CN109726559A - 漏洞检测方法及设备 - Google Patents
漏洞检测方法及设备 Download PDFInfo
- Publication number
- CN109726559A CN109726559A CN201811548741.8A CN201811548741A CN109726559A CN 109726559 A CN109726559 A CN 109726559A CN 201811548741 A CN201811548741 A CN 201811548741A CN 109726559 A CN109726559 A CN 109726559A
- Authority
- CN
- China
- Prior art keywords
- name
- file destination
- file
- detection
- format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开提供一种漏洞检测方法及设备,涉及电子信息技术领域,能够解决备份文件漏洞检测不全面、准确度低的问题。具体技术方案为:获取目标文件的相关信息,目标文件的相关信息用于指示目标文件的目录名、目标文件的文件名、目标文件的网站域名、目标文件的应用名、目标文件的常用备份名、目标文件的备份格式中的至少一项;根据目标文件的相关信息确定目标文件的检测名;根据目标文件的检测名检测服务器是否存在备份文件漏洞。本公开用于检测备份文件漏洞。
Description
技术领域
本公开涉及电子信息技术领域,尤其涉及漏洞检测方法及设备。
背景技术
在网站、应用(英文:Application,APP)的开发、部署、运维过程中,服务器通常需要对文件、目录、数据库等进行备份。但是有些服务器备份后的文件仍仍然可以被访问,也就是说在路径正确的情况下可以被网站访问者访问包括源代码、数据库、密钥等数据,这会导致严重的信息泄漏,对用户以及网站/应用本身都会造成较大的损失。
为解决上述问题,相关技术中对备份文件漏洞进行检测,通常检测备份文件的几个文件名,但这种方式检测范围低,检测不全面,检测准确度低。
发明内容
本公开实施例提供一种漏洞检测方法及设备,能够解决备份文件漏洞检测不全面、准确度低的问题。技术方案如下:
根据本公开实施例的第一方面,提供一种漏洞检测方法,该方法包括:
获取目标文件的相关信息,目标文件的相关信息用于指示目标文件的目录名、目标文件的文件名、目标文件的网站域名、目标文件的应用名、目标文件的常用备份名、目标文件的备份格式中的至少一项;
根据目标文件的相关信息确定目标文件的检测名;
根据目标文件的检测名检测服务器是否存在备份文件漏洞。
相关信息包括与目标文件相关的各种信息,而目标文件的检测名根据目标文件的相关信息确定,在进行漏洞检测过程中,检测范围更加全面,检测更加准确。
在一个实施例中,根据目标文件的检测名检测服务器是否存在备份文件漏洞,包括:
根据目标文件的检测名生成请求信息,并向服务器发送请求信息,请求信息用于请求访问目标文件的检测名对应的文件;
接收服务器发送的反馈信息,反馈信息用于指示目标文件的检测名对应的文件访问成功或者访问失败;
在反馈信息指示访问成功时,确定服务器存在备份文件漏洞。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名中的至少一项,扩展检测名和目标文件的备份格式对应。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名,根据目标文件的相关信息确定目标文件的检测名,包括:
根据目标文件的相关信息确定至少一个文件检测名和至少一个扩展检测名;
将至少一个文件检测名和至少一个扩展检测名两两组合得到至少一个目标文件的检测名。
在一个实施例中,目标文件的备份格式包括:rar格式、7z格式、gz格式、bz2格式、tar.gz格式、tar.bz2格式、bak格式、backup格式中的至少一项。
根据本公开实施例的第二方面,提供一种一种电子设备,电子设备包括:获取模块、文件名模块和漏洞检测模块;
其中,获取模块,用于获取目标文件的相关信息,目标文件的相关信息用于指示目标文件的目录名、目标文件的文件名、目标文件的网站域名、目标文件的应用名、目标文件的常用备份名、目标文件的备份格式中的至少一项;
文件名模块,用于根据目标文件的相关信息确定目标文件的检测名;
漏洞检测模块,用于根据目标文件的检测名检测服务器是否存在备份文件漏洞。
在一个实施例中,漏洞检测模块包括:请求单元、接收单元和漏洞单元;
其中,请求单元,用于根据目标文件的检测名生成请求信息,并向服务器发送请求信息,请求信息用于请求访问目标文件的检测名对应的文件;
接收单元,用于接收服务器发送的反馈信息,反馈信息用于指示目标文件的检测名对应的文件访问成功或者访问失败;
漏洞单元,用于在反馈信息指示访问成功时,确定服务器存在备份文件漏洞。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名中的至少一项,扩展检测名和目标文件的备份格式对应。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名,文件名模块包括确定单元和组合单元;
其中,确定单元,用于根据目标文件的相关信息确定至少一个文件检测名和至少一个扩展检测名;
组合单元,用于将至少一个文件检测名和至少一个扩展检测名两两组合得到至少一个目标文件的检测名。
在一个实施例中,目标文件的备份格式包括:rar格式、7z格式、gz格式、bz2格式、tar.gz格式、tar.bz2格式、bak格式、backup格式中的至少一项。
当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是本公开实施例提供的一种漏洞检测方法的流程图;
图2是本公开实施例提供的一种电子设备的结构图;
图3是本公开实施例提供的一种电子设备的结构图;
图4是本公开实施例提供的一种电子设备的结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本公开实施例提供一种漏洞检测方法,应用于电子设备,如图1所示,该漏洞检测方法包括以下步骤:
101、获取目标文件的相关信息。
目标文件的相关信息用于指示目标文件的目录名、目标文件的文件名、目标文件的网站域名、目标文件的应用名、目标文件的常用备份名、目标文件的备份格式中的至少一项。
目标文件的目录名用于指示目标文件在服务器中所属的目录;
目标文件的文件名用于指示目标文件的名称;
目标文件的网站域名用于指示目标文件所对应的网站的域名;
目标文件的应用名用于指示目标文件所对应的应用的名称;
目标文件的常用备份名用于指示对目标文件备份时备份文件的常用名称,例如,目标文件的文件名为a,目标文件的常用备份名可以是在目标文件名之后增加预设的字段,比如a1、a2等;或者,目标文件的常用备份名可以是固定的名称,比如backup、test等。当然,此处只是示例性说明,并不代表本公开局限于此;
目标文件的备份格式用于指示对目标文件备份时备份文件的格式。在一个实施例中,目标文件的备份格式包括:rar格式、7z格式、gz格式、bz2格式、tar.gz格式、tar.bz2格式、bak格式、backup格式中的至少一项,本公开所示例的目标文件的备份格式可以包括以上至少一项,但并不限于上述格式,也可以包括其他文件压缩格式。
102、根据目标文件的相关信息确定目标文件的检测名。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名中的至少一项。
其中,文件检测名和目标文件的备份文件相对应,扩展检测名和目标文件的备份格式对应。例如,文件检测名可以是目标文件的备份文件的名称,扩展检测名可以是目标文件的备份文件的压缩格式。
此处,列举三个具体示例对目标文件的检测名进行说明:
在第一个示例中,根据目标文件的相关信息确定文件检测名。
可以将目标文件的目录名作为文件检测名,例如,目标文件的目录为d,将d作为文件检测名,将d.{ext}作为目标文件的检测名,其中ext为扩展名,也就是备份文件的压缩格式,常见的有rar、zip、7z、gz、bz2、tar.gz、tar.bz2等格式;
或者将目标文件的文件名作为文件检测名,例如,目标文件的文件名为a,将a作为文件检测名,将a.{ext}作为目标文件的检测名,其中ext为扩展名,也就是备份文件的压缩格式,常见的有rar、zip、7z、gz、bz2、tar.gz、tar.bz2等格式;
或者将目标文件的网站域名作为文件检测名,例如,目标文件的网站域名为www.abc.com,则可以将abc作为文件检测名;
或者将目标文件的应用名作为文件检测名,例如,目标文件的网站所使用的内容管理系统为dedecms,则可以将dedecms作为文件检测名;
或者将目标文件的常用备份名作为文件检测名,可以根据预设规则,将目标文件的目录名、目标文件的文件名、目标文件的网站域名或目标文件的应用名进行变换得到的名称作为目标文件的常用备份名。例如,在目标文件的文件名末尾加一个数字进行备份,比如将a2、a3作为文件检测名。
在第二个示例中,根据目标文件的相关信息确定扩展检测名。
扩展检测名可以包括rar、7z、gz、bz2、tar.gz、tar.bz2、bak、backup等。
在第三个示例中,目标文件的检测名包括文件检测名和扩展检测名,根据目标文件的相关信息确定目标文件的检测名,包括:
根据目标文件的相关信息确定至少一个文件检测名和至少一个扩展检测名;将至少一个文件检测名和至少一个扩展检测名两两组合得到至少一个目标文件的检测名。
将可能的文件检测名和扩展检测名罗列出来,一个文件检测名和一个扩展检测名进行组合,可以有多种组合方式,例如,2个文件检测名和8个扩展检测名可以得到16种组合方式,即16个目标文件的检测名,对这16个目标文件的检测名进行检测即可。
103、根据目标文件的检测名检测服务器是否存在备份文件漏洞。
在一个实施例中,根据目标文件的检测名检测服务器是否存在备份文件漏洞,包括:
根据目标文件的检测名生成请求信息,并向服务器发送请求信息,请求信息用于请求访问目标文件的检测名对应的文件;
接收服务器发送的反馈信息,反馈信息用于指示目标文件的检测名对应的文件访问成功或者访问失败;
在反馈信息指示访问成功时,确定服务器存在备份文件漏洞。
如果可以访问目标文件的检测名,说明在服务器上,目标文件的检测名所对应的文件(即目标文件的备份文件)是存在的,并且是可以被访问的,这就说明服务器存在备份文件漏洞。
本公开实施例提供的漏洞检测方法,相关信息包括与目标文件相关的各种信息,而目标文件的检测名根据目标文件的相关信息确定,在进行漏洞检测过程中,检测范围更加全面,检测更加准确。
基于上述图1对应的实施例中所描述的漏洞检测方法,下述为本公开装置实施例,可以用于执行本公开方法实施例。
本公开实施例提供一种电子设备,用于执行上述图1对应的实施例中所描述的漏洞检测方法如图2所示,该电子设备20包括:获取模块201、文件名模块202和漏洞检测模块203;
其中,获取模块201,用于获取目标文件的相关信息,目标文件的相关信息用于指示目标文件的目录名、目标文件的文件名、目标文件的网站域名、目标文件的应用名、目标文件的常用备份名、目标文件的备份格式中的至少一项;
文件名模块202,用于根据目标文件的相关信息确定目标文件的检测名;
漏洞检测模块203,用于根据目标文件的检测名检测服务器是否存在备份文件漏洞。
在一个实施例中,如图3所示,漏洞检测模块203包括:请求单元2031、接收单元2032和漏洞单元2033;
其中,请求单元2031,用于根据目标文件的检测名生成请求信息,并向服务器发送请求信息,请求信息用于请求访问目标文件的检测名对应的文件;
接收单元2032,用于接收服务器发送的反馈信息,反馈信息用于指示目标文件的检测名对应的文件访问成功或者访问失败;
漏洞单元2033,用于在反馈信息指示访问成功时,确定服务器存在备份文件漏洞。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名中的至少一项,扩展检测名和目标文件的备份格式对应。
在一个实施例中,目标文件的检测名包括文件检测名和扩展检测名,如图4所示,文件名模块202包括确定单元2021和组合单元2022;
其中,确定单元2021,用于根据目标文件的相关信息确定至少一个文件检测名和至少一个扩展检测名;
组合单元2022,用于将至少一个文件检测名和至少一个扩展检测名两两组合得到至少一个目标文件的检测名。
在一个实施例中,目标文件的备份格式包括:rar格式、7z格式、gz格式、bz2格式、tar.gz格式、tar.bz2格式、bak格式、backup格式中的至少一项。
本公开实施例提供的电子设备,相关信息包括与目标文件相关的各种信息,而目标文件的检测名根据目标文件的相关信息确定,在进行漏洞检测过程中,检测范围更加全面,检测更加准确。
基于上述图1对应的实施例中所描述的漏洞检测方法,本公开实施例还提供一种计算机可读存储介质,例如,非临时性计算机可读存储介质可以是只读存储器(英文:ReadOnly Memory,ROM)、随机存取存储器(英文:Random Access Memory,RAM)、CD-ROM、磁带、软盘和光数据存储装置等。该存储介质上存储有计算机指令,用于执行上述图1对应的实施例中所描述的漏洞检测方法,此处不再赘述。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
Claims (10)
1.一种漏洞检测方法,其特征在于,所述方法包括:
获取目标文件的相关信息,所述目标文件的相关信息用于指示所述目标文件的目录名、所述目标文件的文件名、所述目标文件的网站域名、所述目标文件的应用名、所述目标文件的常用备份名、所述目标文件的备份格式中的至少一项;
根据所述目标文件的相关信息确定所述目标文件的检测名;
根据所述目标文件的检测名检测服务器是否存在备份文件漏洞。
2.根据权利要求1所述的方法,其特征在于,根据所述目标文件的检测名检测服务器是否存在备份文件漏洞,包括:
根据所述目标文件的检测名生成请求信息,并向服务器发送所述请求信息,所述请求信息用于请求访问所述目标文件的检测名对应的文件;
接收所述服务器发送的反馈信息,所述反馈信息用于指示所述目标文件的检测名对应的文件访问成功或者访问失败;
在所述反馈信息指示访问成功时,确定所述服务器存在备份文件漏洞。
3.根据权利要求1所述的方法,其特征在于,
所述目标文件的检测名包括文件检测名和扩展检测名中的至少一项,所述扩展检测名和所述目标文件的备份格式对应。
4.根据权利要求3所述的方法,其特征在于,所述目标文件的检测名包括文件检测名和扩展检测名,根据所述目标文件的相关信息确定所述目标文件的检测名,包括:
根据所述目标文件的相关信息确定至少一个文件检测名和至少一个扩展检测名;
将所述至少一个文件检测名和所述至少一个扩展检测名两两组合得到至少一个所述目标文件的检测名。
5.根据权利要求1-4任一项所述的方法,其特征在于,
所述目标文件的备份格式包括:rar格式、7z格式、gz格式、bz2格式、tar.gz格式、tar.bz2格式、bak格式、backup格式中的至少一项。
6.一种电子设备,其特征在于,所述电子设备包括:获取模块、文件名模块和漏洞检测模块;
其中,所述获取模块,用于获取目标文件的相关信息,所述目标文件的相关信息用于指示所述目标文件的目录名、所述目标文件的文件名、所述目标文件的网站域名、所述目标文件的应用名、所述目标文件的常用备份名、所述目标文件的备份格式中的至少一项;
所述文件名模块,用于根据所述目标文件的相关信息确定所述目标文件的检测名;
所述漏洞检测模块,用于根据所述目标文件的检测名检测服务器是否存在备份文件漏洞。
7.根据权利要求6所述的电子设备,其特征在于,所述漏洞检测模块包括:请求单元、接收单元和漏洞单元;
其中,所述请求单元,用于根据所述目标文件的检测名生成请求信息,并向服务器发送所述请求信息,所述请求信息用于请求访问所述目标文件的检测名对应的文件;
所述接收单元,用于接收所述服务器发送的反馈信息,所述反馈信息用于指示所述目标文件的检测名对应的文件访问成功或者访问失败;
所述漏洞单元,用于在所述反馈信息指示访问成功时,确定所述服务器存在备份文件漏洞。
8.根据权利要求6所述的电子设备,其特征在于,
所述目标文件的检测名包括文件检测名和扩展检测名中的至少一项,所述扩展检测名和所述目标文件的备份格式对应。
9.根据权利要求8所述的电子设备,其特征在于,所述目标文件的检测名包括文件检测名和扩展检测名,所述文件名模块包括确定单元和组合单元;
其中,所述确定单元,用于根据所述目标文件的相关信息确定至少一个文件检测名和至少一个扩展检测名;
所述组合单元,用于将所述至少一个文件检测名和所述至少一个扩展检测名两两组合得到至少一个所述目标文件的检测名。
10.根据权利要求6-9任一项所述的电子设备,其特征在于,
所述目标文件的备份格式包括:rar格式、7z格式、gz格式、bz2格式、tar.gz格式、tar.bz2格式、bak格式、backup格式中的至少一项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811548741.8A CN109726559A (zh) | 2018-12-18 | 2018-12-18 | 漏洞检测方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811548741.8A CN109726559A (zh) | 2018-12-18 | 2018-12-18 | 漏洞检测方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109726559A true CN109726559A (zh) | 2019-05-07 |
Family
ID=66296169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811548741.8A Pending CN109726559A (zh) | 2018-12-18 | 2018-12-18 | 漏洞检测方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109726559A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244581A (zh) * | 2021-11-29 | 2022-03-25 | 西安四叶草信息技术有限公司 | 缓存中毒漏洞检测方法、装置、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548075A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
-
2018
- 2018-12-18 CN CN201811548741.8A patent/CN109726559A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548075A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 章建国: "利用WEB应用漏洞构筑WEB安全检测系统", 《广东公安科技》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244581A (zh) * | 2021-11-29 | 2022-03-25 | 西安四叶草信息技术有限公司 | 缓存中毒漏洞检测方法、装置、电子设备及存储介质 |
| CN114244581B (zh) * | 2021-11-29 | 2024-03-29 | 西安四叶草信息技术有限公司 | 缓存中毒漏洞检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10853570B2 (en) | Redaction engine for electronic documents with multiple types, formats and/or categories | |
| US7203720B2 (en) | Web server hit multiplier and redirector | |
| CN105808399B (zh) | 一种远程调试的方法和装置 | |
| US20110023122A1 (en) | Information providing support device and information providing support method | |
| CN107844409A (zh) | 测试用例执行方法和装置 | |
| CN108667766B (zh) | 文件探测方法及文件探测装置 | |
| CN103220352A (zh) | 终端、服务器、文件存储系统和文件存储方法 | |
| CN110555015A (zh) | 数据库实体管理方法、装置、电子设备及存储介质 | |
| TW201642156A (zh) | 基於文本隱藏的頁面跳轉方法及相關裝置 | |
| Meneses et al. | Identifying “Soft 404” error pages: analyzing the lexical signatures of documents in distributed collections | |
| CN112764997A (zh) | 一种日志存储的方法、装置、计算机设备和存储介质 | |
| KR20170130538A (ko) | 지오로케이트된 이미지를 이용한 사업체 앵커링 | |
| CN109726559A (zh) | 漏洞检测方法及设备 | |
| CN108182366A (zh) | 一种度量虚拟机的文件的方法、装置及设备 | |
| CN110990346A (zh) | 基于区块链的文件数据处理方法、装置、设备及存储介质 | |
| US20160004850A1 (en) | Secure download from internet marketplace | |
| CN113221036B (zh) | 电子票据邮件的处理方法及装置 | |
| CN117499287A (zh) | Web测试方法、装置、存储介质及代理服务器 | |
| US20090016508A1 (en) | System and method for generating a personalized bill using a personal address book | |
| US20100332913A1 (en) | System and mehtod for testing network performance | |
| CN113377458B (zh) | 插件管理方法、装置、电子设备和存储介质 | |
| CN109697362A (zh) | 网络漏洞检测方法及装置 | |
| CN109474822A (zh) | 一种安卓电视多国语言自动化测试的方法及装置 | |
| KR20050059871A (ko) | 다수 단말과 서버간의 데이터 동기화 방법 | |
| JP2005352534A (ja) | マルチベンダサポートシステム及びサポート方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190507 |