[發明專利]漏洞檢測方法及裝置有效
| 申請號: | 201610182619.8 | 申請日: | 2016-03-28 |
| 公開(公告)號: | CN107241292B | 公開(公告)日: | 2021-01-22 |
| 發明(設計)人: | 吳小偉 | 申請(專利權)人: | 阿里巴巴集團控股有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京合智同創知識產權代理有限公司 11545 | 代理人: | 李杰 |
| 地址: | 英屬開曼群島大開*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 漏洞 檢測 方法 裝置 | ||
1.一種漏洞檢測方法,其特征在于,包括:
獲取訪問信息,其中,所述訪問信息中記錄有用于訪問網站的訪問地址;
基于所述訪問地址,確定所述訪問地址中允許返回預定類型數據的疑似漏洞地址;
對所述疑似漏洞地址進行漏洞掃描,識別所述疑似漏洞地址是否造成信息泄露,從所述疑似漏洞地址中排除拒絕未授權訪問的訪問地址。
2.根據權利要求1所述的方法,其特征在于,所述預定類型數據為在未授權的情況下不允許返回的數據。
3.根據權利要求1所述的方法,其特征在于,基于所述訪問地址,確定所述訪問地址中被允許返回預定類型數據的疑似漏洞地址包括:
對所述訪問地址和預定類型數據進行關聯操作,得到關聯結果,其中,所述關聯結果用于記錄所述訪問地址是否關聯到所述預定類型數據;
基于所述關聯結果確定所述訪問地址中的所述疑似漏洞地址。
4.根據權利要求3所述的方法,其特征在于,所述對所述訪問地址和所述預定類型數據進行關聯操作包括:
獲取所述訪問信息中的響應信息,其中,所述響應信息為響應訪問請求的信息,所述響應信息中記錄的字符串與所述訪問請求中的訪問地址相對應;
查找具有所述字符串的預定類型數據,得到查找結果;
基于所述查找結果,確定與所述字符串相對應的訪問地址是否關聯到所述預定類型數據。
5.根據權利要求4所述的方法,其特征在于,所述基于所述查找結果,確定與所述字符串相對應的訪問地址是否關聯到所述預定類型數據包括:
在所述查找結果指示查找到存在所述字符串的預定類型數據的情況下,確定與所述字符串相對應的訪問地址關聯到所述預定類型數據;
在所述查找結果指示未查找到存在所述字符串的預定類型數據的情況下,確定與所述字符串相對應的訪問地址未關聯到所述預定類型數據。
6.根據權利要求3所述的方法,其特征在于,所述基于所述關聯結果確定所述訪問地址中的疑似漏洞地址包括:
在所述關聯結果指示所述訪問地址關聯到所述預定類型數據,則確定所述訪問地址為所述疑似漏洞地址;
在所述關聯結果指示所述訪問地址未關聯到所述預定類型數據,則確定所述訪問地址不為所述疑似漏洞地址。
7.根據權利要求1所述的方法,其特征在于,所述對所述疑似漏洞地址進行漏洞掃描,識別所述疑似漏洞地址是否造成信息泄露,從所述疑似漏洞地址中排除拒絕未授權訪問的訪問地址包括:
對所述疑似漏洞地址進行未登錄重放掃描,獲取掃描結果信息;
若所述掃描結果信息中攜帶有所述預定類型數據,則確定所述疑似漏洞地址造成所述信息泄露;
若所述掃描結果信息中未攜帶所述預定類型數據,則確定所述疑似漏洞地址不造成所述信息泄露,將其作為拒絕未授權訪問的訪問地址從所述疑似漏洞地址中排除。
8.根據權利要求7所述的方法,其特征在于,所述對所述疑似漏洞地址進行未登錄重放掃描包括:
在不攜帶身份認證信息的情況下,訪問所述疑似漏洞地址。
9.根據權利要求1至8中任意一項所述的方法,其特征在于,所述獲取訪問信息包括:
從所述網站的日志信息中獲取所述訪問信息。
10.一種漏洞檢測裝置,其特征在于,包括:
獲取單元,用于獲取訪問信息,其中,所述訪問信息中記錄有用于訪問網站的訪問地址;
確定單元,用于基于所述訪問地址,確定所述訪問地址中允許返回預定類型數據的疑似漏洞地址;
處理單元,用于對所述疑似漏洞地址進行漏洞掃描,識別所述疑似漏洞地址是否造成信息泄露,從所述疑似漏洞地址中排除拒絕未授權訪問的訪問地址。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于阿里巴巴集團控股有限公司,未經阿里巴巴集團控股有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610182619.8/1.html,轉載請聲明來源鉆瓜專利網。
