本申請?zhí)峁┝艘环N注入漏洞檢測方法和裝置，可以準確地進行注入漏洞的檢測。該方案可以包括：在注入掃描測試用例中加入N個延時指令，生成N個測試命令；確定目標服務(wù)器針對所述N個測試命令的實際響應時間；分別將所述N個測試命令的實際響應時間與其對應的響應時間閾值進行比較，當所有N個測試命令的實際響應時間均大于其對應的響應時間閾值時，確定所述N個測試命令實際響應時間和其對應的響應時間閾值之間的方差之和，并根據(jù)所述方差之和檢測所述目標服務(wù)器后臺程序中與所述注入掃描測試用例對應的程序段的注入漏洞。

技術(shù)領(lǐng)域

本申請涉及信息技術(shù)領(lǐng)域，尤其涉及一種注入漏洞檢測方法及裝置。

背景技術(shù)

注入漏洞是指網(wǎng)站的應用服務(wù)器由于過濾不嚴格，導致數(shù)據(jù)庫查詢接口存在可以被攻擊者注入的內(nèi)容。攻擊者通過將自己預期的攻擊語句植入應用服務(wù)器原本要執(zhí)行的針對數(shù)據(jù)庫的操作語句中，并從當前查詢結(jié)果中獲取自己想要的信息，從而達到攻擊的目的。外部攻擊者通過這樣的注入漏洞可以獲取到網(wǎng)站數(shù)據(jù)庫中的任意敏感信息和數(shù)據(jù)，一定情況下甚至還可以導致網(wǎng)站宕機服務(wù)中斷，甚至黑客獲取到網(wǎng)站的管理權(quán)限和服務(wù)器的控制權(quán)，所以如何對注入漏洞進行檢測，確定應用服務(wù)器是否存在注入漏洞，同時降低漏報率和誤報率是信息安全方面亟待解決的問題之一。

發(fā)明內(nèi)容

本發(fā)明實例提出了一種注入漏洞檢測方法，包括：

在一個注入掃描測試用例中加入N個延時指令，生成N個測試命令；其中，N≥2，且每個測試命令分別對應一個響應時間閾值；

確定目標服務(wù)器針對所述N個測試命令的實際響應時間；以及

分別將所述N個測試命令的實際響應時間與其對應的響應時間閾值進行比較，當所有N個測試命令的實際響應時間均大于其對應的響應時間閾值時，確定所述N個測試命令實際響應時間和其對應的響應時間閾值之間的方差之和，并根據(jù)所述方差之和檢測所述目標服務(wù)器后臺程序中與所述注入掃描測試用例對應的程序段的注入漏洞。

本申請實例還提出了一種應用程序下載注入漏洞檢測裝置，包括：

測試命令生成單元，用于在一個注入掃描測試用例中加入N個延時指令，生成N個測試命令；其中，N≥2，且每個測試命令分別對應一個響應時間閾值；

響應時間確定單元，用于確定目標服務(wù)器針對所述N個測試命令的實際響應時間；以及

掃描單元，用于分別將所述N個測試命令的實際響應時間與其對應的響應時間閾值進行比較，當所有N個測試命令的實際響應時間均大于其對應的響應時間閾值時，確定所述N個測試命令實際響應時間和其對應的響應時間閾值之間的方差之和，并根據(jù)所述方差之和檢測所述目標服務(wù)器后臺程序中與所述注入掃描測試用例對應的程序段的注入漏洞。

采用本申請?zhí)岢龅纳鲜龇桨福梢詼蚀_地區(qū)分出網(wǎng)絡(luò)波動造成的時延和目標服務(wù)器處理的時延，從而檢測出無回顯的SQL注入漏洞。通過測試可以發(fā)現(xiàn)通過設(shè)置合適的判斷閾值可以將準確率控制在99.5％以上。而且，在上述方案中，需要發(fā)送的測試命令的數(shù)量可以是非常少的，也即上述方案通過很少的測試命令、很小的注入耗時即可完成準確率很高的注入漏洞檢測，從而提高了注入漏洞檢測裝置的處理效率，從而節(jié)約了注入漏洞檢測裝置的硬件資源以及網(wǎng)絡(luò)的資源。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請一實例的系統(tǒng)結(jié)構(gòu)示意圖；

圖2為本申請一實例的注入漏洞檢測方法流程圖；

圖3為本申請一實例中的確定目標服務(wù)器針對測試命令的響應時間的方法流程圖；