[發(fā)明專利]SSRF漏洞的檢測方法及裝置有效
| 申請?zhí)枺?/td> | 201710732152.4 | 申請日: | 2017-08-23 |
| 公開(公告)號: | CN107347076B | 公開(公告)日: | 2020-01-17 |
| 發(fā)明(設(shè)計)人: | 王曉天;范淵;黃進(jìn);莫金友 | 申請(專利權(quán))人: | 杭州安恒信息技術(shù)股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/12;G06F21/57 |
| 代理公司: | 11371 北京超凡志成知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) | 代理人: | 王術(shù)蘭 |
| 地址: | 310051 浙江省*** | 國省代碼: | 浙江;33 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | ssrf 漏洞 檢測 方法 裝置 | ||
1.一種SSRF漏洞的檢測方法,其特征在于,應(yīng)用于用戶終端,所述方法包括:
獲取漏洞查詢請求,其中,所述漏洞查詢請求中包括:待檢測URL鏈接,與所述待檢測URL鏈接相對應(yīng)的隨機(jī)字符串,公網(wǎng)服務(wù)器的域名;
向所述待檢測URL鏈接所對應(yīng)的服務(wù)器發(fā)送所述漏洞查詢請求,并在查詢到所述SSRF漏洞時,得到漏洞查詢結(jié)果,其中,所述漏洞查詢結(jié)果記錄于所述公網(wǎng)服務(wù)器中,且所述漏洞查詢結(jié)果為帶有用戶終端網(wǎng)絡(luò)地址和所述隨機(jī)字符串的訪問記錄;
向所述公網(wǎng)服務(wù)器的驗證端口發(fā)送秘鑰查詢請求,以在所述公網(wǎng)服務(wù)器中查詢是否存在所述漏洞查詢結(jié)果,其中,所述秘鑰查詢請求根據(jù)所述隨機(jī)字符串生成;
如果所述公網(wǎng)服務(wù)器根據(jù)所述秘鑰查詢請求返回的返回結(jié)果為第一預(yù)設(shè)結(jié)果,則確定所述待檢測URL鏈接存在所述SSRF漏洞;
其中,向所述公網(wǎng)服務(wù)器的驗證端口發(fā)送秘鑰查詢請求,以在所述公網(wǎng)服務(wù)器中查詢是否存在所述漏洞查詢結(jié)果包括:
向所述公網(wǎng)服務(wù)器的驗證端口發(fā)送所述秘鑰查詢請求,以在所述公網(wǎng)服務(wù)器中查詢是否存在與所述秘鑰查詢請求中的所述隨機(jī)字符串的信息相對應(yīng)的訪問記錄。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
如果所述公網(wǎng)服務(wù)器根據(jù)所述秘鑰查詢請求返回的返回結(jié)果為第二預(yù)設(shè)結(jié)果,則確定所述待檢測URL鏈接不存在SSRF漏洞。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,獲取漏洞查詢請求包括:
根據(jù)用戶的觸發(fā)操作獲取所述待檢測URL鏈接的參數(shù)鍵值對,其中,所述參數(shù)鍵值對用于表征所述待檢測URL鏈接的關(guān)鍵特征;
將所述參數(shù)鍵值對與字典白名單中的參數(shù)鍵進(jìn)行匹配,其中,所述字典白名單中的參數(shù)鍵為用戶或研發(fā)人員根據(jù)經(jīng)驗總結(jié)的出問題概率大于預(yù)設(shè)概率的參數(shù)鍵,所述參數(shù)鍵的數(shù)量為多個;
如果所述參數(shù)鍵值對與所述字典白名單中的參數(shù)鍵匹配,則生成所述隨機(jī)字符串;
在所述待檢測URL鏈接的參數(shù)鍵值對后添加目標(biāo)信息,得到所述漏洞查詢請求,其中,所述目標(biāo)信息包括:所述隨機(jī)字符串和預(yù)先搭建的所述公網(wǎng)服務(wù)器的域名。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:
如果所述參數(shù)鍵值對與所述字典白名單中的參數(shù)鍵不匹配,則繼續(xù)檢測下一個待檢測URL鏈接。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于,根據(jù)用戶的觸發(fā)操作獲取所述待檢測URL鏈接的參數(shù)鍵值對包括:
根據(jù)用戶的觸發(fā)操作獲取所述待檢測URL鏈接;
對所述待檢測URL鏈接進(jìn)行解析,得到待處理的參數(shù)鍵值對;
對所述待處理的參數(shù)鍵值對進(jìn)行轉(zhuǎn)化處理,得到所述待檢測URL鏈接的參數(shù)鍵值對,其中,所述轉(zhuǎn)化處理為將所述待處理的參數(shù)鍵值對中的大寫字母轉(zhuǎn)換為小寫字母。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,在向所述公網(wǎng)服務(wù)器的驗證端口發(fā)送秘鑰查詢請求之前,所述方法還包括:
對所述隨機(jī)字符串拼接預(yù)設(shè)秘鑰,得到初始查詢秘鑰;
對所述初始查詢秘鑰進(jìn)行MD5加密處理,得到加密查詢秘鑰;
將所述加密查詢秘鑰置于http請求頭信息中,以得到所述秘鑰查詢請求。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于杭州安恒信息技術(shù)股份有限公司,未經(jīng)杭州安恒信息技術(shù)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710732152.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
