CN114124476A - 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 - Google Patents
一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 Download PDFInfo
- Publication number
- CN114124476A CN114124476A CN202111308129.5A CN202111308129A CN114124476A CN 114124476 A CN114124476 A CN 114124476A CN 202111308129 A CN202111308129 A CN 202111308129A CN 114124476 A CN114124476 A CN 114124476A
- Authority
- CN
- China
- Prior art keywords
- response packet
- http
- field
- http response
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims description 29
- 230000004044 response Effects 0.000 claims abstract description 126
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出的一种Web应用的敏感信息泄露漏洞检测方法、系统及装置,属于网络安全技术领域。所述方法包括:登录被测Web应用,抓取查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包;设置HTTP请求头字段白名单;顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段;根据记录的键字段生成可疑会话标识字段列表;遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码;若存在,则被测Web应用存在敏感信息泄露漏洞。
Description
技术领域
本发明涉及网络安全技术领域,更具体的说是涉及一种Web应用的敏感信息泄露漏洞检测方法、系统及装置。
背景技术
在Web应用中,密码与证书等认证手段,一般仅仅用于登录的过程。当登录完成后,用户访问网站的页面,不可能每次浏览器请求页面时都再使用密码认证一次。因此,当认证成功后,就需要替换一个对用户透明的凭证,在网络安全领域,我们通常把这个凭证称为会话标识。
会话标识保存了用户身份信息、会话信息、授权信息等敏感信息,因此一旦在会话的生命周期内被窃取,就等同于账户失窃。同时由于会话标识是用户登录之后才有的认证凭证,因此攻击者不需要再攻击登录过程(比如密码的暴力破解),大大降低了攻击复杂度。如果页面代码中果包含用于创建或修改会话标识的代码,那么攻击者可通过查看这些页面代码,了解会话标识的创建方法,甚至根据自身专业知识将其用于创建新的会话标识或修改当前低权限的会话标识,进而达到权限提升的目的。
当前业界主流的敏感信息检测方法,是遍历被测Web应用的所有页面代码,通过关键词匹配查询的方法,判断页面代码中是否存在与会话标识的创建过程有关的业务逻辑代码,进而判断是否存在敏感信息泄露漏洞。这种检测方法会带来很高的漏洞误报率,因为在实际的Web应用场景中,会话标识不一定存在于Cookie字段中,还有可能存在于其他被测Web应用自定义的HTTP请求头字段中,甚至是存在于某个字段中包含的子字段中。单纯依赖关键词匹配查询无法正确定位到会话标识是否存在信息泄露漏洞。
发明内容
针对以上问题,本发明的目的在于提供一种Web应用的敏感信息泄露漏洞检测方法、系统及装置,能够大幅度降低敏感信息泄露漏洞检测的误报率,提高准确性。
本发明为实现上述目的,通过以下技术方案实现:一种Web应用的敏感信息泄露漏洞检测方法,包括如下步骤:
S1:登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包;
S2:设置HTTP请求头字段白名单;
S3:顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段;
S4:根据记录的键字段生成可疑会话标识字段列表;
S5:遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码;
S6:若存在,则被测Web应用存在敏感信息泄露漏洞,输出可疑会话标识字段列表和所述用于创建会话标识的逻辑代码。
进一步,所述与业务相关的查询类操作包括:查询用户操作或查询日志操作。
进一步,所述抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,包括:
通过网络抓包转发工具,抓取查询类操作对应的HTTP请求包,发送后记录被测Web应用安全在正常状态下的HTTP响应包。
进一步,所述HTTP请求头字段白名单内存储有可信任的请求头字段,可信任的请求头字段为根据HTTP协议设置的公共字段,此类字段为确定在任何被测Web应用中都不包含会话标识的字段。
进一步,所述步骤S3包括:
顺序遍历HTTP请求包中的请求头字段,每次获取一个请求头字段;
判断获取的请求头字段是否在HTTP请求头字段白名单内;若是,则跳过,否则删除获取的请求头字段。
进一步,所述步骤S3还包括:
删除获取的请求头字段后,发送HTTP请求包,并获取相应的HTTP响应包;
将获取的HTTP响应包与正常状态下的HTTP响应包对比;
若一致则跳过,若不一致则判断已删除的请求头字段是否包含多个子字段;如果删除的请求头字段不包含多个子字段,则记录已删除的请求头字段的键字段。
进一步,所述步骤S3还包括:
如果已删除的请求头字段包含多个子字段,则顺序遍历子字段,每次删除一个子字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的子字段的键字段。
进一步,所述步骤S5具体为:
遍历可疑会话标识字段列表,通过预设的正则表达式,查找其中的每个键字段在被测Web应用中的页面代码中是否存在用于创建会话标识的逻辑代码。
相应的,本发明还公开了一种Web应用的敏感信息泄露漏洞检测系统,包括:准备模块,用于登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包;
敏感信息白名单模块,用于设置HTTP请求头字段白名单;
敏感信息定位模块,用于顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段;可疑会话标识字段列表模块,用于根据记录的键字段生成可疑会话标识字段列表;
漏洞确认模块,用于遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码;
漏洞输出模块,用于输出可疑会话标识字段列表和查找出的用于创建会话标识的逻辑代码。
相应的,本发明公开了一种Web应用的敏感信息泄露漏洞检测装置,包括:
存储器,用于存储Web应用的敏感信息泄露漏洞检测程序;
处理器,用于执行所述Web应用的敏感信息泄露漏洞检测程序时实现如上文任一项所述Web应用的敏感信息泄露漏洞检测方法的步骤。
对比现有技术,本发明有益效果在于:本发明提供了一种Web应用的敏感信息泄露漏洞检测方法、系统及装置,在查找敏感信息之前,首先精确定位了会话标识所在的HTTP请求头的位置。通过遍历HTTP请求头中的每个字段,每次只删除其中一个字段,并尝试发送请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若不一致则记录此字段的键,并在后续以此作为关键词,查询被测Web应用中的页面代码中是否存在与之对应的与会话标识的创建相关的逻辑代码,最终判断被测Web应用是否存在敏感信息泄露漏洞。通过本发明能够大幅度降低敏感信息泄露漏洞检测的误报率,提高准确性。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
附图1是本发明具体实施方式的方法流程图。
附图2是本发明具体实施方式的系统结构图。
图中,1为准备模块;2为敏感信息白名单模块;3为敏感信息定位模块;4为可疑会话标识字段列表模块;5为漏洞确认模块;6为漏洞输出模块。
具体实施方式
本发明的核心是提供一种Web应用的敏感信息泄露漏洞检测方法,现有技术中,传统的敏感信息检测方法,是通过关键词匹配查询的方法,判断页面代码中是否存在与会话标识的创建过程有关的业务逻辑代码,进而判断是否存在敏感信息泄露漏洞。这种检测方法会带来很高的漏洞误报率,因为在实际的Web应用场景中,HTTP请求包有以下四个部分组成:请求行、请求头部、空行和请求数据。其中请求头部又由若干个字段组成,例如Host、Origin、User-Agent、Content-Type、Referer、Accept-Encoding、Cookie、X-CSRF-TOKEN等等。会话标识不一定存在于Cookie字段中,还有可能存在于其他被测Web应用自定义的HTTP请求头字段中,甚至是存在于某个字段中包含的子字段中。单纯依赖关键词匹配查询无法正确定位到会话标识是否存在信息泄露漏洞。
而本发明提供的Web应用的敏感信息泄露漏洞检测方法,首先,断出会话标识存在于HTTP请求包中的准确位置。然后,通过遍历HTTP请求头中的每个字段和子字段,每次只删除其中一个字段或子字段,并尝试发送请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若不一致则记录此字段的键,并在后续以此作为关键词,查询被测Web应用中的页面代码中是否存在与之对应的与会话标识的创建相关的逻辑代码,最终判断被测Web应用是否存在敏感信息泄露漏洞。由此可见,本发明能够大幅度降低敏感信息泄露漏洞检测的误报率,提高准确性。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
如图1所示,本实施例提供了一种Web应用的敏感信息泄露漏洞检测方法,包括如下步骤:
S1:登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包。
其中,与业务相关的查询类操作包括:查询用户操作或查询日志操作。
本步骤中的抓取HTTP请求包,发送后记录HTTP响应包具体包括:
通过网络抓包转发工具,抓取查询类操作对应的HTTP请求包,发送后记录被测Web应用安全在正常状态下的HTTP响应包。
S2:设置HTTP请求头字段白名单。
其中,HTTP请求头字段白名单内存储有可信任的请求头字段,可信任的请求头字段为根据HTTP协议设置的公共字段,此类字段为确定在任何被测Web应用中都不包含会话标识的字段。
S3:顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段。
本步骤具体过程如下:
顺序遍历HTTP请求包中的请求头字段,每次获取一个请求头字段后,首先判断获取的请求头字段是否在HTTP请求头字段白名单内;若是,则跳过,否则删除获取的请求头字段。
当删除获取的请求头字段后,发送HTTP请求包,获取相应的HTTP响应包,并将获取的HTTP响应包与正常状态下的HTTP响应包对比。若一致则跳过,若不一致则判断已删除的请求头字段是否包含多个子字段。
此时,如果删除的请求头字段不包含多个子字段,则记录已删除的请求头字段的键字段。如果已删除的请求头字段包含多个子字段,则顺序遍历子字段,每次删除一个子字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的子字段的键字段。
S4:根据记录的键字段生成可疑会话标识字段列表。
当所有的请求头字段和子字段均遍历完成后,后生成一个可疑会话标识字段列表,表中存储了步骤S4中记录的请求头字段和子字段的键字段。
S5:遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码。
本步骤具体为:遍历可疑会话标识字段列表,通过预设的正则表达式,查找其中的每个键字段在被测Web应用中的页面代码中是否存在用于创建会话标识的逻辑代码。
S6:若存在,则被测Web应用存在敏感信息泄露漏洞,输出可疑会话标识字段列表和所述用于创建会话标识的逻辑代码。
本实施例提供了一种Web应用的敏感信息泄露漏洞检测方法,在查找敏感信息之前,首先精确定位了会话标识所在的HTTP请求头的位置。通过遍历HTTP请求头中的每个字段,每次只删除其中一个字段,并尝试发送请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若不一致则记录此字段的键,并在后续以此作为关键词,查询被测Web应用中的页面代码中是否存在与之对应的与会话标识的创建相关的逻辑代码,最终判断被测Web应用是否存在敏感信息泄露漏洞。通过本方法能够大幅度降低敏感信息泄露漏洞检测的误报率,提高准确性。
实施例二:
基于实施例一,本实施例还公开了一种Web应用的敏感信息泄露漏洞检测方法,包括以下步骤:
第一步:登录被测Web应用后,执行任一与业务相关的查询类操作(如查询用户、查询日志等等,因为后续操作需要多次发送该请求,所以建议选取查询类的操作,这样不会影响测试环境),并通过网络抓包转发工具,抓取该操作对应的HTTP请求包,发送后记录被测Web应用安全在正常状态下的HTTP响应包。
第二步:设置HTTP请求头字段白名单,该白名单内的HTTP请求头字段是确定在任何被测Web应用中都不包含会话标识的字段,通常这些字段都是根据HTTP协议设置的公共字段,而不是被测Web应用本身自定义的字段。这样在提高检测效率的同时,还可以避免出现其他未知的异常状态下的HTTP响应包。
第三步:按顺序遍历抓取的HTTP请求包中的请求头字段。
遍历每个请求头字段时,首先判断一下该请求头字段是否包含在HTTP请求头字段白名单中,若是则跳过;否则删除该请求头字段。当HTTP请求头缺少会话标识时,会得到异常状态下的HTTP响应包,与正常状态下的HTTP响应包有显著区别。不同的原因导致的异常状态下的HTTP响应包也会有所不同,缺少会话标识仅仅是其中一种原因,因此我们在第二步中设置的HTTP请求头字段白名单,不仅可以提高检测效率,还可以避免出现其他未知的异常状态下的HTTP响应包,防止与因缺少会话标识导致的异常状态下的HTTP响应包产生混淆。
此时,尝试再次发送HTTP请求包,将得到的HTTP响应包与第一步中的HTTP响应包进行对比,若一致则跳过,若不一致则进一步判断该字段是否包含多个子字段,若不包含多个子字段则记录此字段的键(请求头字段中冒号的左半部分),若包含多个子字段则遍历该字段中的子字段,即按顺序仅删除其中一个子字段,并尝试再次发送该请求,将得到的HTTP响应包与第一步中的HTTP响应包进行对比,若一致则跳过,若不一致则记录此子字段的键(该子字段中等号的左半部分)。
第四步:重复执行第三步中的步骤,直至覆盖完HTTP请求头的所有字段及其子字段,此时会生成一个可疑会话标识字段列表,包含了第三步中记录的(子)字段的键。
第五步:遍历第四步中的可疑会话标识字段列表,配合正则表达式,查找第三步中记录的(子)字段的键在被测Web应用中的页面代码中是否存在与之对应的与会话标识的创建相关的逻辑代码。
第六步:根据第五步的结果,若存在与会话标识的创建相关的逻辑代码,则说明被测Web应用存在敏感信息泄露漏洞,并输出可疑会话标识字段列表和对应的与会话标识的创建相关的逻辑代码。
实施例三:
基于实施例一,如图2所示,本发明还公开了一种Web应用的敏感信息泄露漏洞检测系统,包括:准备模块1、敏感信息白名单模块2、敏感信息定位模块3、可疑会话标识字段列表模块4、漏洞确认模块5和漏洞输出模块6。
准备模块1,用于登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包;
敏感信息白名单模块2,用于设置HTTP请求头字段白名单。由于当HTTP请求头缺少会话标识时,会得到异常状态下的HTTP响应包,与正常状态下的HTTP响应包有显著区别。不同的原因导致的异常状态下的HTTP响应包也会有所不同,缺少会话标识仅仅是其中一种原因。因此我们可以设置HTTP请求头字段白名单,该白名单内的HTTP请求头字段是确定在任何被测Web应用中都不包含会话标识的字段,通常这些字段都是根据HTTP协议设置的公共字段,而不是被测Web应用本身自定义的字段。这样在进行敏感信息定位的过程中,遇到白名单内的字段可以直接跳过。提高检测效率的同时,还可以避免出现其他未知的异常状态下的HTTP响应包。
敏感信息定位模块3,用于顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段。敏感信息定位模块3的功能在于定位会话标识所在的HTTP请求头的位置,具体用于通过遍历HTTP请求头中的每个(子)字段,每次只删除其中一个(子)字段,并尝试发送请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若不一致则记录此(子)字段的键。
可疑会话标识字段列表模块4,用于根据记录的键字段生成可疑会话标识字段列表。
漏洞确认模块5,用于遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码。当敏感信息定位模块输出可疑会话标识字段列表后,漏洞确认模块5具体用于配合正则表达式,查找每一条可疑敏感信息(敏感信息定位模块输出的字段或子字段的键)在被测Web应用中的页面代码中是否存在与之对应的与会话标识的创建相关的逻辑代码。
漏洞输出模块6,用于输出可疑会话标识字段列表和查找出的用于创建会话标识的逻辑代码。若存在与会话标识的创建相关的逻辑代码,则说明被测Web应用存在敏感信息泄露漏洞,通过漏洞输出模块6能够输出可疑敏感信息和与之对应的与会话标识的创建相关的逻辑代码。
本实施例提供了一种Web应用的敏感信息泄露漏洞检测系统,首先精确定位了会话标识所在的HTTP请求头的位置。通过遍历HTTP请求头中的每个字段,每次只删除其中一个字段,并尝试发送请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若不一致则记录此字段的键,并在后续以此作为关键词,查询被测Web应用中的页面代码中是否存在与之对应的与会话标识的创建相关的逻辑代码,最终判断被测Web应用是否存在敏感信息泄露漏洞。本系统能够大幅度降低敏感信息泄露漏洞检测的误报率,提高准确性。
实施例四:
本实施例公开了一种Web应用的敏感信息泄露漏洞检测装置,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的Web应用的敏感信息泄露漏洞检测程序时实现以下步骤:
1、登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包。
2、设置HTTP请求头字段白名单。
3、顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段。
4、根据记录的键字段生成可疑会话标识字段列表。
5、遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码。
6、若存在,则被测Web应用存在敏感信息泄露漏洞,输出可疑会话标识字段列表和所述用于创建会话标识的逻辑代码。
进一步的,本实施例中的Web应用的敏感信息泄露漏洞检测装置,还可以包括:
输入接口,用于获取外界导入的Web应用的敏感信息泄露漏洞检测程序,并将获取到的Web应用的敏感信息泄露漏洞检测程序保存至所述存储器中,还可以用于获取外界终端设备传输的各种指令和参数,并传输至处理器中,以便处理器利用上述各种指令和参数展开相应的处理。本实施例中,所述输入接口具体可以包括但不限于USB接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。
输出接口,用于将处理器产生的各种数据输出至与其相连的终端设备,以便于与输出接口相连的其他终端设备能够获取到处理器产生的各种数据。本实施例中,所述输出接口具体可以包括但不限于USB接口、串行接口等。
通讯单元,用于在Web应用的敏感信息泄露漏洞检测装置和外部服务器之间建立远程通讯连接,以便于Web应用的敏感信息泄露漏洞检测装置能够将镜像文件挂载到外部服务器中。本实施例中,通讯单元具体可以包括但不限于基于无线通讯技术或有线通讯技术的远程通讯单元。
键盘,用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。
显示器,用于运行服务器供电线路短路定位过程的相关信息进行实时显示。
鼠标,可以用于协助用户输入数据并简化用户的操作。
综上所述,本发明能够大幅度降低敏感信息泄露漏洞检测的误报率,提高准确性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的系统相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。
同理,在本发明各个实施例中的各处理单元可以集成在一个功能模块中,也可以是各个处理单元物理存在,也可以两个或两个以上处理单元集成在一个功能模块中。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的Web应用的敏感信息泄露漏洞检测方法、系统及装置进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种Web应用的敏感信息泄露漏洞检测方法,其特征在于,包括如下步骤:
S1:登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包;
S2:设置HTTP请求头字段白名单;
S3:顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段;
S4:根据记录的键字段生成可疑会话标识字段列表;
S5:遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码;
S6:若存在,则被测Web应用存在敏感信息泄露漏洞,输出可疑会话标识字段列表和所述用于创建会话标识的逻辑代码。
2.根据权利要求1所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述与业务相关的查询类操作包括:查询用户操作或查询日志操作。
3.根据权利要求1所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,包括:通过网络抓包转发工具,抓取查询类操作对应的HTTP请求包,发送后记录被测Web应用安全在正常状态下的HTTP响应包。
4.根据权利要求1所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述HTTP请求头字段白名单内存储有可信任的请求头字段,可信任的请求头字段为根据HTTP协议设置的公共字段,此类字段为确定在任何被测Web应用中都不包含会话标识的字段。
5.根据权利要求1所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述步骤S3包括:
顺序遍历HTTP请求包中的请求头字段,每次获取一个请求头字段;
判断获取的请求头字段是否在HTTP请求头字段白名单内;若是,则跳过,否则删除获取的请求头字段。
6.根据权利要求5所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述步骤S3还包括:
删除获取的请求头字段后,发送HTTP请求包,并获取相应的HTTP响应包;
将获取的HTTP响应包与正常状态下的HTTP响应包对比;
若一致则跳过,若不一致则判断已删除的请求头字段是否包含多个子字段;
如果删除的请求头字段不包含多个子字段,则记录已删除的请求头字段的键字段。
7.根据权利要求6所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述步骤S3还包括:
如果已删除的请求头字段包含多个子字段,则顺序遍历子字段,每次删除一个子字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的子字段的键字段。
8.根据权利要求7所述的Web应用的敏感信息泄露漏洞检测方法,其特征在于,所述步骤S5具体为:
遍历可疑会话标识字段列表,通过预设的正则表达式,查找其中的每个键字段在被测Web应用中的页面代码中是否存在用于创建会话标识的逻辑代码。
9.一种Web应用的敏感信息泄露漏洞检测系统,其特征在于,包括:
准备模块,用于登录被测Web应用,执行任一与业务相关的查询类操作,并抓取所述查询类操作对应的HTTP请求包,发送后记录HTTP响应包,将其设为正常状态下的HTTP响应包;
敏感信息白名单模块,用于设置HTTP请求头字段白名单;
敏感信息定位模块,用于顺序遍历HTTP请求包中的请求头字段,每次删除一个请求头字段,并发送HTTP请求包,将得到的HTTP响应包与正常状态下的HTTP响应包进行对比,若一致则跳过,若不一致则记录已删除的请求头字段的键字段;可疑会话标识字段列表模块,用于根据记录的键字段生成可疑会话标识字段列表;
漏洞确认模块,用于遍历可疑会话标识字段列表,查找其中的每个键字段在被测应用的页面代码中是否存在用于创建会话标识的逻辑代码;
漏洞输出模块,用于输出可疑会话标识字段列表和查找出的用于创建会话标识的逻辑代码。
10.一种Web应用的敏感信息泄露漏洞检测装置,其特征在于,包括:
存储器,用于存储Web应用的敏感信息泄露漏洞检测程序;
处理器,用于执行所述Web应用的敏感信息泄露漏洞检测程序时实现如权利要求1至8任一项权利要求所述的Web应用的敏感信息泄露漏洞检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111308129.5A CN114124476B (zh) | 2021-11-05 | 2021-11-05 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111308129.5A CN114124476B (zh) | 2021-11-05 | 2021-11-05 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124476A true CN114124476A (zh) | 2022-03-01 |
| CN114124476B CN114124476B (zh) | 2023-07-14 |
Family
ID=80380941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111308129.5A Active CN114124476B (zh) | 2021-11-05 | 2021-11-05 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124476B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884730A (zh) * | 2022-05-07 | 2022-08-09 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN115622803A (zh) * | 2022-12-02 | 2023-01-17 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
| CN117336083A (zh) * | 2023-10-27 | 2024-01-02 | 河北赛克普泰计算机咨询服务有限公司 | 一种网络安全等级保护中的通信方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
| CN111049795A (zh) * | 2019-10-25 | 2020-04-21 | 杭州数梦工场科技有限公司 | 分布式Web应用的敏感数据未加密漏洞的检测方法及装置 |
| CN111324894A (zh) * | 2020-02-29 | 2020-06-23 | 苏州浪潮智能科技有限公司 | 一种基于web应用安全的XSS漏洞检测方法及系统 |
-
2021
- 2021-11-05 CN CN202111308129.5A patent/CN114124476B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871845A (zh) * | 2016-03-31 | 2016-08-17 | 深圳市深信服电子科技有限公司 | Web漏洞扫描行为的检测方法及装置 |
| CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
| CN111049795A (zh) * | 2019-10-25 | 2020-04-21 | 杭州数梦工场科技有限公司 | 分布式Web应用的敏感数据未加密漏洞的检测方法及装置 |
| CN111324894A (zh) * | 2020-02-29 | 2020-06-23 | 苏州浪潮智能科技有限公司 | 一种基于web应用安全的XSS漏洞检测方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884730A (zh) * | 2022-05-07 | 2022-08-09 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN114884730B (zh) * | 2022-05-07 | 2023-12-29 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN115622803A (zh) * | 2022-12-02 | 2023-01-17 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
| CN115622803B (zh) * | 2022-12-02 | 2023-04-14 | 北京景安云信科技有限公司 | 基于协议分析的权限控制系统及方法 |
| CN117336083A (zh) * | 2023-10-27 | 2024-01-02 | 河北赛克普泰计算机咨询服务有限公司 | 一种网络安全等级保护中的通信方法及系统 |
| CN117336083B (zh) * | 2023-10-27 | 2024-05-14 | 河北赛克普泰计算机咨询服务有限公司 | 一种网络安全等级保护中的通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124476B (zh) | 2023-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 | |
| CN108737418B (zh) | 一种基于区块链的身份认证方法及系统 | |
| CN109164786B (zh) | 一种基于时间相关基线的异常行为检测方法、装置及设备 | |
| CN104144419B (zh) | 一种身份验证的方法、装置及系统 | |
| CN111447204B (zh) | 一种弱密码检测方法、装置、设备、介质 | |
| CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
| CN107864115A (zh) | 一种利用便携式终端进行用户账号登录验证的方法 | |
| US10169567B1 (en) | Behavioral authentication of universal serial bus (USB) devices | |
| US20090031405A1 (en) | Authentication system and authentication method | |
| CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
| CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
| JP2015225500A (ja) | 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム | |
| CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| CN110933675B (zh) | 一种无线传感器网络认证方法、系统与电子设备 | |
| CN108259619A (zh) | 网络请求防护方法及网络通信系统 | |
| WO2021137769A1 (en) | Method and apparatus for sending and verifying request, and device thereof | |
| CN115396240B (zh) | 一种国密ssl协议诱探及检测方法、系统和存储介质 | |
| CN106209816B (zh) | 一种网络摄像机登录方法及系统 | |
| CN110581835A (zh) | 一种漏洞检测方法、装置及终端设备 | |
| CN113918977A (zh) | 基于物联网和大数据分析的用户信息传输装置 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN104601532B (zh) | 一种登录账户的方法及装置 | |
| CN102027728B (zh) | 用于战胜中间人计算机黑客技术的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |