CN111770104A

CN111770104A - web漏洞检测方法、系统、终端、计算机可读存储介质

Info

Publication number: CN111770104A
Application number: CN202010628259.6A
Authority: CN
Inventors: 张宏原; 罗锦涛; 张兆林; 杨明宇
Original assignee: Inspur Cloud Information Technology Co Ltd
Current assignee: Inspur Cloud Information Technology Co Ltd
Priority date: 2020-07-02
Filing date: 2020-07-02
Publication date: 2020-10-13

Abstract

本发明公开了一种web漏洞检测方法、系统、终端、计算机可读存储介质，属于web漏洞检测领域，要解决的技术问题为如何提供检测范围广泛的安全漏洞工具。方法包括：端口扫描漏洞检测，通过Nmap扫描软件对端口遍历；DNS域传送漏洞检测，通过本地域名解析服务器从DNS服务器中读取DNS记录；危险的HTTP请求方法漏洞检测，对危险请求方法是否开启进行判断；跨站脚本攻击漏洞检测，对客户端提交的数据进行过滤处理；Sql注入漏洞检测，调用SQLmap测试工具进行检测。系统包括：端口扫描漏洞检测模块、DNS域传送漏洞检测模块、危险的HTTP请求方法漏洞检测模块、跨站脚本攻击漏洞检测模块、Sql注入漏洞检测模块。

Description

web漏洞检测方法、系统、终端、计算机可读存储介质

技术领域

本发明涉及web漏洞检测技术领域，具体地说是一种web漏洞检测方法、系统、终端、计算机可读存储介质。

背景技术

目前，随着互联网的发展，网站网页中不可避免的存在一些漏洞和安全性问题。黑客通过这些漏洞和安全问题能够达到获取商业机密或者个人的一些较为秘密的信息等等，对公司和个人造成不可估计的损失，给互联网信息的安全造成了威胁。

当前的Web应用漏洞扫描技术已相对成熟，例如Nikto、AWVS(Acunetix WebVulnerability Scanner)等，还有一些专注于某一方面的漏洞检测工具，如sql注入检测工具sqlmap等。各个工具都具有自己的长处，但是对于一个需要更加个性化的漏洞安全检测，便自定义一个安全漏洞工具，通过利用各类工具的优点和长处，同时添加了一些自定义的漏洞判断，对一些开源工具进行了一些细小的修改。同时对这些优秀的开源工具进行学习，更好的了解其工作原理，便于更好的使用和修改。

基于上述分析，如何提供一种检测范围广泛的安全漏洞工具，是需要解决的技术问题。

发明内容

本发明的技术任务是针对以上不足，提供一种web漏洞检测方法、系统、终端、计算机可读存储介质，来解决如何提供一种检测范围广泛的安全漏洞工具的问题。

第一方面，本发明提供web漏洞检测方法，包括：

端口扫描漏洞检测，通过Nmap扫描软件对端口遍历，判断端口是否开启，对于开启的端口进行漏洞检测；

DNS域传送漏洞检测，以本地域名解析服务器作为DNS服务器的域名解析服务器，通过本地域名解析服务器从DNS服务器中读取DNS记录，根据本地域名解析服务器是否能够读取DNS记录判断DNS域的配置；

危险的HTTP请求方法漏洞检测，对危险请求方法是否开启进行判断，检测web服务器或者应用程序服务器是否收到危险攻击；

跨站脚本攻击漏洞检测，对客户端提交的数据进行过滤处理；

Sql注入漏洞检测，调用SQLmap测试工具进行检测。

作为优选，所述DNS域服务器分为主服务器、备份服务器和缓存服务器，主服务器和备份服务器之间同步数据库，后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库，如果DNS服务器配置不当，能够导致匿名用户获取对应DNS域服务器的DNS记录。

作为优选，所述HTTP方法包括但不限于PUT方法和DELETE方法，PUT方法和DELETE方法能够造成在Web服务器上上载、修改或删除Web页面、脚本和文件，攻击者通过PUT方法上传webshell能够导致服务器直接被攻击控制，基于上述HTTP方法面临的危险包括：

恶意攻击者通过TRACE Method返回的信息了解到网站前端的相关信息，为下一步的攻击提供便利；

恶意攻击者通过TRACE Method进行XSS攻击；

即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息，恶意攻击者通过TRACE Method绕过限制读取到cookie信息。

作为优选，调用SQLmap测试工具进行检测，包括：

设置相关参数和配置，所述相关参数和配置包括但不限于用户信息；

检测是否有WAF；

检测是否支持注入数据库；

识别数据库的相关信息；

对用户传递的参数进行检测；

将检测通过的用户传递的参数进行接管，注入相关数据库。

作为优选，所述数据库包括但不限于MySQL、Oracle、PostgreSQL、Microsoft SQLServer和Microsoft Access。

作为优选，所述注入包括：

基于布尔的盲注，即根据返回页面判断条件真假的注入；

基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行来判断；

基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中；

联合查询注入，能够使用union的情况下的注入；

堆查询注入，能够同时执行多条语句的执行时的注入。

第二方面，本发明提供web漏洞检测系统，包括：

端口扫描漏洞检测模块，所述端口扫描漏洞检测模块用于调用Nmap扫面软件，通过Nmap扫面软件对端口遍历，判断端口是否开启，对于开启的端口进行漏洞检测；

DNS域传送漏洞检测模块，所述DNS域传送漏洞检测模块用于以本地域名解析服务器作为DNS服务器的域名解析服务器，通过本地域名解析服务器从DNS服务器中读取DNS记录，根据本地域名解析服务器是否能够读取DNS记录判断DNS域的配置；

危险的HTTP请求方法漏洞检测，对危险请求方法是否开启进行判断，并判断是否开启TRACE方法，TRACE方法默认为开启，检测web服务器或者应用程序服务器是否收到危险攻击；

跨站脚本攻击漏洞检测模块，所述跨站脚本攻击漏洞检测模块用于对客户端提交的数据进行过滤处理；

Sql注入漏洞检测模块，所述Sql注入漏洞检测模块用于调用SQLmap测试工具进行检测。

第三方面，本发明提供终端，包括处理器、输入设备、输出设备和存储器，处理器、输入设备、输出设备和存储器相互连接，存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令执行如第一方面任一项所述的方法。

第四方面，本发明提供计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，程序指令当被处理器执行时所述处理器执行如第一方面任一项所述的方法。

本发明的web漏洞检测方法、系统、终端、计算机可读存储介质具有以下优点：通过对当前需要检测的网络安全漏洞进行自定义检测，节约了检测时间，提高了检测效率，注重于检测用户需要检测的网络安全漏洞项，对于已检测出来的网络安全漏洞有了一个很好地划分，便于维护和升级网络，减少漏洞，保护企业和个人的信息安全。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

下面结合附图对本发明进一步说明。

图1为实施例1web漏洞检测方法中Sql注入漏洞检测的流程框图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定，在不冲突的情况下，本发明实施例以及实施例中的技术特征可以相互结合。

本发明实施例提供一种web漏洞检测方法、系统、终端、计算机可读存储介质，用于解决如何提供一种检测范围广泛的安全漏洞工具的技术问题。

实施例1：

本发明一种web漏洞检测方法，主要包括对于网络安全漏洞检测如下几个方面：端口扫描漏洞检测、DNS域传送漏洞检测、危险的HTTP请求方法漏洞检测、跨站脚本攻击漏洞检测、sql注入漏洞检测。

端口扫描漏洞检测使用Nmap的一种开源网络连接端扫描软件。端口代表着服务，端口扫描就是为了发现服务器开启了那些服务，通过这些开启的服务为之后的攻击利用收集到的信息作准备处理工作。即通过对端口遍历来判断是否已经开启。

即端口扫描漏洞检测通过对一些已经存在的服务(http服务、ftp服务、ssh服务、telnet服务、rdp服务等)对端口进行遍历判断是否开启。

DNS域传送漏洞检测。DNS服务器分为：主服务器、备份服务器和缓存服务器。在主服务器和备份服务器之间同步数据库，需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。若DNS服务器配置不当，可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。凭借这份网络蓝图，攻击者可以节省的扫描时间的同时提高准确度。

DNS域传送漏洞检测，以本地域名解析服务器作为DNS服务器的域名解析服务器，通过本地域名解析服务器从DNS服务器中读取DNS记录，根据本地域名解析服务器是否能够读取DNS记录判断DNS域的配置。

危险的HTTP请求方法漏洞检测，根据HTTP标准，HTTP请求可以使用多种请求方法，HTTP1.0定义了三种请求方法：GET,POST和HEAD方法。HTTP1.1新增了五种请求方法：OPTIONS,PUT,DELETE,TRACE和CONNECT方法。

如下表所示，是HTTP请求的方法描述。

表、HTTP请求方法

通常的测试方法包括：用OPTIONS方法列出服务器使用的HTTP方法。该漏洞出现常常是因为Web服务器或应用程序服务器是以不安全的方式配置的。PUT、DELETE方法可能会造成在Web服务器上上载、修改或删除Web页面、脚本和文件。如果攻击者通过PUT方法上传webshell那么可能导致服务器直接被攻击控制。以下为检测出来的威胁：

恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息，如缓存服务器等，从而为下一步的攻击提供便利。

恶意攻击者可以通过TRACE Method进行XSS攻击；

即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息，那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。

危险的HTTP请求方法漏洞检测，对危险请求方法是否开启进行判断，并判断是否开启TRACE方法，TRACE方法默认为开启，检测web服务器或者应用程序服务器是否收到危险攻击。

跨站脚本攻击漏洞检测：跨站脚本(cross site script)为了避免与样式css混淆，所以简称为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。攻击者在网页中嵌入客户端脚本，因为现如今的互联网客户端脚本代码记本是基于JavaScript，所以攻击者通常是使用javaScript的代码，也会使用其他互联网客户端脚本代码，例如:ActionScript，VBscript。当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行。XSS指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

XSS攻击的危害包括：

盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号；

控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力；

盗窃企业重要的具有商业价值的资料；

非法转账；

强制发送电子邮件；

网站挂马；

控制受害者机器向其它网站发起攻击。

跨站脚本攻击漏洞检测为：不信任任何客户端提交的数据，只要是客户端提交的数据就应该先进行相应的过滤处理然后方可进行下一步的操作。

sql注入漏洞检测，SQLMap是一个开放源码的渗透测试工具，可以自动检测和利用SQL注入漏洞，配备了一个功能强大的检测引擎，如果URL存在注入漏洞，该工具可以从数据库中提取数据，如果权限较大，该工具甚至可以在操纵系统上执行命令，读写文件等许多特殊功能。

SQLMap检测涉及有如下五个步骤：

首先设置相关参数和配置；

然后检测是否有WAF；

检测是否可以注入等问题；

然后识别数据库的相关信息；

将用户传递的参数进行检测；

最后接管，将用户传递的参数注入数据库，即后续的攻击等问题。

SQLMap是基于Python编写的，无论linux或者windowx只要能安装python就能用。

SQLMap支持的数据库有：MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access等。SQLMap采用了五种独特的SQL注入技术，分别是：

基于布尔的盲注，即可以根据返回页面判断条件真假的注入；

基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断；

联合查询注入，可以使用union的情况下的注入；

堆查询注入，可以同时执行多条语句的执行时的注入；

SQLMap支持枚举用户、密码Hash、权限、角色、数据库、表和列。支持远程执行任意指令，前提输数据库要支持操纵系统命令；并自动识别密码加密方式、可以使用字典进行解密、支持数据导出功能、支持多种编码绕过WAF。

本发明的一种web漏洞检测方法通过对当前需要检测的网络安全漏洞进行自定义检测，节约了检测时间，提高了检测效率，注重于检测用户需要检测的网络安全漏洞项，对于已检测出来的网络安全漏洞有了一个很好地划分，便于维护和升级网络，减少漏洞，保护企业和个人的信息安全。

实施例2：

一种web漏洞检测系统，包括端口扫描漏洞检测模块、DNS域传送漏洞检测模块、危险的HTTP请求方法漏洞检测模块、跨站脚本攻击漏洞检测模块以及Sql注入漏洞检测模块。

端口代表着服务，端口扫描就是为了发现服务器开启了那些服务，通过这些开启的服务为之后的攻击利用收集到的信息作准备处理工作。即通过对端口遍历来判断是否已经开启。

端口扫描漏洞检测模块用于调用Nmap扫面软件，通过Nmap扫面软件对端口遍历，判断端口是否开启，对于开启的端口进行漏洞检测。即端口扫描漏洞检测通过对一些已经存在的服务(http服务、ftp服务、ssh服务、telnet服务、rdp服务等)对端口进行遍历判断是否开启。

DNS服务器分为：主服务器、备份服务器和缓存服务器。在主服务器和备份服务器之间同步数据库，需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。若DNS服务器配置不当，可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。凭借这份网络蓝图，攻击者可以节省的扫描时间的同时提高准确度。

DNS域传送漏洞检测模块用于以本地域名解析服务器作为DNS服务器的域名解析服务器，通过本地域名解析服务器从DNS服务器中读取DNS记录，根据本地域名解析服务器是否能够读取DNS记录判断DNS域的配置。

如下表所示，是HTTP请求的方法描述。

表、HTTP请求方法

恶意攻击者可以通过TRACE Method进行XSS攻击；

跨站脚本(cross site script)为了避免与样式css混淆，所以简称为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。攻击者在网页中嵌入客户端脚本，因为现如今的互联网客户端脚本代码记本是基于JavaScript，所以攻击者通常是使用javaScript的代码，也会使用其他互联网客户端脚本代码，例如:ActionScript，VBscript。当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行。XSS指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

XSS攻击的危害包括：

盗窃企业重要的具有商业价值的资料；

非法转账；

强制发送电子邮件；

网站挂马；

控制受害者机器向其它网站发起攻击。

跨站脚本攻击漏洞检测模块，所述跨站脚本攻击漏洞检测模块用于对客户端提交的数据进行过滤处理。

SQLMap是一个开放源码的渗透测试工具，可以自动检测和利用SQL注入漏洞，配备了一个功能强大的检测引擎，如果URL存在注入漏洞，该工具可以从数据库中提取数据，如果权限较大，该工具甚至可以在操纵系统上执行命令，读写文件等许多特殊功能。

SQLMap检测涉及有如下五个步骤：

首先设置相关参数和配置；

然后检测是否有WAF

检测是否可以注入等问题；

然后识别数据库的相关信息；

将用户传递的参数进行检测；

联合查询注入，可以使用union的情况下的注入；

堆查询注入，可以同时执行多条语句的执行时的注入；

本发明的一种web漏洞检测系统执行实施例1公开的一种web漏洞检测方法。

实施例3：

本发明的一种终端，包括处理器、输入设备、输出设备和存储器，处理器、输入设备、输出设备和存储器相互连接，存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令执行如实施例1公开的方法。

实施例4：

本发明提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，程序指令当被处理器执行时所述处理器执行实施例1公开的方法。

具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从服务器计算机上下载程序代码。

此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

需要说明的是，上述各流程和各系统结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。

上文通过附图和优选实施例对本发明进行了详细展示和说明，然而本发明不限于这些已揭示的实施例，基与上述多个实施例本领域技术人员可以知晓，可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例，这些实施例也在本发明的保护范围之内。

Claims

1.web漏洞检测方法，其特征在于包括：

Sql注入漏洞检测，调用SQLmap测试工具进行检测。

2.根据权利要求1所述的web漏洞检测方法，其特征在于所述DNS域服务器分为主服务器、备份服务器和缓存服务器，主服务器和备份服务器之间同步数据库，后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库，如果DNS服务器配置不当，能够导致匿名用户获取对应DNS域服务器的DNS记录。

3.根据权利要求1所述的web漏洞检测方法，其特征在于所述HTTP方法包括但不限于PUT方法和DELETE方法，PUT方法和DELETE方法能够造成在Web服务器上上载、修改或删除Web页面、脚本和文件，攻击者通过PUT方法上传webshell能够导致服务器直接被攻击控制，基于上述HTTP方法面临的危险包括：

恶意攻击者通过TRACE Method进行XSS攻击；

4.根据权利要求1所述的web漏洞检测方法，其特征在于调用SQLmap测试工具进行检测，包括：

检测是否有WAF；

检测是否支持注入数据库；

识别数据库的相关信息；

对用户传递的参数进行检测；

将检测通过的用户传递的参数进行接管，注入相关数据库。

5.根据权利要求1所述的web漏洞检测方法，其特征在于所述数据库包括但不限于MySQL、Oracle、PostgreSQL、Microsoft SQL Server和Microsoft Access。

6.根据权利要求1所述的web漏洞检测方法，其特征在于所述注入包括：

基于布尔的盲注，即根据返回页面判断条件真假的注入；

联合查询注入，能够使用union的情况下的注入；

堆查询注入，能够同时执行多条语句的执行时的注入。

7.web漏洞检测系统，其特征在于包括：

8.终端，其特征在于包括处理器、输入设备、输出设备和存储器，处理器、输入设备、输出设备和存储器相互连接，存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令执行如权利要求1-6任一项所述的方法。

9.计算机可读存储介质，其特征在于所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，程序指令当被处理器执行时所述处理器执行如权利要求1-6任一项所述的方法。