本申請實施例公開了一種漏洞檢測方法及裝置，先獲取待檢測統一資源定位符URL和攻擊荷載，攻擊荷載可以用于生成域名系統解析日志，向待檢測URL發送訪問請求，該訪問請求中包括攻擊荷載，判斷是否存在待檢測URL對應的域名系統解析日志，若存在，說明待檢測URL存在漏洞執行了攻擊荷載中的指令，生成了域名系統解析日志，也就是說，待檢測URL沒有檢測出該攻擊荷載或沒有過濾出該攻擊荷載，此時可認為待檢測URL存在漏洞。因此本申請實施例中，可以自動完成對待檢測URL的漏洞的檢測，不需要手動載入和人工查看，提高了漏洞檢測效率和準確性。

技術領域

本發明涉及計算機Web服務應用技術領域，特別是涉及一種漏洞檢測方法和裝置。

背景技術

Web網站是互聯網的基礎組成部分，如今的Web網站都采用動態交互式網頁技術，并且大多使用數據庫來保存網站的數據。數據庫驅動的Web網站通常包含三層：表示層、邏輯層和存儲層。表示層用于頁面展現，邏輯層實現具體的業務功能，存儲層實現數據的存儲。HTTP請求通過表示層傳入邏輯層，邏輯層根據需要利用命令向存儲層數據庫請求數據，并形成HTTP響應返回至表示層。

Web網站可能存在漏洞，例如結構化查詢語言(Structured Query Language，SQL)注入漏洞、命令執行漏洞和服務器端請求偽造(Server-Side Request Forgery，SSRF)等。其中，SQL注入漏洞是一種嚴重的Web安全漏洞，該漏洞主要是由于程序員在編寫程序的時候沒有對用戶輸入的參數進行有效性驗證和過濾，導致惡意攻擊者可將SQL命令注入到參數中，使得服務器執行這些SQL命令；代碼執行漏洞是調用系統命令的漏洞，具體的，當用戶能控制系統命令的函數中的參數時，就可以將惡意系統命令拼接到正常命令中，從而造成命令執行攻擊；SSRF是一種由攻擊者構造形成由服務器端發送請求的安全漏洞，其形成原因通常為服務器端提供了從其他服務器應用獲取數據的功能而沒有對目標地址進行過濾和限制，如果該功能被濫用，則可以利用存在缺陷的Web應用作為代理攻擊遠程和本地的服務器。

Web網站存在的漏洞將導致數據庫數據泄露、數據被篡改，如果數據數據庫允許執行操作系統命令，則可能導致整個數據庫服務器被入侵。具體實現時，可以通過滲透測試對Web網站的漏洞進行檢測，提高數據安全性。然而在Web應用無回顯時，現有的滲透測試工具需要人工進行數據的輸入和查看，對漏洞的檢測效率較低，且容易出錯。

發明內容

為解決上述技術問題，本申請實施例提供一種漏洞檢測方法和裝置，在Web應用無回顯時，提高漏洞檢測效率。

本申請實施例提供了一種漏洞檢測方法，所述方法包括：

獲取待檢測統一資源定位符URL和攻擊荷載；

向所述待檢測URL發送訪問請求，所述訪問請求中包括所述攻擊荷載；

若存在所述待檢測URL對應的域名系統解析日志，則判斷所述待檢測URL存在漏洞，所述域名系統解析日志為所述待檢測URL根據所述攻擊荷載生成的。

可選的，所述獲取攻擊荷載包括：

根據待檢測URL的待檢測漏洞，獲取攻擊荷載。

可選的，所述待檢測漏洞包括SQL注入漏洞、命令執行漏洞或服務器端請求偽造漏洞。

可選的，所述待檢測URL為多個，所述向所述待檢測URL發送訪問請求，包括：

按照預設順序依次向所述待檢測URL發送訪問請求。

可選的，所述域名系統解析日志位于測試平臺。

本申請實施例提供了一種漏洞檢測裝置，所述裝置包括：

第一獲取單元，用于獲取待檢測統一資源定位符URL；

第二獲取單元，用于攻擊荷載；