.根据权利要求1所述的越权漏洞检测方法,其特征在于,所述针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息的步骤,包括:
针对每个URL,向该URL对应的网站服务器发送访问请求,并接收该网站服务器响应所述访问请求反馈的第一响应信息,并向该URL关联的随机URL对应的网站服务器发送访问请求,并接收该网站服务器响应所述访问请求反馈的第二响应信息。
6.一种越权漏洞检测装置,其特征在于,应用于与访问终端和网站服务器通信连接的安全服务器,所述装置还包括:
日志获取模块,用于获取各个访问终端访问对应的网站服务器时生成的Web访问日志;
提取模块,用于从所述Web访问日志中提取第一URL列表,并针对所述第一URL列表中的每个URL,随机生成与该URL关联的随机URL,得到第二URL列表,其中,所述第二URL列表包括多个URL以及与每个URL关联的随机URL;
响应信息获取模块,用于针对每个URL,获取通过访问该URL接收到的第一响应信息以及通过访问该URL关联的随机URL后接收到的第二响应信息;
检测模块,用于根据所述第一响应信息和所述第二响应信息检测该URL对应的网站是否存在越权漏洞,得到检测结果;
所述检测模块具体用于将所述第一响应信息和所述第二响应信息进行信息对比,判断所述第一响应信息中的字符串长度是否与所述第二响应信息的字符串长度匹配,得到匹配结果,并采用预设的正则表达式分别检测所述第一响应信息和所述第二响应信息中是否存在敏感信息,得到检测结果;若所述匹配结果表征所述第一响应信息中的字符串长度与所述第二响应信息的字符串长度匹配,且所述检测结果表征所述第一响应信息和所述第二响应信息中均存在敏感信息,则判定该URL对应的网站存在越权漏洞。
7.根据权利要求6所述的越权漏洞检测装置,其特征在于,所述提取模块,具体用于:
将所述Web访问日志中的访问异常日志进行过滤,得到过滤访问异常日志后的Web访问日志;
从所述过滤访问异常日志后的Web访问日志中提取多个URL,得到初始URL列表;
对所述初始URL列表中参数名称相同的URL进行去重处理,得到去重处理后的初始URL列表;
将所述去重处理后的初始URL列表中的每个URL与预先配置的危险URL数据库中的各个危险URL进行比对,获取所述去重处理后的初始URL列表中存在的危险URL;
将获取到的所有的危险URL从所述去重处理后的初始URL列表中删除,将剩余的URL组成所述第一URL列表。
8.根据权利要求6所述的越权漏洞检测装置,其特征在于,所述响应信息获取模块,具体用于:
针对每个URL,向该URL对应的网站服务器发送访问请求,并接收该网站服务器响应所述访问请求反馈的第一响应信息,并向该URL关联的随机URL对应的网站服务器发送访问请求,并接收该网站服务器响应所述访问请求反馈的第二响应信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811279042.8A CN109446819B (zh) | 2018-10-30 | 2018-10-30 | 越权漏洞检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811279042.8A CN109446819B (zh) | 2018-10-30 | 2018-10-30 | 越权漏洞检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109446819A CN109446819A (zh) | 2019-03-08 |
CN109446819B true CN109446819B (zh) | 2020-12-22 |
Family
ID=65549970
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811279042.8A Active CN109446819B (zh) | 2018-10-30 | 2018-10-30 | 越权漏洞检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109446819B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110287393A (zh) * | 2019-06-26 | 2019-09-27 | 深信服科技股份有限公司 | 一种网页获取方法、装置、设备及计算机可读存储介质 |
CN110489966A (zh) * | 2019-08-12 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
CN111008345B (zh) * | 2019-11-28 | 2020-12-15 | 蜂助手股份有限公司 | 一种访问定点访问url的方法及系统 |
CN110881043B (zh) * | 2019-11-29 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
CN111125718A (zh) * | 2019-12-24 | 2020-05-08 | 北京三快在线科技有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
CN111209565B (zh) * | 2020-01-08 | 2022-12-23 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111274585B (zh) * | 2020-01-19 | 2022-08-16 | 福建省农村信用社联合社 | 一种Web应用越权漏洞检测方法、装置、设备和介质 |
CN111371743A (zh) * | 2020-02-21 | 2020-07-03 | 上海红神信息技术有限公司 | 一种安全防御方法、装置及系统 |
CN111427774A (zh) * | 2020-03-09 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 用于应用程序测试实例的请求参数修改方法及系统 |
CN113779585B (zh) * | 2021-01-04 | 2024-06-14 | 北京沃东天骏信息技术有限公司 | 越权漏洞检测方法和装置 |
CN113254942A (zh) * | 2021-05-24 | 2021-08-13 | 浙江网商银行股份有限公司 | 数据处理方法、系统及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
CN106548075A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN107302586A (zh) * | 2017-07-12 | 2017-10-27 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
CN107948120A (zh) * | 2016-10-12 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
-
2018
- 2018-10-30 CN CN201811279042.8A patent/CN109446819B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
CN106548075A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN107948120A (zh) * | 2016-10-12 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN107302586A (zh) * | 2017-07-12 | 2017-10-27 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109446819A (zh) | 2019-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109446819B (zh) | 越权漏洞检测方法及装置 | |
CN108446407B (zh) | 基于区块链的数据库审计方法和装置 | |
CN106302337B (zh) | 漏洞检测方法和装置 | |
US10579831B2 (en) | Verification of data set components using digitally signed probabilistic data structures | |
US11381598B2 (en) | Phishing detection using certificates associated with uniform resource locators | |
US10078687B2 (en) | Deletion of elements from a probabilistic data structure | |
US11403027B2 (en) | Technology for governance of data retention and transfer | |
US12021894B2 (en) | Phishing detection based on modeling of web page content | |
US20210203692A1 (en) | Phishing detection using uniform resource locators | |
US10263784B2 (en) | Signature verification for data set components using probabilistic data structures | |
US8307276B2 (en) | Distributed content verification and indexing | |
CN107239701B (zh) | 识别恶意网站的方法及装置 | |
CN111259282B (zh) | Url去重方法、装置、电子设备及计算机可读存储介质 | |
CN104168293A (zh) | 结合本地内容规则库识别可疑钓鱼网页的方法及系统 | |
US9756012B1 (en) | Domain name service information propagation | |
CN103117893A (zh) | 一种网络访问行为的监控方法、装置和一种客户端设备 | |
CN106030527B (zh) | 将可供下载的应用程序通知用户的系统和方法 | |
CN103095530A (zh) | 一种基于前置网关的敏感信息监测及防泄漏方法及系统 | |
US8239403B2 (en) | Enhancing soft file system links | |
CN112738249B (zh) | 基于量化交易的文件上传方法、装置、设备及存储介质 | |
US9398041B2 (en) | Identifying stored vulnerabilities in a web service | |
CN112069499A (zh) | 一种检测方法、装置、存储介质及电子设备 | |
CN104361094A (zh) | 搜索结果中文件的保存方法、装置和浏览器客户端 | |
CN105354506A (zh) | 隐藏文件的方法和装置 | |
CN106487771B (zh) | 网络行为的获取方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |