本發明涉及了一種注入漏洞檢測方法及裝置，所述注入漏洞檢測方法包括：接收應用程序根據攜帶探測標記的參數發起的網頁訪問請求，所述網頁訪問請求指示所述應用程序請求訪問的網頁；響應所述網頁訪問請求，根據攜帶探測標記的參數對業務數據庫進行注入式查詢；監控所述業務數據庫的查詢過程，獲取查詢過程中生成的已執行數據庫語句；對包含所述探測標記的已執行數據庫語句進行語法分析，得到用于指示所述網頁是否存在注入漏洞的檢測結果。采用本發明所提供的注入漏洞檢測方法及裝置解決了現有技術中注入漏洞檢測效率低下的問題。

技術領域

本發明涉及計算機技術領域，尤其涉及一種注入漏洞檢測方法及裝置。

背景技術

隨著計算機技術的發展，終端中安裝的應用程序能夠為用戶提供的線下服務越來越豐富，且隨著用戶需求的多元化，應用程序也會需要將一些服務部署在業務服務器中，使得應用程序通過網頁訪問請求的發起，而請求對業務服務器中部署的業務數據庫進行查詢，進而獲得業務服務器返回的網頁資源，以便于用戶享受應用程序借由此網頁資源所提供的線上服務。

對于業務數據庫所進行的查詢而言，可以是無參數的非注入式查詢，也可以是含參數的注入式查詢。如果業務服務器針對含參數的注入式查詢未進行參數校驗，則攻擊者有機會通過參數注入導致業務服務器返回錯誤的網頁資源，進而導致應用程序根據錯誤的網頁資源所提供的線上服務出錯。

目前，針對參數注入的注入漏洞檢測方法主要包括：頁面相似度、時間延遲、報錯信息和聯合查詢等方法。然而，上述方法雖然能夠準確地檢測注入漏洞，但是需要向業務服務器發起上千次甚至更多次的網頁訪問請求，不僅會耗費大量的時間，并占用大量的傳輸帶寬，而且還會造成業務服務器過高的任務處理壓力。

由上可知，現有的注入漏洞檢測方法仍存在檢測效率低下的問題。

發明內容

為了解決上述技術問題，本發明的一個目的在于提供一種注入漏洞檢測方法及裝置。

其中，本發明所采用的技術方案為：

一種注入漏洞檢測方法，包括：接收應用程序根據攜帶探測標記的參數發起的網頁訪問請求，所述網頁訪問請求指示所述應用程序請求訪問的網頁；響應所述網頁訪問請求，根據攜帶探測標記的參數對業務數據庫進行注入式查詢；監控所述業務數據庫的查詢過程，獲取查詢過程中生成的已執行數據庫語句；對包含所述探測標記的已執行數據庫語句進行語法分析，得到用于指示所述網頁是否存在注入漏洞的檢測結果。

一種注入漏洞檢測裝置，包括：請求接收模塊，用于接收應用程序根據攜帶探測標記的參數發起的網頁訪問請求，所述網頁訪問請求指示所述應用程序請求訪問的網頁；請求響應模塊，用于響應所述網頁訪問請求，根據攜帶探測標記的參數對業務數據庫進行注入式查詢；查詢監控模塊，用于監控所述業務數據庫的查詢過程，獲取查詢過程中生成的已執行數據庫語句；語法分析模塊，用于對包含所述探測標記的已執行數據庫語句進行語法分析，得到用于指示所述網頁是否存在注入漏洞的檢測結果。

一種注入漏洞檢測裝置，包括處理器及存儲器，所述存儲器上存儲有計算機可讀指令，所述計算機可讀指令被所述處理器執行時實現如上所述的注入漏洞檢測方法。

一種計算機可讀存儲介質，其上存儲有計算機程序，所述計算機程序被處理器執行時實現如上所述的注入漏洞檢測方法。

在上述技術方案中，通過接收應用程序根據攜帶探測標記的參數而發起的網頁訪問請求，進而通過此網頁訪問請求的響應，根據攜帶探測標記的參數對業務數據庫進行注入式查詢，并獲取業務數據庫查詢過程中生成的已執行數據庫語句，以通過對包含探測標記的已執行數據庫語句進行語法分析，得到用于指示網頁訪問請求所指示的網頁是否存在注入漏洞檢測的檢測結果。