CN110545264B - 一种自动化检测ldap认证注入漏洞的方法及装置 - Google Patents
一种自动化检测ldap认证注入漏洞的方法及装置 Download PDFInfo
- Publication number
- CN110545264B CN110545264B CN201910757277.1A CN201910757277A CN110545264B CN 110545264 B CN110545264 B CN 110545264B CN 201910757277 A CN201910757277 A CN 201910757277A CN 110545264 B CN110545264 B CN 110545264B
- Authority
- CN
- China
- Prior art keywords
- injection
- login
- test case
- character
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002347 injection Methods 0.000 title claims abstract description 132
- 239000007924 injection Substances 0.000 title claims abstract description 132
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000012360 testing method Methods 0.000 claims abstract description 108
- 238000004806 packaging method and process Methods 0.000 claims abstract description 10
- 238000004891 communication Methods 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 abstract description 19
- 239000002699 waste material Substances 0.000 description 4
- 239000000243 solution Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出了一种自动化检测LDAP认证注入漏洞的方法,包括:将LDAP Injection Test程序封装为脚本;将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;通过脚本使用第一登录账号登录Web应用,进行LDAP设置;退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功,如果成功,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试;如果不成功,则重新进行配置,本发明还提出了一种自动化检测LDAP认证注入漏洞的装置,能够快速、全面地得出准确结果,有效的提高的检测效率,降低了检测成本。
Description
技术领域
本发明涉及漏洞检测领域,尤其是涉及一种自动化检测LDAP认证注入漏洞的方法及装置。
背景技术
随着互联网的广泛使用,Web应用的数量呈爆炸式的增长,而这些应用的资源和数据呈分布式存储于目录中。通常不同的应用会有专属于自己相关数据的目录,即专有目录,专有目录数量的增长导致了系统和资源的共享及管理变得日益困难,过多的目录给计算机搜索带来巨大的压力。使用LDAP(Lightweight Directory Access Protocol,即轻量目录访问协议)集中管理信息,搜索速度快,可以有效缓解目录增加带来的压力。随着LDAP的广泛使用,LDAP认证注入漏洞是不可忽视的一个问题。
在现有的Web应用漏洞检测中,LDAP认证注入漏洞检测主要都是手动进行的。手动进行LDAP认证注入漏洞检测,虽然能处理各种异常情况,得出准确的结果;但是费时费力,稍不注意就会有遗漏,增加了人力成本,效率不高。
发明内容
本发明为了解决现有技术中存在的问题,创新提出了一种自动化检测LDAP认证注入漏洞的方法及装置,有效解决由于手工进行LDAP认证注入漏洞检测造成费时费力、存在遗漏的问题,有效的提高的检测效率,降低了检测成本。
本发明第一方面提供了一种自动化检测LDAP认证注入漏洞的方法,包括:
将LDAP Injection Test程序封装为脚本;
将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;
通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号,使用第一登录账号登录Web应用,根据LDAP服务器配置信息配置Web应用中LDAP设置;
退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功;
如果成功,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试,如果第一注入登录测试用例以及第二注入登录测试用例注入登录测试全部通过,则测试通过,不存在注入漏洞;如果存在第一注入登录测试用例或第二注入登录测试用例注入登录测试失败,则测试失败,存在注入漏洞;
如果不成功,则重新进行配置。
结合第一方面,在第一方面第一种可能的实现方式中,第一登录账号为Web应用登录账号,第二登录账号为LDAP服务器中登录账号。
结合第一方面,在第一方面第二种可能的实现方式中,所述LDAP服务器配置信息包括LDAP服务器地址、端口号、绑定DN、域密码、搜索库、用户登录属性。
结合第一方面,在第一方面第三种可能的实现方式中,所述第一注入登录测试用例为需要转义的字符,所述第二注入登录测试用例为需要转义并转码的字符。
进一步地,所述第一注入登录测试用例包括字符&、字符!、字符|、字符=、字符<、字符>、字符,、字符+、字符-、字符”、字符’、字符;。
结合第一方面,在第一方面第四种可能的实现方式中,所述第二注入登录测试用例包括字符(、字符)、字符\、字符*、字符/、字符NULL。
结合第一方面,在第一方面第五种可能的实现方式中,注入登录测试全部通过具体是:第一注入登录测试用例中的字符以及第一注入登录测试用例中的字符全部不能成功登录Web应用;注入登录测试失败具体是:任一第一注入登录测试用例中的字符或任一第一注入登录测试用例中的字符成功登录Web应用。
本发明第二方面提供了一种自动化检测LDAP认证注入漏洞的装置,包括:
封装模块,将LDAP Injection Test程序封装为脚本;
连接模块,将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;
配置模块,通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号,使用第一登录账号登录Web应用,根据LDAP服务器配置信息配置Web应用中LDAP设置;
退出登录模块,退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功;
测试模块,如果成功,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试,如果第一注入登录测试用例以及第二注入登录测试用例注入登录测试全部通过,则测试通过,不存在注入漏洞;如果存在第一注入登录测试用例或第二注入登录测试用例注入登录测试失败,则测试失败,存在注入漏洞;
重配置模块,如果不成功,则重新进行配置。
本发明采用的技术方案包括以下技术效果:
本发明有效解决由于手工进行LDAP认证注入漏洞检测造成费时费力、存在遗漏的问题,能够快速、全面地得出准确结果,有效的提高的检测效率,降低了检测成本。
应当理解的是以上的一般描述以及后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
为了更清楚说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单介绍,显而易见的,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明方案中实施例一方法的流程示意图;
图2为本发明方案中实施例二装置的结构示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例一
如图1所示,本发明提供了一种自动化检测LDAP认证注入漏洞的方法,包括:
S1,将LDAP Injection Test程序封装为脚本;
S2,将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;
S3,通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号,使用第一登录账号登录Web应用,根据LDAP服务器配置信息配置Web应用中LDAP设置;
S4,退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功,如果判断结果为是,则执行步骤S5;如果判断结果为否,则执行步骤S1,重新配置;
S5,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试;
S6,针对第一注入登录测试用例以及第二注入登录测试用例注入登录测试结果进行统计,并判断第一注入登录测试用例以及第二注入登录测试用例注入登录测试是否全部通过,如果判断结果为是,则执行步骤S7;如果判断结果为否,则执行步骤S8;
S7,测试通过,不存在注入漏洞;
S8,测试失败,存在注入漏洞。
在步骤S2中,脚本、LDAP服务器、Web应用可以通过网络进行通信连接,构成三者互联的连接关系。
在步骤S3以及S4中,第一登录账号为Web应用登录账号,第二登录账号为LDAP服务器中登录账号。LDAP服务器中登录账号为预先存储在服务器中的LDAP登录账号,登录时可以数据库中任一选择其中一个进行登录,选择时可以根据数据库中LDAP登录账号存储顺序进行选择,也可以根据其他规则进行选择,本发明在此不做限制。LDAP服务器配置信息包括LDAP服务器地址、端口号、绑定DN(域名)、域密码、搜索库、用户登录属性。如果没有成功登录,说明Web应用的设置LDAP服务配置存在问题,用户确认LDAP配置相关信息正确后,从步骤S1开始重新配置。
在步骤S5中,第一注入登录测试用例为需要转义的字符,第一注入登录测试用例包括字符&、字符!、字符|、字符=、字符<、字符>、字符,、字符+、字符-、字符”、字符’、字符;。第二注入登录测试用例为需要转义并转码的字符,第二注入登录测试用例包括字符(、字符)、字符\、字符*、字符/、字符NULL。
在步骤S6中,注入登录测试全部通过具体是:第一注入登录测试用例中的字符以及第一注入登录测试用例中的字符全部不能成功登录Web应用,即说明不存在注入漏洞。
在步骤S8中,注入登录测试失败具体是:任一第一注入登录测试用例中的字符或任一第一注入登录测试用例中的字符成功登录Web应用。
需要说明的是,本发明登录是否成功可以根据登录后的返回值来进行确定,如果返回值对应登录成功的返回值,则说明登录成功;如果返回值对应登录失败的返回值,则说明登录失败。
本发明通过提供了一种自动化检测LDAP认证注入漏洞的方法,有效解决由于手工进行LDAP认证注入漏洞检测造成费时费力、存在遗漏的问题,能够快速、全面地得出准确结果,有效的提高的检测效率,降低了检测成本。
实施例二
如图2所示,本发明技术方案还提供了一种自动化检测LDAP认证注入漏洞的装置,包括:
封装模块101,将LDAP Injection Test程序封装为脚本;
连接模块102,将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;
配置模块103,通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号,使用第一登录账号登录Web应用,根据LDAP服务器配置信息配置Web应用中LDAP设置;
退出登录模块104,退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功;
测试模块105,如果成功,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试,如果第一注入登录测试用例以及第二注入登录测试用例注入登录测试全部通过,则测试通过,不存在注入漏洞;如果存在第一注入登录测试用例或第二注入登录测试用例注入登录测试失败,则测试失败,存在注入漏洞;
重配置模块106,如果不成功,则重新进行配置。
本发明通过提供了一种自动化检测LDAP认证注入漏洞的装置,有效解决由于手工进行LDAP认证注入漏洞检测造成费时费力、存在遗漏的问题,能够快速、全面地得出准确结果,有效的提高的检测效率,降低了检测成本。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (6)
1.一种自动化检测LDAP认证注入漏洞的方法,其特征是,包括:
将LDAPInjectionTest程序封装为脚本;
将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;
通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号,使用第一登录账号登录Web应用,根据LDAP服务器配置信息配置Web应用中LDAP设置;其中,第一登录账号为Web应用登录账号,第二登录账号为LDAP服务器中登录账号;
退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功;
如果成功,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试,如果第一注入登录测试用例以及第二注入登录测试用例注入登录测试全部通过,则测试通过,不存在注入漏洞;如果存在第一注入登录测试用例或第二注入登录测试用例注入登录测试失败,则测试失败,存在注入漏洞;其中,所述第一注入登录测试用例为需要转义的字符,所述第二注入登录测试用例为需要转义并转码的字符;
如果不成功,则重新进行配置。
2.根据权利要求1所述的自动化检测LDAP认证注入漏洞的方法,其特征是,所述LDAP服务器配置信息包括LDAP服务器地址、端口号、绑定DN、域密码、搜索库、用户登录属性。
3.根据权利要求1所述的自动化检测LDAP认证注入漏洞的方法,其特征是,所述第一注入登录测试用例包括字符&、字符!、字符|、字符=、字符<、字符>、字符,、字符+、字符-、字符”、字符’、字符;。
4.根据权利要求1所述的自动化检测LDAP认证注入漏洞的方法,其特征是,所述第二注入登录测试用例包括字符(、字符)、字符\、字符*、字符/、字符NULL。
5.根据权利要求3或4所述的自动化检测LDAP认证注入漏洞的方法,其特征是,注入登录测试全部通过具体是:第一注入登录测试用例中的字符以及第二注入登录测试用例中的字符全部不能成功登录Web应用;注入登录测试失败具体是:任一第一注入登录测试用例中的字符或任一第二注入登录测试用例中的字符成功登录Web应用。
6.一种自动化检测LDAP认证注入漏洞的装置,其特征是,包括:
封装模块,将LDAPInjectionTest程序封装为脚本;
连接模块,将脚本、LDAP服务器、Web应用进行通信连接,构成三者互联的连接关系;
配置模块,通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号,使用第一登录账号登录Web应用,根据LDAP服务器配置信息配置Web应用中LDAP设置;其中,第一登录账号为Web应用登录账号,第二登录账号为LDAP服务器中登录账号;
退出登录模块,退出Web应用,使用第二登录账号登录Web应用,判断登录是否成功;
测试模块,如果成功,使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试,如果第一注入登录测试用例以及第二注入登录测试用例注入登录测试全部通过,则测试通过,不存在注入漏洞;如果存在第一注入登录测试用例或第二注入登录测试用例注入登录测试失败,则测试失败,存在注入漏洞;其中,所述第一注入登录测试用例为需要转义的字符,所述第二注入登录测试用例为需要转义并转码的字符;
重配置模块,如果不成功,则重新进行配置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910757277.1A CN110545264B (zh) | 2019-08-16 | 2019-08-16 | 一种自动化检测ldap认证注入漏洞的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910757277.1A CN110545264B (zh) | 2019-08-16 | 2019-08-16 | 一种自动化检测ldap认证注入漏洞的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110545264A CN110545264A (zh) | 2019-12-06 |
| CN110545264B true CN110545264B (zh) | 2021-09-03 |
Family
ID=68711530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910757277.1A Active CN110545264B (zh) | 2019-08-16 | 2019-08-16 | 一种自动化检测ldap认证注入漏洞的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110545264B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101482847A (zh) * | 2009-01-19 | 2009-07-15 | 北京邮电大学 | 一种基于安全漏洞缺陷模式的检测方法 |
| CN101640618A (zh) * | 2008-07-28 | 2010-02-03 | 英业达股份有限公司 | 认证测试方法、系统和具有认证测试功能的网络 |
| WO2011073982A1 (en) * | 2009-12-15 | 2011-06-23 | Seeker Security Ltd. | Method and system of runtime analysis |
| CN107948163A (zh) * | 2017-11-29 | 2018-04-20 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种xml注入漏洞检测与防御方法 |
| CN109426722A (zh) * | 2017-09-01 | 2019-03-05 | 深圳市源伞新科技有限公司 | Sql注入缺陷检测方法、系统、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7774428B2 (en) * | 2006-04-27 | 2010-08-10 | International Business Machines Corporation | Automatic response time measurement of LDAP server operations |
-
2019
- 2019-08-16 CN CN201910757277.1A patent/CN110545264B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640618A (zh) * | 2008-07-28 | 2010-02-03 | 英业达股份有限公司 | 认证测试方法、系统和具有认证测试功能的网络 |
| CN101482847A (zh) * | 2009-01-19 | 2009-07-15 | 北京邮电大学 | 一种基于安全漏洞缺陷模式的检测方法 |
| WO2011073982A1 (en) * | 2009-12-15 | 2011-06-23 | Seeker Security Ltd. | Method and system of runtime analysis |
| CN109426722A (zh) * | 2017-09-01 | 2019-03-05 | 深圳市源伞新科技有限公司 | Sql注入缺陷检测方法、系统、设备及存储介质 |
| CN107948163A (zh) * | 2017-11-29 | 2018-04-20 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种xml注入漏洞检测与防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110545264A (zh) | 2019-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9954855B2 (en) | Login method and apparatus, and open platform system | |
| US20220215082A1 (en) | Method and apparatus for facilitating the login of an account | |
| CN105337949B (zh) | 一种SSO认证方法、web服务器、认证中心和token校验中心 | |
| KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
| CN104767775B (zh) | 网页应用消息推送方法及系统 | |
| CN111294345B (zh) | 一种漏洞检测方法、装置及设备 | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| WO2016101635A1 (zh) | 一种同步登录状态的方法、装置、设备和计算机存储介质 | |
| CN105260318A (zh) | 一种基于网页的自动化测试方法及装置 | |
| CN110781083B (zh) | 一种h5客户端代码设置多环境测试方法和系统 | |
| CN112039868A (zh) | 防火墙策略验证方法、装置、设备及存储介质 | |
| CN112039900B (zh) | 网络安全风险检测方法、系统、计算机设备和存储介质 | |
| CN102739678B (zh) | 单点登录处理系统和单点登录处理方法 | |
| CN108234122B (zh) | 令牌校验方法和装置 | |
| CN110636038A (zh) | 账号解析方法、装置、安全网关及系统 | |
| CN110765333A (zh) | 采集网站信息的方法及装置、存储介质、电子装置 | |
| CN113938886A (zh) | 身份认证平台测试方法、装置、设备及存储介质 | |
| CN105743725A (zh) | 一种测试应用程序的方法和装置 | |
| CN107819639B (zh) | 一种测试方法和装置 | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
| CN110545264B (zh) | 一种自动化检测ldap认证注入漏洞的方法及装置 | |
| CN107357562B (zh) | 一种信息填充方法、装置及客户端 | |
| CN111181808A (zh) | 一种bmc ip访问控制的测试方法及系统 | |
| CN114675876B (zh) | 一种业务处理方法、装置、电子设备及存储介质 | |
| CN110032872A (zh) | 一种业务逻辑漏洞检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |