[發明專利]一種注入漏洞檢測方法及裝置在審
| 申請號: | 201710099057.5 | 申請日: | 2017-02-23 |
| 公開(公告)號: | CN108509792A | 公開(公告)日: | 2018-09-07 |
| 發明(設計)人: | 王放;胡珀;鄭興;郭晶;張強;范宇河;唐文韜;楊勇 | 申請(專利權)人: | 騰訊科技(深圳)有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 北京德琦知識產權代理有限公司 11018 | 代理人: | 于天琳;王琦 |
| 地址: | 518057 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 測試命令 響應 目標服務器 漏洞檢測 掃描測試 方差 方法和裝置 后臺程序 延時指令 漏洞 程序段 閾值時 檢測 申請 | ||
1.一種注入漏洞檢測方法,其中,所述方法包括:
在一個注入掃描測試用例中加入N個延時指令,生成N個測試命令;其中,N≥2,且每個測試命令分別對應一個響應時間閾值;
確定目標服務器針對所述N個測試命令的實際響應時間;以及
分別將所述N個測試命令的實際響應時間與其對應的響應時間閾值進行比較,當所有N個測試命令的實際響應時間均大于其對應的響應時間閾值時,確定所述N個測試命令實際響應時間和其對應的響應時間閾值之間的方差之和,并根據所述方差之和檢測所述目標服務器后臺程序中與所述注入掃描測試用例對應的程序段的注入漏洞。
2.根據權利要求1所述的方法,其中,所述根據所述方差之和檢測所述目標服務器后臺程序中與所述注入掃描測試用例對應的程序段的注入漏洞包括:
將所述方差之和與預先設定的判斷閾值進行比較,
當所述方差之和小于或等于預先設置的判斷閾值時,確定所述目標服務器后臺程序中與所述注入掃描測試用例對應的程序段存在注入漏洞;或者
當所述方差之和大于所述判斷閾值時,重新將所述N個測試命令發送至所述目標服務器,并返回所述確定目標服務器針對所述N個測試命令的實際響應時間的步驟。
3.根據權利要求1或2所述的方法,其中,所述方法進一步包括:當所述N個測試命令中有至少一個測試命令的實際響應時間小于或等于其對應的響應時間閾值時,確定所述目標服務器后臺程序中與所述注入掃描測試用例對應的程序段不存在注入漏洞。
4.根據權利要求2所述的方法,其中,進一步包括:
設置一個判斷計數器,且將其初始值設置為0;
在重復執行所述生成N個測試命令,確定目標服務器針對所述N個測試命令的實際響應時間以及分別將所述N個測試命令的實際響應時間與其對應的響應時間閾值進行比較的步驟時,將所述判斷計數器的值加1;
當所述判斷計數器的值達到預先設置的第一閾值時,顯示錯誤提示消息,通知用戶當前網絡傳輸不穩定。
5.根據權利要求1所述的方法,其中,所述測試命令包括一個由所述目標服務器執行的與數據庫操作相關的指令以及一個延時指令;以及
所述測試命令對應的響應時間閾值由所述測試命令中的延時指令確定。
6.根據權利要求1所述的方法,其中,所述確定目標服務器針對所述N個測試命令的實際響應時間包括:
將所述N個測試命令發送至所述目標服務器,并分別記錄所述N個測試命令的發送時間;
接收所述目標服務器針對上述N個測試命令的響應,并分別記錄所述N個測試命令的響應的接收時間;以及
根據所述N個測試命令的發送時間以及所述N個測試命令的響應的接收時間依次計算所述N個測試命令的實際響應時間。
7.根據權利要求1所述的方法,其中,所述判斷閾值通過如下方法確定:
設置所述判斷閾值為預先確定的經驗值;
確定所述目標服務器的平均響應時間;以及
當所述目標服務器的平均響應時間大于預先設定的第二閾值時,將設置的判斷閾值增加一個步長值。
8.根據權利要求7所述的方法,其中,所述步長值Tstep通過如下公式計算得到:Tstep=α×(x/1000);其中,x為所述目標服務器的平均響應時間,其單位為毫秒;α為調整系數。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于騰訊科技(深圳)有限公司,未經騰訊科技(深圳)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710099057.5/1.html,轉載請聲明來源鉆瓜專利網。
