本發明提供了一種SSRF漏洞的檢測方法及裝置，該檢測方法包括：獲取漏洞查詢請求；向待檢測URL鏈接所對應的服務器發送漏洞查詢請求，并在查詢到SSRF漏洞時，得到漏洞查詢結果；向公網服務器的驗證端口發送秘鑰查詢請求，以在公網服務器中查詢是否存在漏洞查詢結果；如果公網服務器根據秘鑰查詢請求返回的返回結果為第一預設結果，則確定待檢測URL鏈接存在SSRF漏洞。本發明中提出了一種SSRF漏洞的檢測方法，該方法能夠檢測出待檢測URL鏈接是否存在SSRF漏洞，緩解了現有技術中無法對SSRF漏洞進行檢測的技術問題。

技術領域

本發明涉及網頁安全檢測的技術領域，尤其是涉及一種SSRF漏洞的檢測方法及裝置。

背景技術

SSRF(服務器端請求偽造)漏洞是一種新型的web應用漏洞，與CSRF(跨站請求偽造)漏洞不同，它是利用服務端向其他內外網服務器發送請求。這種漏洞發生在有些web應用需要通過客戶端指定url從其他服務器獲取數據，比如通過url地址分享網頁內容、遠程圖片加載或下載、轉碼服務、在線翻譯等功能。當web應用提供的這些功能未對提交的url參數值做嚴格的限制，如請求協議限制、內外訪問限制等，攻擊者很可能會利用web應用這種缺陷，突破外網無法訪問內網的限制，探測內網架構、進而攻擊內網脆弱系統等。

目前公開的相關技術中，還沒有一種能夠對SSRF漏洞進行檢測的方法，也就是無法獲知待檢測網頁入口(即，待檢測URL鏈接)是否存在SSRF漏洞。

發明內容

有鑒于此，本發明的目的在于提供一種SSRF漏洞的檢測方法及裝置，以緩解現有技術中無法對SSRF漏洞進行檢測的技術問題。

第一方面，本發明實施例提供了一種SSRF漏洞的檢測方法，應用于用戶終端，所述方法包括：

獲取漏洞查詢請求，其中，所述漏洞查詢請求中包括：待檢測URL鏈接，與所述待檢測URL鏈接相對應的隨機字符串，公網服務器的域名；

向所述待檢測URL鏈接所對應的服務器發送所述漏洞查詢請求，并在查詢到所述SSRF漏洞時，得到漏洞查詢結果，其中，所述漏洞查詢結果記錄于所述公網服務器中；

向所述公網服務器的驗證端口發送秘鑰查詢請求，以在所述公網服務器中查詢是否存在所述漏洞查詢結果，其中，所述秘鑰查詢請求根據所述隨機字符串生成；

如果所述公網服務器根據所述秘鑰查詢請求返回的返回結果為第一預設結果，則確定所述待檢測URL鏈接存在所述SSRF漏洞。

結合第一方面，本發明實施例提供了第一方面的第一種可能的實施方式，其中，所述漏洞查詢結果為帶有用戶終端網絡地址和所述隨機字符串的訪問記錄，向所述公網服務器的驗證端口發送秘鑰查詢請求，以在所述公網服務器中查詢是否存在所述漏洞查詢結果：

向所述公網服務器的驗證端口發送所述秘鑰查詢請求，以在所述公網服務器中查詢是否存在與所述秘鑰查詢請求中的所述隨機字符串的信息相對應的訪問記錄。

結合第一方面，本發明實施例提供了第一方面的第二種可能的實施方式，其中，所述方法還包括：

如果所述公網服務器根據所述秘鑰查詢請求返回的返回結果為第二預設結果，則確定所述待檢測URL鏈接不存在SSRF漏洞。

結合第一方面，本發明實施例提供了第一方面的第三種可能的實施方式，其中，獲取漏洞查詢請求包括：

根據用戶的觸發操作獲取所述待檢測URL鏈接的參數鍵值對，其中，所述參數鍵值對用于表征所述待檢測URL鏈接的關鍵特征；

將所述參數鍵值對與字典白名單中的參數鍵進行匹配，其中，所述字典白名單中的參數鍵為用戶或研發人員根據經驗總結的出問題概率大于預設概率的參數鍵，所述參數鍵的數量為多個；