CN110266737A - 一种跨域资源共享的漏洞检测方法、装置、设备及介质 - Google Patents
一种跨域资源共享的漏洞检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN110266737A CN110266737A CN201910695008.7A CN201910695008A CN110266737A CN 110266737 A CN110266737 A CN 110266737A CN 201910695008 A CN201910695008 A CN 201910695008A CN 110266737 A CN110266737 A CN 110266737A
- Authority
- CN
- China
- Prior art keywords
- cross
- shared
- domain resource
- targeted sites
- loophole
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种跨域资源共享的漏洞检测方法,通过预先根据测试站点的域名和域名绕过方法设置有效载荷数据;然后分别将各有效载荷数据设置于请求报文中,将各请求报文发送给目标站点,并接收由目标站点反馈的对应的响应信息;并通过调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞。本方法不仅能够节省大量的人力资源,节约操作时间,提升操作效率,还能相对避免由于人工操作带来的操作误差,避免漏检、错检的情况发生,进一步提升跨域资源共享的漏洞检测的准确度。本申请还公开了一种跨域资源共享的漏洞检测装置、设备及计算机可读存储介质,均具有上述有益效果。
Description
技术领域
本发明涉及漏洞检测领域,特别涉及一种跨域资源共享的漏洞检测方法、装置、设备及计算机可读存储介质。
背景技术
日常的前端开发中,不免会需要进行跨域操作,而在实际进行跨域请求时,由于浏览器同源策略的安全保护机制,所有浏览器都会限制从脚本中发起的跨域请求,即JavaScript或者Cookie只能访问同域的内容。随着互联网技术的发展,很多场景都需要使用跨域资源共享的情况,比如需要从合作伙伴的api获取实时信息,子站需要从主站获取数据和资源等,因此很多网站管理员或者开发人员就配置了CORS(Cross-origin resourcesharing,跨域资源共享)。但是由于Access-Control-Allow-Origin配置错误或者正则表达式编写不严谨,攻击者可以通过CORS漏洞构造域名(产生绕过的情况)对目标站点进行跨站脚本、CSRF等攻击,从而窃取敏感信息,产生CORS漏洞的安全问题。
现有技术中,为了解决这一技术问题,一般是通过技术人员预先设置有效载荷(payload)数据,然后将有效载荷数据设置于请求报文中,并发送给目标站点,再接收目标站点根据该且请求报文得出的响应信息;对响应信息进行分析以确定出目标站点是否存在跨域资源共享的漏洞。但是现有技术的方法,不仅需要消耗大量的人力资源,使得检测效率低下,而且在检测的过程中,人工操作容易由于技术人员本身的操作造成错检、漏检,仍会产生CORS漏洞的安全问题。
因此,如何提高检测跨域资源共享的漏洞检测效率和准确度是本领域技术人员目前需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种跨域资源共享的漏洞检测方法,能够提高检测跨域资源共享的漏洞检测效率和准确度;本发明的另一目的是提供一种跨域资源共享的漏洞检测装置、设备及计算机可读存储介质,均具有上述有益效果。
为解决上述技术问题,本发明提供一种跨域资源共享的漏洞检测方法,包括:
预先根据测试站点的域名和域名绕过方法设置有效载荷数据;
分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息;
调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。
优选地,所述调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞的过程,具体包括:
若所述响应信息的响应值为403错误,则判定所述目标站点不存在所述跨域资源共享的漏洞。
优选地,所述分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息的过程,具体为:
分别将各所述有效载荷数据设置于请求报文中,按照预设时间周期将各所述请求报文分别发送给多个所述目标站点,并接收由各所述目标站点反馈的对应的响应信息。
优选地,在所述调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞之后,进一步包括:
根据检测到的所述跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对应的目标修复建议。
优选地,在所述根据检测到的所述跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对应的目标修复建议之后,进一步包括:
根据检测到的所述跨域资源共享的漏洞和对应的目标修复建议生成漏洞检测报告。
优选地,在所述根据检测到的所述跨域资源共享的漏洞和对应的目标修复建议生成漏洞检测报告之后,进一步包括:
将所述漏洞检测报告发送至目标邮箱。
为解决上述技术问题,本发明还提供一种跨域资源共享的漏洞检测装置,包括:
设置模块,用于预先根据测试站点的域名和域名绕过方法设置有效载荷数据;
发送模块,用于分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息;
检测模块,用于调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。
为解决上述技术问题,本发明还提供一种跨域资源共享的漏洞检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一种跨域资源共享的漏洞检测方法的步骤。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种跨域资源共享的漏洞检测方法的步骤。
本发明提供的一种跨域资源共享的漏洞检测方法,通过预先根据测试站点的域名和域名绕过方法设置有效载荷数据;然后分别将各有效载荷数据设置于请求报文中,将各请求报文发送给目标站点,并接收由目标站点反馈的对应的响应信息;并通过调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞。因此能够实现利用计算机程序实现对目标站点是否存在跨域资源共享的漏洞的检测,相较于现有技术中通过人工操作的方式进行检测,本方法不仅能够节省大量的人力资源,节约操作时间,提升操作效率,还能相对避免由于人工操作带来的操作误差,避免漏检、错检的情况发生,进一步提升跨域资源共享的漏洞检测的准确度。
为解决上述技术问题,本发明还提供了一种跨域资源共享的漏洞检测装置、设备及计算机可读存储介质,均具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种跨域资源共享的漏洞检测方法的流程图;
图2为本发明实施例提供的一种跨域资源共享的漏洞检测装置的结构图;
图3为本发明实施例提供的一种跨域资源共享的漏洞检测设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的核心是提供一种跨域资源共享的漏洞检测方法,能够提高检测跨域资源共享的漏洞检测效率和准确度;本发明的另一核心是提供一种跨域资源共享的漏洞检测装置、设备及计算机可读存储介质,均具有上述有益效果。
为了使本领域技术人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
图1为本发明实施例提供的一种跨域资源共享的漏洞检测方法的流程图。如图1所示,一种跨域资源共享的漏洞检测方法包括:
S10:预先根据测试站点的域名和域名绕过方法设置有效载荷数据。
具体的,首先需要根据测试站点自身的域名以及预先获取到的域名绕过方法设置有效载荷(payload)数据,以便后续利用有效载荷数据进行跨域资源共享的漏洞检测。在本实施例中,假设测试站点的域名为test.com,且根据不同的域名绕过规则,对应设置多种不同的有效载荷数据。绕过规则包括根据前部匹配,后部匹配,null,包含匹配,倒叙匹配,任意子域名匹配,任意协议匹配等规则设置的有效载荷数据。更具体的,假设预先设置的用于检测目标站点的跨域资源共享的漏洞的正则表达式为*,则根据正则表达式匹配不严格导致绕过的规则可以具体为:
若正则表达式为前部匹配,如*test.com,则若构造恶意的域名xxxxxtest.com便可以绕过,因此本实施例中可以设置有效载荷数据为xxxxxtest.com;
或者,若正则表达式为后部匹配,如test.com.*,则若构造恶意的域名test.com.xxxxx.com便可以绕过,因此本实施例中可以设置有效载荷数据为test.com.xxxxx.com。
S20:分别将各有效载荷数据设置于请求报文中,将各请求报文发送给目标站点,并接收由目标站点反馈的对应的响应信息。
具体的,在设置出多种不同的有效载荷数据之后,则分别将各有效载荷数据设置于请求报文中,具体是设置于请求报文中的请求头中,然后将请求报文发送给目标站点,以便目标站点根据请求报文得出响应信息,并将响应信息返回给测试站点。也就是说,向目标站点发送请求报文,在请求报文中的请求头中增加Origin字段,字段值为上一步骤中生成的payload数据(有效载荷数据),目标站点在接收到各请求报文后,根据各请求报文向测试站点反馈对应的响应信息。需要说明的是,目标站点是对每个请求报文分别进行反馈,即响应信息与请求报文为一一对应的关系。
S30:调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞。
本步骤中,测试站点在接收到目标站点反馈的响应信息后,调用预设的分析脚本对响应信息中的响应头进行分析,并根据分析结果确定目标站点是否存在跨域资源共享的漏洞。
具体的,通过分析并确定出响应信息中的响应头中的
Access-Control-Allow-Origin(允许请求的域)
和Access-Control-Allow-Credentials(允许客户端携带信息)对应的值,若Access-Control-Allow-Origin的值为有效载荷数据(payload数据),或Access-Control-Allow-Credentials的值为false,则判定目标站点存在跨域资源共享的漏洞。更具体的,若响应头值包含如下组合:
Access-Control-Allow-Origin:payload数据
Access-Control-Allow-Credentials:true
或者
Access-Control-Allow-Origin:payload数据
Access-Control-Allow-Credentials:false
或者
Access-Control-Allow-Origin:*(允许请求的域名对应的正则表达式)
Access-Control-Allow-Credentials:false
则表示目标站点存在CORS跨域资源共享的漏洞。
若Access-Control-Allow-Origin的值为允许请求的域名对应的正则表达式,或Access-Control-Allow-Credentials的值为true,则判定目标站点不存在跨域资源共享的漏洞;
更具体的,若响应头值包含如下组合:
Access-Control-Allow-Origin:*
Access-Control-Allow-Credentials:true
则表示目标站点不存在CORS跨域资源共享的漏洞。
并且,在具体实施中,Access-Control-Allow-Origin的值为payload数据或者*,且Access-Control-Allow-Credentials的值为false时,表示存在CORS跨域资源共享的漏洞但不可以获取cookie;当Access-Control-Allow-Origin的值为payload数据,且Access-Control-Allow-Credentials的值为true时,表示存在CORS跨域资源共享的漏洞且可以获取cookie。
本实施例提供的一种跨域资源共享的漏洞检测方法,通过预先根据测试站点的域名和域名绕过方法设置有效载荷数据;然后分别将各有效载荷数据设置于请求报文中,将各请求报文发送给目标站点,并接收由目标站点反馈的对应的响应信息;并通过调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞。因此能够实现利用计算机程序实现对目标站点是否存在跨域资源共享的漏洞的检测,相较于现有技术中通过人工操作的方式进行检测,本方法不仅能够节省大量的人力资源,节约操作时间,提升操作效率,还能相对避免由于人工操作带来的操作误差,避免漏检、错检的情况发生,进一步提升跨域资源共享的漏洞检测的准确度。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例中,调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞的过程,具体包括:
若响应信息的响应值为403错误,则判定目标站点不存在跨域资源共享的漏洞。
需要说明的是,在具体实施中,还可能存在目标站点向测试站点反馈“资源不可用”的情况,即,响应信息的响应值为403错误,在这种情况下,由于测试站点的访问请求被拒绝,因此可以判定目标站点不存在跨域资源共享的漏洞。
可见,本实施例通过在检测出响应信息的响应值为403错误时,判定目标站点不存在跨域资源共享的漏洞,通过增加判断方式,能够进一步确定判定目标站点是否存在跨域资源共享的漏洞的准确度。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例中,分别将各有效载荷数据设置于请求报文中,将各请求报文发送给目标站点,并接收由目标站点反馈的对应的响应信息的过程,具体为:
分别将各有效载荷数据设置于请求报文中,按照预设时间周期将各请求报文分别发送给多个目标站点,并接收由各目标站点反馈的对应的响应信息。
具体的,在本步骤中,是通过预先通过定时器设置时间周期,然后在分别将各有效载荷数据设置于请求报文中之后,按照预设时间周期执行将各请求报文发送给目标站点的步骤,对应的,接收由目标站点按照对应的预设时间周期反馈的对应的响应信息。需要说明的是,在具体实施中,对预设时间周期的具体时长不做限定,可以根据测试站点将请求报文发送至目标站点的时长以及目标站点处理请求报文的时长确定。
需要说明的是,在本实施例中,由于可以通过计算机程序执行跨域资源共享的漏洞检测操作,因此还可以同时向目标站点发送多个请求响应,按照预设时间周期批量进行检测,即,按照预设时间周期同时发送多个请求报文给目标站点进行漏洞检测,从而进一步提升检测效率。
进一步的,在具体实施中,还可以设置多个目标站点,即,将各请求报文分别发送给不同的目标站点,以对多个目标站点同时进行检测。并且在对多个目标站点进行漏洞检测的过程中,也可以通过设置并行操作的方式实现对多个目标站点的批量检测,从而进一步提升检测效率。
可见,通过按照预设时间周期循环发送设置有有效载荷数据的请求报文给多个目标站点,以同时检测多个目标站点是否存在跨域资源共享的漏洞,相较于随机发送请求报文以对目标站点进行检测的方式,本方法能够进一步提升检测效率,并且能避免检测过程中的信息错乱,使得检测更加准确。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例在调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞之后,进一步包括:
根据检测到的跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对应的目标修复建议。
需要说明的是,本实施例通过预先根据各不同的漏洞类型设置对应的漏洞修复建议并进行存储,然后在检测到跨域资源共享的漏洞后,根据当前检测出的漏洞从各漏洞修复建议中查找出对应的目标修复建议。也就是说,该目标修复建议是对应用于修复当前检测出的跨域资源共享的漏洞的。
可见,本实施例通过进一步确定出与当前检测出的跨域资源共享的漏洞对应的目标修复建议,能够更便于后续进行漏洞修复操作,进一步提升用户的使用体验。
作为优选的实施方式,在根据检测到的跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对应的目标修复建议之后,进一步包括:
根据检测到的跨域资源共享的漏洞和对应的目标修复建议生成漏洞检测报告。
具体的,在本实施例中,是将检测到的跨域资源共享的漏洞以及对应的目标修复建议生成对应的漏洞检测报告,具体的,本实施例对检测报告的具体格式类型不做限定,例如本实施例优选的为POC html文件。通过获取检测数据,生成对应的检测报告以便进行存储,以及后续的查阅操作。
作为优选的实施方式,在根据检测到的跨域资源共享的漏洞和对应的目标修复建议生成漏洞检测报告之后,进一步包括:
将漏洞检测报告发送至目标邮箱。
也就是说,本步骤是在根据检测到的跨域资源共享的漏洞和对应的目标修复建议生成对应的漏洞检测报告之后,进一步将该漏洞检测报告发送至对应的目标邮箱,以便用户可以从目标邮箱获取该漏洞检测报告。
需要说明的是,在具体实施中,还可以是将漏洞检测报告上传至云端服务器,以便多端用户均可以通过云端服务器获取该漏洞检测报告。
本实施例通过进一步将漏洞检测报告发送至目标邮箱,以便其他的用户可以获取到对应的漏洞检测报告,进而知晓当前目标站点的跨域资源共享的漏洞情况,而且相较于将漏洞检测报告发送至云端服务器的方式,本方法能进一步保障用户获取漏洞检测报告的安全性。
上文对于本发明提供的一种跨域资源共享的漏洞检测方法的实施例进行了详细的描述,本发明还提供了一种与该方法对应的跨域资源共享的漏洞检测装置、设备及计算机可读存储介质,由于装置、设备及计算机可读存储介质部分的实施例与方法部分的实施例相互照应,因此装置、设备及计算机可读存储介质部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
图2为本发明实施例提供的一种跨域资源共享的漏洞检测装置的结构图,如图2所示,一种跨域资源共享的漏洞检测装置包括:
设置模块21,用于预先根据测试站点的域名和域名绕过方法设置有效载荷数据;
发送模块22,用于分别将各有效载荷数据设置于请求报文中,将各请求报文发送给目标站点,并接收由目标站点反馈的对应的响应信息;
检测模块23,用于调用预设的分析脚本分析各响应信息,并根据分析结果确定出目标站点是否存在跨域资源共享的漏洞。
本发明实施例提供的跨域资源共享的漏洞检测装置,具有上述跨域资源共享的漏洞检测方法的有益效果。
图3为本发明实施例提供的一种跨域资源共享的漏洞检测设备的结构图,如图3所示,一种跨域资源共享的漏洞检测设备包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序时实现如上述跨域资源共享的漏洞检测方法的步骤。
本发明实施例提供的跨域资源共享的漏洞检测设备,具有上述跨域资源共享的漏洞检测方法的有益效果。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述跨域资源共享的漏洞检测方法的步骤。
本发明实施例提供的计算机可读存储介质,具有上述跨域资源共享的漏洞检测方法的有益效果。
以上对本发明所提供的跨域资源共享的漏洞检测方法、装置、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (9)
1.一种跨域资源共享的漏洞检测方法,其特征在于,包括:
预先根据测试站点的域名和域名绕过方法设置有效载荷数据;
分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息;
调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。
2.根据权利要求1所述的方法,其特征在于,所述调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞的过程,具体包括:
若所述响应信息的响应值为403错误,则判定所述目标站点不存在所述跨域资源共享的漏洞。
3.根据权利要求1所述的方法,其特征在于,所述分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息的过程,具体为:
分别将各所述有效载荷数据设置于请求报文中,按照预设时间周期将各所述请求报文分别发送给多个所述目标站点,并接收由各所述目标站点反馈的对应的响应信息。
4.根据权利要求1至3任一项所述的方法,其特征在于,在所述调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞之后,进一步包括:
根据检测到的所述跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对应的目标修复建议。
5.根据权利要求4所述的方法,其特征在于,在所述根据检测到的所述跨域资源共享的漏洞从预先存储的与各漏洞类型对应的漏洞修复建议中确定出对应的目标修复建议之后,进一步包括:
根据检测到的所述跨域资源共享的漏洞和对应的目标修复建议生成漏洞检测报告。
6.根据权利要求5所述的方法,其特征在于,在所述根据检测到的所述跨域资源共享的漏洞和对应的目标修复建议生成漏洞检测报告之后,进一步包括:
将所述漏洞检测报告发送至目标邮箱。
7.一种跨域资源共享的漏洞检测装置,其特征在于,包括:
设置模块,用于预先根据测试站点的域名和域名绕过方法设置有效载荷数据;
发送模块,用于分别将各所述有效载荷数据设置于请求报文中,将各所述请求报文发送给目标站点,并接收由所述目标站点反馈的对应的响应信息;
检测模块,用于调用预设的分析脚本分析各所述响应信息,并根据分析结果确定出所述目标站点是否存在跨域资源共享的漏洞。
8.一种跨域资源共享的漏洞检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的跨域资源共享的漏洞检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的跨域资源共享的漏洞检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910695008.7A CN110266737B (zh) | 2019-07-30 | 2019-07-30 | 一种跨域资源共享的漏洞检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910695008.7A CN110266737B (zh) | 2019-07-30 | 2019-07-30 | 一种跨域资源共享的漏洞检测方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266737A true CN110266737A (zh) | 2019-09-20 |
| CN110266737B CN110266737B (zh) | 2021-05-07 |
Family
ID=67912454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910695008.7A Active CN110266737B (zh) | 2019-07-30 | 2019-07-30 | 一种跨域资源共享的漏洞检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266737B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111611324A (zh) * | 2020-05-06 | 2020-09-01 | 中国科学院信息工程研究所 | 一种跨域访问策略优化方法及装置 |
| CN112035840A (zh) * | 2020-08-13 | 2020-12-04 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
| CN112671609A (zh) * | 2020-12-21 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 一种资产普查与安全检测方法、装置及终端设备 |
| CN112906010A (zh) * | 2021-05-07 | 2021-06-04 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN113158191A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 基于智能探针的漏洞验证方法及相关iast方法、系统 |
| CN113162945A (zh) * | 2021-05-07 | 2021-07-23 | 北京安普诺信息技术有限公司 | 漏洞检测分析方法、装置及基于此的漏洞验证方法、系统 |
| CN113411332A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种cors漏洞检测方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104765682A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和系统 |
| US20160156700A1 (en) * | 2014-11-28 | 2016-06-02 | Zhigao Chen | Cloud application with secure local access |
| CN107634967A (zh) * | 2017-10-19 | 2018-01-26 | 南京大学 | 一种CSRF攻击的CSRFToken防御系统和方法 |
| CN108989355A (zh) * | 2018-09-07 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
-
2019
- 2019-07-30 CN CN201910695008.7A patent/CN110266737B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160156700A1 (en) * | 2014-11-28 | 2016-06-02 | Zhigao Chen | Cloud application with secure local access |
| CN104765682A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和系统 |
| CN107634967A (zh) * | 2017-10-19 | 2018-01-26 | 南京大学 | 一种CSRF攻击的CSRFToken防御系统和方法 |
| CN108989355A (zh) * | 2018-09-07 | 2018-12-11 | 郑州云海信息技术有限公司 | 一种漏洞检测方法和装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111611324A (zh) * | 2020-05-06 | 2020-09-01 | 中国科学院信息工程研究所 | 一种跨域访问策略优化方法及装置 |
| CN111611324B (zh) * | 2020-05-06 | 2024-01-19 | 中国科学院信息工程研究所 | 一种跨域访问策略优化方法及装置 |
| CN112035840A (zh) * | 2020-08-13 | 2020-12-04 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
| CN112671609A (zh) * | 2020-12-21 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 一种资产普查与安全检测方法、装置及终端设备 |
| CN112906010A (zh) * | 2021-05-07 | 2021-06-04 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN112906010B (zh) * | 2021-05-07 | 2021-07-20 | 北京安普诺信息技术有限公司 | 一种自动化攻击测试方法及基于此的自动化安全测试方法 |
| CN113162945A (zh) * | 2021-05-07 | 2021-07-23 | 北京安普诺信息技术有限公司 | 漏洞检测分析方法、装置及基于此的漏洞验证方法、系统 |
| CN113162945B (zh) * | 2021-05-07 | 2021-12-14 | 北京安普诺信息技术有限公司 | 漏洞检测分析方法、装置及基于此的漏洞验证方法、系统 |
| CN113158191A (zh) * | 2021-05-26 | 2021-07-23 | 北京安普诺信息技术有限公司 | 基于智能探针的漏洞验证方法及相关iast方法、系统 |
| CN113158191B (zh) * | 2021-05-26 | 2022-01-07 | 北京安普诺信息技术有限公司 | 基于智能探针的漏洞验证方法及相关iast方法、系统 |
| CN113411332A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种cors漏洞检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110266737B (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266737A (zh) | 一种跨域资源共享的漏洞检测方法、装置、设备及介质 | |
| US10122746B1 (en) | Correlation and consolidation of analytic data for holistic view of malware attack | |
| CN104993953B (zh) | 检测网络服务状态的方法和装置 | |
| US20170026401A1 (en) | System and method for threat visualization and risk correlation of connected software applications | |
| US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| US10050899B2 (en) | Data processing method, apparatus, client, server and system | |
| US11153329B2 (en) | Real-time scanning of IP addresses | |
| US9215209B2 (en) | Source request monitoring | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN110505232A (zh) | 网络攻击的检测方法及装置、电子设备、存储介质 | |
| US10972507B2 (en) | Content policy based notification of application users about malicious browser plugins | |
| CN108664793A (zh) | 一种检测漏洞的方法和装置 | |
| CN111106983B (zh) | 一种检测网络连通性的方法及装置 | |
| EP2854362A1 (en) | Software network behavior analysis and identification system | |
| CN104852919A (zh) | 实现门户Portal认证的方法及装置 | |
| CN110099129A (zh) | 一种数据传输方法以及设备 | |
| CN103647775B (zh) | 一种在网页中进行登录的方法和装置 | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| CN105871661A (zh) | 公网服务器探测方法及探测服务器 | |
| CN104519069A (zh) | 一种拦截资源请求的方法和装置 | |
| CN116781434B (zh) | 基于拟态防御的访问控制方法、系统及相关设备 | |
| CN109788251A (zh) | 视频处理方法、装置及存储介质 | |
| US20150163238A1 (en) | Systems and methods for testing and managing defensive network devices | |
| CN108650230A (zh) | 一种防止按钮自动点击的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |