CN115065540B - 检测web漏洞攻击的方法、装置和电子设备 - Google Patents

检测web漏洞攻击的方法、装置和电子设备 Download PDF

Info

Publication number
CN115065540B
CN115065540B CN202210699326.2A CN202210699326A CN115065540B CN 115065540 B CN115065540 B CN 115065540B CN 202210699326 A CN202210699326 A CN 202210699326A CN 115065540 B CN115065540 B CN 115065540B
Authority
CN
China
Prior art keywords
attack
execution result
load
information
web
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210699326.2A
Other languages
English (en)
Other versions
CN115065540A (zh
Inventor
王福坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210699326.2A priority Critical patent/CN115065540B/zh
Publication of CN115065540A publication Critical patent/CN115065540A/zh
Application granted granted Critical
Publication of CN115065540B publication Critical patent/CN115065540B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种检测web漏洞攻击的方法、装置和电子设备,该方法的一具体实施方式包括:接收终端设备发送的web请求;所述web请求中包含本次任务的任务信息;在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果判断所述服务端是否在本次任务中执行了所述攻击荷载;若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功。该方法由于较为全面地覆盖了利用web漏洞攻击服务端的分支情况,提高了检测基于web漏洞是否将服务端攻击成功的准确性。

Description

检测web漏洞攻击的方法、装置和电子设备
技术领域
本申请涉及计算机网络安全领域,具体而言,涉及一种检测web漏洞攻击的方法、装置和电子设备。
背景技术
web漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。
相关技术中存在许多检测利用web漏洞攻击服务端的方法。例如,针对相关技术中存在的规则检测法,其可以利用web漏洞的自身特征编写相关检测规则,以检测当前流量中是否存在攻击向量。当检测到某个特征时,可以视为当前流量中存在攻击向量。例如,web漏洞的自身特征包括字符串“xxx”,则可以编写检测“xxx”的规则,当检测到“xxx”时,可以视为当前流量中存在攻击向量。可见,该规则检测法虽然能够检测出当前流量中是否存在攻击向量,但是其不能判断是否成功攻击了服务端。另外,针对相关技术中存在的统一检测法,其可以将网络检测器和主机检测到的信息进行统一处理,以判断出当前流量中是否存在攻击向量以及是否成功攻击了服务端。但是该统一检测法的检测过程较为复杂,且需要依靠收敛效果较好的机器学习模型才能得到较为准确的结果。因此,该统一检测法的检测结果受限于设计者对于检测过程的设计能力以及机器学习模型的收敛程度,存在准确度较低的问题。
发明内容
本申请实施例的目的在于提供一种检测web漏洞攻击的方法、装置和电子设备,用以提高检测基于web漏洞是否将服务端攻击成功的准确性。
第一方面,本申请实施例提供了一种检测web漏洞攻击的方法,该方法应用于网络设备中,作为攻击者的至少一个终端设备和作为被攻击者的服务端基于所述网络设备实现信息交互,该方法包括:接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果判断所述服务端是否在本次任务中执行了所述攻击荷载;若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功。这样,由于较为全面地覆盖了利用web漏洞攻击服务端的分支情况,提高了检测基于web漏洞是否将服务端攻击成功的准确性。
可选地,在所述根据所述攻击荷载的本次执行结果确定是否攻击成功之前,所述检测web漏洞攻击的方法还包括:模拟执行所述攻击荷载,得到参考执行结果;以及所述根据所述攻击荷载的本次执行结果确定是否攻击成功,包括:在检测到所述参考执行结果与所述本次执行结果相匹配时,确定攻击成功。这样,可以将本次执行结果与参考执行结果进行匹配,确定出是否攻击成功的检测结果,确定过程简单便捷。
可选地,在检测所述参考执行结果与所述本次执行结果是否相匹配之前,所述根据所述攻击荷载的本次执行结果确定是否攻击成功,还包括:针对于不同web请求所对应的攻击荷载,确定该攻击荷载对应的本次执行结果所属的类型信息;所述类型信息包括表征所述本次执行结果的信息内容与参考执行结果的信息内容完全不同的第一类型,以及部分相同的第二类型;根据确定出的类型信息确定是否攻击成功。这样,在接收到本次执行结果之后,可以根据其类型信息查找到与之对应的参考执行结果的类型信息,继而能够与参考执行结果进行精准匹配,提高检测结果的准确性。
可选地,在所述根据所述服务端的后续响应行为确定是否攻击成功之前,所述检测web漏洞攻击的方法还包括:模拟执行所述攻击荷载,得到后续参考执行结果;在检测到所述服务端执行所述攻击荷载时,获取所述服务端的后续执行结果;以及所述根据所述服务端的后续响应行为确定是否攻击成功,包括:在检测到所述后续参考执行结果与所述后续执行结果相匹配时,确定攻击成功。这样,可以将后续执行结果与后续参考执行结果进行匹配,确定出是否攻击成功的检测结果,确定过程简单便捷。
可选地,基于以下步骤检测所述web请求中包含攻击荷载:确定所述web请求所对应的待检测流量特征;在检测到所述待检测流量特征与web攻击流量特征相匹配时,确定所述web请求中包含攻击荷载。这样,通过检测待检测流量特征是否与web攻击流量特征相匹配,确定出web请求中是否攻击荷载,匹配过程简单便捷,且准确度高。
可选地,基于以下步骤解析所述攻击荷载:确定所述攻击荷载在所述web请求中的位置信息以及所述攻击荷载所对应的内容信息;根据所述位置信息以及所述内容信息解析得到所述解析结果。这里,提供了一种解析攻击荷载的实施方式。
可选地,在确定攻击成功之后,所述检测web漏洞攻击的方法还包括:发出报警信息,以指示对攻击成功的web漏洞进行处理。这样,能够及时对攻击成功的web漏洞进行处理,提高系统安全性。
第二方面,本申请实施例提供了一种检测web漏洞攻击的装置,该装置可以应用于网络设备中,作为攻击者的至少一个终端设备和作为被攻击者的服务端基于所述网络设备实现信息交互,该装置包括:接收模块,用于接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;判断模块,用于在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果判断所述服务端是否在本次任务中执行了所述攻击荷载;本次检测模块,用于若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;后续检测模块,用于若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功。这样,由于较为全面地覆盖了利用web漏洞攻击服务端的分支情况,提高了检测基于web漏洞是否将服务端攻击成功的准确性。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种检测web漏洞攻击的方法的流程图;
图2为本申请实施例提供的一种检测web漏洞攻击的装置的结构框图;
图3为本申请实施例提供的一种用于执行检测web漏洞攻击的方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
应当说明的是,在不冲突的情况下,本申请中的实施例或者实施例中的技术特征可以进行结合。
相关技术中,存在检测基于web漏洞是否将服务端攻击成功的准确性较低的问题;为了解决该问题,本申请提供一种检测web漏洞攻击的方法、装置和电子设备;进一步地,在检测到web请求中存在攻击荷载时,判断被攻击的服务端是否能够在本次任务中执行该web请求所包括的攻击荷载,并根据判断结果进一步判断是否将该服务端攻击成功。这样,能够根据服务端在本次任务中针对攻击荷载的本次执行结果以及在后续过程中针对该攻击荷载的后续执行结果选择不同的判断措施,提高了检测出的是否将web漏洞攻击成功的检测结果的准确性。
在一些应用场景中,上述检测web漏洞攻击的方法可以应用于诸如电脑的网络设备中。该网络设备可以分别与作为攻击者的多个终端设备、作为被攻击者的服务端通信连接,以使得该网络设备能够监测多个终端设备与服务端之间的往来信息、以及服务端针对某次web请求中的攻击荷载所执行的后续行为。
以上相关技术中的方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
请参考图1,其示出了本申请实施例提供的一种检测web漏洞攻击的方法的流程图。如图1所示,该检测web漏洞攻击的方法包括以下步骤101至步骤104。
步骤101,接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;
在一些应用场景中,网络设备可以接收每一个终端设备发送的web请求。该web请求中可以包括本次任务的任务信息。例如,在web请求用于请求服务端返回与当前登录的用户相关的联系人信息时,其对应的任务信息可以包括该登录用户的诸如姓名、性别、登录密码、登录账号等用户信息,以及指示获取联系人信息的指令信息等。
步骤102,在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果判断所述服务端是否在本次任务中执行了所述攻击荷载;
在一些应用场景中,web请求中可以包括用以攻击服务端的攻击荷载。网络设备如果检测到web请求中包含攻击荷载时,可以对该攻击荷载进行解析得到解析结果。在这些应用场景中,例如可以解析出攻击荷载的内容信息或者攻击意图等解析结果。
在一些可选的实现方式中,网络设备可以基于以下步骤解析所述攻击荷载:
首先,确定所述攻击荷载在所述web请求中的位置信息以及所述攻击荷载所对应的内容信息;
在一些应用场景中,由于web漏洞不同,其对应的攻击荷载在web请求中的位置信息也会不同。因此,可以确定出攻击荷载在web请求中的位置信息以及攻击荷载所对应的内容信息,以对攻击荷载进行解析。这里的位置信息例如可以包括web请求的资源标识符、请求头或者请求体等,攻击荷载所对应的内容信息例如可以包括对应的代码信息、命令信息等。具体的,该内容信息例如可以包括在web请求中注入的SQL代码信息、Java代码信息、Php代码信息、系统命令代码信息;或者在Java代码中使用JNDI(JNDI全名为Java Naming andDirectory Interface,其主要提供应用程序所需要资源上命名与目录服务)附带的网址链接信息、实体网址链接、Xss(Cross Site Script Attack,跨站脚本攻击)网址链接信息等。
然后,根据所述位置信息以及所述内容信息解析得到所述解析结果。
网络设备确定出攻击荷载在web请求中的位置信息以及攻击荷载所对应的内容信息之后,可以根据这两者解析得到解析结果。例如,在请求头中存在实体网址链接的内容信息。
网络设备解析得到解析结果之后,可以基于该解析结果判断服务端是否在本次任务中执行了攻击荷载。具体的,网络设备可以将web请求转发给服务端,服务端可以根据web请求执行对应的攻击荷载。应当说明的是,服务端并不具备检测web请求中是否存在攻击荷载,以及是否执行了攻击荷载的功能。因此,其针对于接收到的web请求,均会根据其任务信息做出对应的响应行为。
在一些应用场景中,在判断服务端是否在本次任务中执行了攻击荷载时,可以通过检测其返回给发送web请求的终端设备的响应信息进行判断。例如,终端设备A向服务端发送了用于请求其在网站a下载文章的web请求,网络设备如果检测到服务端返回的响应信息中存在该文章的信息时,可以视为服务端在本次任务中执行了攻击荷载;相应的,网络设备如果检测到服务端返回的响应信息中没有存在该文章的信息时,可以视为服务端在本次任务中没有执行攻击荷载。
步骤103,若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;
网络设备如果检测到服务端在本次任务中执行了攻击荷载,可以根据本次执行结果进一步确定是否将服务端攻击成功。例如,终端设备B向服务端发送了用于请求其返回登录用户的联系人信息的web请求,网络设备如果在服务端返回的响应信息中检测到其包含联系人信息,可以视为攻击成功。相应的,网络设备如果在服务端返回的响应信息中没有检测到其包含联系人信息,可以视为攻击失败。
步骤104,若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功。
网络设备如果检测到服务端在本次任务中没有执行攻击荷载,可以根据服务端的后续响应行为进一步确定是否将服务端攻击成功。例如,针对于上述终端设备A发送的web请求,如果确定了服务端在本次任务中没有执行攻击荷载,可以监测该服务端的后续响应行为,也即,网络设备可以监测该服务端是否发出向网站a下载文章的下载请求,如果检测到该下载请求,可以视为攻击成功;相应的,如果没有检测到该下载请求,可以视为攻击失败。
在本实施例中,通过上述步骤101至步骤104,可以通过判断服务端在本次任务中是否执行了攻击荷载,判断出得到的执行结果是否为本次执行结果,继而可以采取不同的方式确定攻击是否成功。这样,由于较为全面地覆盖了利用web漏洞攻击服务端的分支情况,提高了检测基于web漏洞是否将服务端攻击成功的准确性。
在一些可选的实现方式中,网络设备可以基于以下步骤检测所述web请求中包含攻击荷载,以实现上述步骤102。
首先,确定所述web请求所对应的待检测流量特征;
在一些应用场景中,在检测web请求中是否包含攻击荷载时,可以通过web请求所对应的流量特征进行检测。具体的,网络设备可以先确定出web请求所对应的待检测流量特征。上述待检测流量特征例如可以包括访问链接、下载地址等对应的流量特征。
然后,在检测到所述待检测流量特征与web攻击流量特征相匹配时,确定所述web请求中包含攻击荷载。
网络设备确定了待检测流量特征之后,可以确定该待检测流量特征是否与web攻击流量特征匹配。在一些应用场景中,正常的流量特征与web攻击流量特征之间存在区别,这些区别例如可以包括“.”、“~”、“135”、“*”等实质上在正常的流量特征中不存在的字符或者数字等。因此,可以通过检测待检测流量特征中是否存在这些区别,确定出待检测流量特征与web攻击流量特征是否匹配。例如,若检测到待检测流量特征中不存在上述的字符或者数字时,可以视为待检测流量特征与web攻击流量特征匹配,继而可以确定web请求中不包含攻击荷载。若检测到待检测流量特征中存在上述的字符或者数字时,可以视为待检测流量特征与web攻击流量特征不匹配,继而可以确定web请求中包含攻击荷载。
在本实现方式中,通过检测待检测流量特征是否与web攻击流量特征相匹配,确定出web请求中是否攻击荷载,匹配过程简单便捷,且准确度较高。
在一些可选的实现方式中,在所述根据所述攻击荷载的本次执行结果确定是否攻击成功之前,所述检测web漏攻攻击的方法还包括:模拟执行所述攻击荷载,得到参考执行结果。应理解,由于安全设备不可能完全了解web服务器的工作信息,因此只能根据漏洞及攻击荷载模拟执行攻击荷载,获得参考执行结果。
在一些应用场景中,网络设备在检测到终端设备发送的web请求中包含攻击荷载时,可以模拟执行该攻击荷载,以得到与之对应的参考执行结果。例如,针对于上述终端设备B发送的web请求,可以模拟执行其包括的攻击荷载,得到类似于联系人信息的参考信息。例如,网络设备在模拟执行了攻击荷载之后,可以得到诸如用户b、用户c、用户d的分别表征姓名、性别、年龄等的参考信息。
这样,上述步骤103中的根据所述攻击荷载的本次执行结果确定是否攻击成功,可以包括:在检测到所述参考执行结果与所述本次执行结果相匹配时,确定攻击成功。
网络设备得到参考执行结果之后,可以将服务端返回的本次执行结果与该参考执行结果进行匹配,如果两者相匹配,可以视为攻击成功。例如,网络设备在得到用户b、用户c、用户d的分别表征姓名、性别、年龄的参考信息时,可以检测服务端返回的本次执行结果是否与之排布顺序相同、表征意义相同。例如,本次执行结果对应的信息内容为:用户甲,男,32岁;用户乙,女,18岁;用户丙,男,23岁;此时,若得到的参考执行结果所对应的信息内容为:用户b,性别,年龄;用户c,性别,年龄;用户d,性别,年龄时,可以视为两者匹配,继而可以确定攻击成功。若得到的参考执行结果所对应的信息内容为:用户b,年龄,归属地;用户c,年龄,归属地;用户d,年龄,归属地;用户e,年龄,归属地时,可以视为两者不匹配,继而可以确定攻击失败。
在本实现方式中,可以将本次执行结果与参考执行结果进行匹配,确定出是否攻击成功的检测结果,确定过程简单便捷。
在一些可选的实现方式中,在检测所述参考执行结果与所述本次执行结果是否相匹配之前,上述步骤103中的根据所述攻击荷载的本次执行结果确定是否攻击成功,还可以包括:
子步骤1031,针对于不同web请求所对应的攻击荷载,确定该攻击荷载对应的本次执行结果所属的类型信息;所述类型信息包括表征所述本次执行结果的信息内容与参考执行结果的信息内容完全不同的第一类型,以及部分相同的第二类型;
在一些应用场景中,可以先确定出攻击荷载对应的本次执行结果所属的类型信息之后,再确定是否攻击成功。这里的类型信息可以包括第一类型和第二类型。其中,第一类型用于表征本次执行结果的信息内容与参考执行结果的信息内容完全不同。也即,针对于不同web请求的攻击荷载,在服务端返回了某个本次执行结果之后,可以查看该本次执行结果所对应的信息内容是否与参考执行结果所对应的信息内容完全不同,如果是,可以视为该本次执行结果属于第一类型。这里,存在第一类型的原因是某些漏洞所对应的web请求的请求头中可能包含不同的请求内容,继而导致服务端返回的响应头中包含与该请求内容对应的响应内容。例如,针对于CVE-2017-5638漏洞,此漏洞所对应的攻击荷载一般会在web请求的请求头中添加报头信息,继而导致服务端的响应头部分也会添加对应的响应内容,因此如果所添加的报头信息不同,则会导致每次的响应内容(也即本次执行结果所对应的信息内容)不同。
进一步的,上述第二类型用于表征本次执行结果的信息内容与参考执行结果的信息内容部分相同。也即,第二类型可以用于表征本次执行结果的信息内容可以包括与参考执行结果所对应的信息内容存在较少数内容相同、较多数内容相同或者仅有一处相同内容的情况。其中,针对于存在较少数内容相同的情况是因为针对于某些漏洞,其能且只能泄露较少数信息。例如,git信息泄露漏洞能够泄露的初始信息就是git目录中所包含的内容,因此本次执行结果的信息内容中也就只有该git目录中的内容。针对于存在较多数内容相同的情况是因为针对于某些漏洞,其只能对某一类型或者某一个文件进行攻击。例如,JetBrains IDE workspace.xml文件泄露漏洞,其均是针对同一类型的文件所发送的web请求,因此对应的响应内容大都相同或相似。针对于存在仅有一处相同内容的情况,例如可以包括SQL注入中updatexml函数的报错注入。
在一些应用场景中,网络设备如果确定了本次执行结果属于第二类型之后,可以进一步确定其属于上述的较少数内容相同、较多数内容相同或者仅有一处相同内容的情况,以更精细化地明确出本次执行结果所属的类型信息。
在一些应用场景中,参考执行结果所对应的信息内容例如可以包括通过以下方式得到的内容:通过web请求的请求头、请求体得到的内容,通过SQL代码、Java代码、PHP代码、系统命令代码得到的内容,或者通过实体注入、直接信息泄露、权限绕过、暴力破解、延时响应等得到的内容。
子步骤1032,根据确定出的类型信息确定是否攻击成功。
网络设备确定出攻击荷载对应的本次执行结果所属的类型信息之后,可以根据确定出的类型信息确定是否攻击成功。在一些应用场景中,例如网络设备可以将多个参考执行结果进行整理,并根据上述的类型信息进行分类。这样,在接收到本次执行结果之后,可以根据其类型信息查找到与之对应的参考执行结果的类型信息,继而能够与参考执行结果进行精准匹配,提高检测结果的准确性。
在一些可选的实现方式中,在所述根据所述服务端的后续响应行为确定是否攻击成功之前,所述检测web漏洞攻击的方法还包括:
首先,模拟执行所述攻击荷载,得到后续参考执行结果;
在一些应用场景中,网络设备在检测到终端设备发送的web请求中包含攻击荷载时,可以模拟执行该攻击荷载,以得到与之对应的后续参考执行结果。
然后,在检测到所述服务端执行所述攻击荷载时,获取所述服务端的后续执行结果;
网络设备得到后续参考执行结果之后,可以检测服务端是否执行了攻击荷载。在一些应用场景中,网络设备可以通过检测服务端执行的后续行为进行检测。例如,可以检测服务端所发送的请求中是否存在与攻击荷载的执行结果所对应的内容,如果存在,可以视为服务端执行了攻击荷载。继而可以进一步获取服务端执行攻击荷载后得到的后续执行结果。
这样,上述步骤104中的根据所述服务端的后续响应行为确定是否攻击成功,可以包括:在检测到所述后续参考执行结果与所述后续执行结果相匹配时,确定攻击成功。
网络设备获取到服务端的后续执行结果之后,可以将该后续执行结果与后续参考执行结果进行匹配,如果两者相匹配,可以视为攻击成功。相类似地,例如,网络设备在得到用户b、用户c、用户d的分别表征姓名、性别、年龄的参考信息时,可以检测服务端返回的后续执行结果是否与之排布顺序相同、表征意义相同。例如,后续执行结果对应的信息内容也可以为:用户甲,男,32岁;用户乙,女,18岁;用户丙,男,23岁;此时,若得到的参考后续执行结果所对应的信息内容为:用户b,性别,年龄;用户c,性别,年龄;用户d,性别,年龄时,可以视为两者匹配,继而可以确定攻击成功。若得到的后续参考执行结果所对应的信息内容为:用户b,年龄,归属地;用户c,年龄,归属地;用户d,年龄,归属地;用户e,年龄,归属地时,可以视为两者不匹配,继而可以确定攻击失败。
在一些应用场景中,为了提高匹配的精准度,例如也可以先将后续参考执行结果进行分类。这样,当接收到后续执行结果时,可以先确定出其分类信息,再确定是否存在与之匹配的后续参考执行结果。在这些应用场景中,后续参考执行结果所对应的信息内容例如可以包括:系统命令下的http请求(例如,curl或wget),代码注入下访问的域名系统(例如dnslog),css(层叠样式表)中内嵌的网址链接,Jndi方式内嵌的网址链接,url(统一资源定位系统)参数内嵌的网址链接,Xml(可扩展标记语言)实体内嵌的网址链接等。
在本实现方式中,可以将后续执行结果与后续参考执行结果进行匹配,确定出是否攻击成功的检测结果,确定过程简单便捷。
在一些可选的实现方式中,在确定攻击成功之后,所述检测web漏洞攻击的方法还包括:发出报警信息,以指示对攻击成功的web漏洞进行处理。
在一些应用场景中,网络设备在检测到终端设备将服务端攻击成功之后,可以发出报警信息,以使工作人员能够对攻击成功的web漏洞进行相关处理,提高系统安全性。这里的报警信息例如可以包括语音提示、警报提示等。
在这些应用场景中,由于网络设备通过服务端返回的本次执行结果以及后续响应行为确定出是否攻击成功,因此利用web漏洞攻击服务端的分支情况,提高了检测基于web漏洞是否将服务端攻击成功的准确性,因此降低了报警信息的多报或者漏报的概率。
请参考图2,其示出了本申请实施例提供的一种检测web漏洞攻击的装置的结构框图,该检测web漏洞攻击的装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,上述检测web漏洞攻击的装置包括接收模块201、判断模块202、本次检测模块203以及后续检测模块204。其中,接收模块,用于接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;判断模块202,用于在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果判断所述服务端是否在本次任务中执行了所述攻击荷载;本次检测模块203,用于若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;后续检测模块204,用于若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功。
可选地,所述检测web漏洞攻击的装置还包括本次执行模块,上述本次执行模块用于:在所述根据所述攻击荷载的本次执行结果确定是否攻击成功之前,模拟执行所述攻击荷载,得到参考执行结果;以及所述本次检测模块203进一步用于:在检测到所述参考执行结果与所述本次执行结果相匹配时,确定攻击成功。
可选地,所述本次检测模块203进一步用于:在检测所述参考执行结果与所述本次执行结果是否相匹配之前,针对于不同web请求所对应的攻击荷载,确定该攻击荷载对应的本次执行结果所属的类型信息;所述类型信息包括表征所述本次执行结果的信息内容与参考执行结果的信息内容完全不同的第一类型,以及部分相同的第二类型;根据确定出的类型信息确定是否攻击成功。
可选地,所述检测web漏洞攻击的装置还包括后续执行模块,上述后续执行模块用于:在所述根据所述服务端的后续响应行为确定是否攻击成功之前,模拟执行所述攻击荷载,得到后续参考执行结果;在检测到所述服务端执行所述攻击荷载时,获取所述服务端的后续执行结果;以及后续检测模块204进一步用于:在检测到所述后续参考执行结果与所述后续执行结果相匹配时,确定攻击成功。
可选地,基于以下步骤检测所述web请求中包含攻击荷载:确定所述web请求所对应的待检测流量特征;在检测到所述待检测流量特征与web攻击流量特征相匹配时,确定所述web请求中包含攻击荷载。
可选地,基于以下步骤解析所述攻击荷载:确定所述攻击荷载在所述web请求中的位置信息以及所述攻击荷载所对应的内容信息;根据所述位置信息以及所述内容信息解析得到所述解析结果。
可选地,在确定攻击成功之后,所述检测web漏洞攻击的装置还包括报警模块,上述报警模块用于:发出报警信息,以指示对攻击成功的web漏洞进行处理。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图3,图3为本申请实施例提供的一种用于执行检测web漏洞攻击的方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器301,例如CPU,至少一个通信接口302,至少一个存储器303和至少一个通信总线304。其中,通信总线304用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口302用于与其他节点设备进行信令或数据的通信。存储器303可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器303可选的还可以是至少一个位于远离前述处理器的存储装置。存储器303中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器301执行时,电子设备可以执行上述图1所示方法过程。
可以理解,图3所示的结构仅为示意,所述电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,可以执行如图1所示方法实施例中电子设备所执行的方法过程。
本申请实施例提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,该方法可以包括:接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果判断所述服务端是否在本次任务中执行了所述攻击荷载;若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (8)

1.一种检测web漏洞攻击的方法,其特征在于,应用于网络设备中,作为攻击者的至少一个终端设备和作为被攻击者的服务端基于所述网络设备实现信息交互,该方法包括:
接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;
在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果以及所述服务端针对该web请求的响应信息判断所述服务端是否在本次任务中执行了所述攻击荷载;
若所述响应信息中包括所述解析结果对应的信息内容,则确定所述服务端在本次任务中执行了所述攻击荷载;若所述响应信息中不包括所述解析结果对应的信息内容,则确定所述服务端在本次任务中没有执行所述攻击荷载;若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;
在所述根据所述攻击荷载的本次执行结果确定是否攻击成功之前,所述方法还包括:模拟执行所述攻击荷载,得到参考执行结果;以及
所述根据所述攻击荷载的本次执行结果确定是否攻击成功,包括:
在检测到所述参考执行结果与所述本次执行结果相匹配时,确定攻击成功;
若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功;
在所述根据所述服务端的后续响应行为确定是否攻击成功之前,所述方法还包括:
模拟执行所述攻击荷载,得到后续参考执行结果;
在检测到所述服务端没有执行所述攻击荷载时,获取所述服务端的后续执行结果;以及
所述根据所述服务端的后续响应行为确定是否攻击成功,包括:
在检测到所述后续参考执行结果与所述后续执行结果相匹配时,确定攻击成功。
2.根据权利要求1所述的方法,其特征在于,在检测所述参考执行结果与所述本次执行结果是否相匹配之前,所述根据所述攻击荷载的本次执行结果确定是否攻击成功,还包括:
针对于不同web请求所对应的攻击荷载,确定该攻击荷载对应的本次执行结果所属的类型信息;所述类型信息包括表征所述本次执行结果的信息内容与参考执行结果的信息内容完全不同的第一类型,以及部分相同的第二类型;
根据确定出的类型信息确定是否攻击成功。
3.根据权利要求1所述的方法,其特征在于,基于以下步骤检测所述web请求中包含攻击荷载:
确定所述web请求所对应的待检测流量特征;
在检测到所述待检测流量特征与web攻击流量特征相匹配时,确定所述web请求中包含攻击荷载。
4.根据权利要求1所述的方法,其特征在于,基于以下步骤解析所述攻击荷载:
确定所述攻击荷载在所述web请求中的位置信息以及所述攻击荷载所对应的内容信息;
根据所述位置信息以及所述内容信息解析得到所述解析结果。
5.根据权利要求1所述的方法,其特征在于,在确定攻击成功之后,所述方法还包括:
发出报警信息,以指示对攻击成功的web漏洞进行处理。
6.一种检测web漏洞攻击的装置,其特征在于,应用于网络设备中,作为攻击者的至少一个终端设备和作为被攻击者的服务端基于所述网络设备实现信息交互,该装置包括:
接收模块,用于接收所述终端设备发送的web请求;所述web请求中包含本次任务的任务信息;
判断模块,用于在检测到所述web请求中包含攻击荷载时,基于解析所述攻击荷载得到的解析结果以及所述服务端针对该web请求的响应信息判断所述服务端是否在本次任务中执行了所述攻击荷载;若所述响应信息中包括所述解析结果对应的信息内容,则确定所述服务端在本次任务中执行了所述攻击荷载;若所述响应信息中不包括所述解析结果对应的信息内容,则确定所述服务端在本次任务中没有执行所述攻击荷载;
本次检测模块,用于若所述服务端在本次任务中执行了所述攻击荷载,则根据所述攻击荷载的本次执行结果确定是否攻击成功;
所述检测web漏洞攻击的装置还包括本次执行模块,上述本次执行模块用于:在所述根据所述攻击荷载的本次执行结果确定是否攻击成功之前,模拟执行所述攻击荷载,得到参考执行结果;以及所述本次检测模块进一步用于:在检测到所述参考执行结果与所述本次执行结果相匹配时,确定攻击成功;
后续检测模块,用于若所述服务端在本次任务中没有执行所述攻击荷载,则根据所述服务端的后续响应行为确定是否攻击成功;
所述检测web漏洞攻击的装置还包括后续执行模块,所述后续执行模块用于:在所述根据所述服务端的后续响应行为确定是否攻击成功之前,模拟执行所述攻击荷载,得到后续参考执行结果;在检测到所述服务端没有执行所述攻击荷载时,获取所述服务端的后续执行结果;以及所述后续检测模块进一步用于:在检测到所述后续参考执行结果与所述后续执行结果相匹配时,确定攻击成功。
7.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-5任一所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-5任一所述的方法。
CN202210699326.2A 2022-06-20 2022-06-20 检测web漏洞攻击的方法、装置和电子设备 Active CN115065540B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210699326.2A CN115065540B (zh) 2022-06-20 2022-06-20 检测web漏洞攻击的方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210699326.2A CN115065540B (zh) 2022-06-20 2022-06-20 检测web漏洞攻击的方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN115065540A CN115065540A (zh) 2022-09-16
CN115065540B true CN115065540B (zh) 2024-03-12

Family

ID=83201978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210699326.2A Active CN115065540B (zh) 2022-06-20 2022-06-20 检测web漏洞攻击的方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN115065540B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161478A (zh) * 2016-09-19 2016-11-23 成都知道创宇信息技术有限公司 基于http响应头变化的准确攻击识别方法
CN106357696A (zh) * 2016-11-14 2017-01-25 北京神州绿盟信息安全科技股份有限公司 一种sql注入攻击检测方法及系统
CN107846407A (zh) * 2017-11-10 2018-03-27 郑州云海信息技术有限公司 一种批量检测ssrf漏洞的方法及系统
CN108989355A (zh) * 2018-09-07 2018-12-11 郑州云海信息技术有限公司 一种漏洞检测方法和装置
CN110390202A (zh) * 2019-07-30 2019-10-29 中国工商银行股份有限公司 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质
CN110855676A (zh) * 2019-11-15 2020-02-28 腾讯科技(深圳)有限公司 网络攻击的处理方法、装置及存储介质
CN110995684A (zh) * 2019-11-26 2020-04-10 西安四叶草信息技术有限公司 漏洞检测方法及装置
CN110995676A (zh) * 2019-11-22 2020-04-10 苏州浪潮智能科技有限公司 一种语义攻击型拒绝服务漏洞检测方法
US10855717B1 (en) * 2019-09-16 2020-12-01 Whitehat Security, Inc. Systems and methods of intelligent and directed dynamic application security testing
CN113965363A (zh) * 2021-10-11 2022-01-21 北京天融信网络安全技术有限公司 一种基于Web用户行为的漏洞研判方法和装置
CN114238978A (zh) * 2021-11-04 2022-03-25 广东电网有限责任公司广州供电局 漏洞扫描系统、方法和计算机设备
CN114329489A (zh) * 2021-12-28 2022-04-12 安天科技集团股份有限公司 Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161478A (zh) * 2016-09-19 2016-11-23 成都知道创宇信息技术有限公司 基于http响应头变化的准确攻击识别方法
CN106357696A (zh) * 2016-11-14 2017-01-25 北京神州绿盟信息安全科技股份有限公司 一种sql注入攻击检测方法及系统
CN107846407A (zh) * 2017-11-10 2018-03-27 郑州云海信息技术有限公司 一种批量检测ssrf漏洞的方法及系统
CN108989355A (zh) * 2018-09-07 2018-12-11 郑州云海信息技术有限公司 一种漏洞检测方法和装置
CN110390202A (zh) * 2019-07-30 2019-10-29 中国工商银行股份有限公司 用于检测业务逻辑漏洞的方法、装置、系统、设备及介质
US10855717B1 (en) * 2019-09-16 2020-12-01 Whitehat Security, Inc. Systems and methods of intelligent and directed dynamic application security testing
CN110855676A (zh) * 2019-11-15 2020-02-28 腾讯科技(深圳)有限公司 网络攻击的处理方法、装置及存储介质
CN110995676A (zh) * 2019-11-22 2020-04-10 苏州浪潮智能科技有限公司 一种语义攻击型拒绝服务漏洞检测方法
CN110995684A (zh) * 2019-11-26 2020-04-10 西安四叶草信息技术有限公司 漏洞检测方法及装置
CN113965363A (zh) * 2021-10-11 2022-01-21 北京天融信网络安全技术有限公司 一种基于Web用户行为的漏洞研判方法和装置
CN114238978A (zh) * 2021-11-04 2022-03-25 广东电网有限责任公司广州供电局 漏洞扫描系统、方法和计算机设备
CN114329489A (zh) * 2021-12-28 2022-04-12 安天科技集团股份有限公司 Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质

Also Published As

Publication number Publication date
CN115065540A (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
US20240121266A1 (en) Malicious script detection
CN107918733B (zh) 检测网页的恶意元素的系统和方法
US10503910B2 (en) Security testing framework including virtualized server-side platform
US10505966B2 (en) Cross-site request forgery (CSRF) vulnerability detection
US20150271202A1 (en) Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
US11212297B2 (en) Access classification device, access classification method, and recording medium
US9229844B2 (en) System and method for monitoring web service
KR20090090685A (ko) 웹 어플리케이션의 취약성 판단 방법 및 시스템
CN101964025A (zh) Xss检测方法和设备
JP6708794B2 (ja) 判定装置、判定方法、および、判定プログラム
CN105791261A (zh) 一种跨站脚本攻击的检测方法和检测设备
US10462168B2 (en) Access classifying device, access classifying method, and access classifying program
RU2652451C2 (ru) Способы обнаружения аномальных элементов веб-страниц
CN112653709A (zh) 漏洞检测方法、装置、电子设备及可读存储介质
CN110602134B (zh) 基于会话标签识别非法终端访问方法、装置及系统
CN115098151A (zh) 一种细粒度的内网设备固件版本探测方法
CN109492403B (zh) 一种漏洞检测方法及装置
CN111327588A (zh) 一种网络访问安全检测方法、系统、终端和可读存储介质
CN115065540B (zh) 检测web漏洞攻击的方法、装置和电子设备
CN116361793A (zh) 代码检测方法、装置、电子设备及存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN110401639B (zh) 网络访问的异常判定方法、装置、服务器及其存储介质
KR20210076455A (ko) Xss 공격 검증 자동화 방법 및 그 장치
Gawron et al. Automatic detection of vulnerabilities for advanced security analytics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant