中間件Weblogic SSRF漏洞檢測方法和裝置，該檢測方法包括輸入Weblogic網站待檢測URL地址，點擊按鈕模塊1啟動檢測是否存在SSRF漏洞；若存在SSRF漏洞則激活按鈕模塊2和按鈕模塊3并探測Weblogic網站的內網IP地址和內網IP地址的待檢測端口號的開放情況。本發明解決了Weblogic SSRF漏洞檢測方法及裝置使用復雜、無法自動化探測內網IP地址和內網IP的待檢測端口號的開放情況的問題，提高了Weblogic SSRF漏洞檢測效率。

技術領域

本發明屬于計算機信息技術領域，具體涉及中間件Weblogic SSRF漏洞檢測方法和裝置。

背景技術

近年來，因網絡漏洞導致的惡性安全事件時有發生，影響到人們生活的方方面面。例如，比特幣勒索病毒WannaCry全球爆發，網站木馬造成信用卡被盜刷。同時，蠕蟲病毒、勒索軟件、網站篡改、入侵物聯網設備等新的網絡攻擊形式也在不斷變化和增加，破壞性加劇。

黑客攻擊者非常喜歡使用粗暴的漏洞進行批量化，從網上公布的數百個案例來看，攻擊者大多數是利用Redis、Docker等未授權，JAVA RMI命令執行漏洞，反序列化漏洞，SSH、MySQL、RDP、Tomcat等弱口令自動化攻擊，自動化執行DDOS或者挖礦程序，甚至是勒索軟件病毒加密，給企業造成巨大的危害。

越發嚴峻的信息安全形勢促使網絡安全市場發展提速。部分中小企業，安全意識薄弱，預算少且缺乏運營團隊，面臨著突出的安全風險，進而對全行業構成隱患。如何打破邊界，開放合作，建立全產業聯動的安全生態新模式，成為業界關注的焦點，保護商業大環境的安全已經迫在眉睫。

Web應用漏洞掃描技術是保障Web應用安全的重要技術之一，其核心思想是站在黑客的角度向Web站點發送精心構造的檢測請求，根據其響應信息判斷目標站點是否存在特定漏洞，Web應用漏洞掃描致力于在應用層上保證Web應用的安全，和防火墻、入侵檢測系統等網絡層防護措施一起，對一個Web應用的運行環境形成全方位的安全防護，其中Weblogic作為主流的中間件服務被廣泛應用。Weblogic是美國Oracle公司出品的一個applicationserver，也是一個基于JAVA EE架構的中間件用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的JAVA應用服務器。

SSRF(Server-Side Request Forgery：服務器端請求偽造)是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是無法從外網訪問的內部系統。SSRF漏洞存在于應用程序在加載用戶提供的URL地址時，沒能正確驗證服務器的響應，然后就反饋回了客戶端。攻擊者可以利用該漏洞繞過訪問限制(如防火墻)，進而將受感染的服務器作為代理進行端口掃描，甚至訪問系統中的數據。

現有的Python版Weblogic SSRF漏洞檢測裝置需要用戶手動輸入命令，且需要在PHP環境下運行，沒有圖形化界面、操作復雜。

發明內容

本發明所需要解決的技術問題在于提供中間件Weblogic SSRF漏洞檢測方法和裝置，解決了現有Weblogic SSRF漏洞檢測裝置沒有圖形化界面，操作復雜的技術問題。本發明通過圖形化界面簡便了Weblogic SSRF漏洞檢測的操作，并可以探測內網IP地址的待檢測端口號的開放情況。

為解決上述技術問題，本發明的技術方案如下：

一種中間件Weblogic SSRF漏洞檢測方法，包括以下步驟：

S1：輸入Weblogic網站的待檢測URL地址；

S2：調用按鈕1的程序函數，執行漏洞檢測程序檢測所述待檢測URL地址是否存在SSRF漏洞；

若待檢測URL地址不存在SSRF漏洞，提示用戶漏洞不存在并結束掃描；