[發(fā)明專利]一種自動(dòng)化檢測LDAP認(rèn)證注入漏洞的方法及裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201910757277.1 | 申請(qǐng)日: | 2019-08-16 |
| 公開(公告)號(hào): | CN110545264B | 公開(公告)日: | 2021-09-03 |
| 發(fā)明(設(shè)計(jì))人: | 常磊 | 申請(qǐng)(專利權(quán))人: | 蘇州浪潮智能科技有限公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06;H04L29/08 |
| 代理公司: | 濟(jì)南誠智商標(biāo)專利事務(wù)所有限公司 37105 | 代理人: | 李修杰 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 自動(dòng)化 檢測 ldap 認(rèn)證 注入 漏洞 方法 裝置 | ||
1.一種自動(dòng)化檢測LDAP認(rèn)證注入漏洞的方法,其特征是,包括:
將LDAPInjectionTest程序封裝為腳本;
將腳本、LDAP服務(wù)器、Web應(yīng)用進(jìn)行通信連接,構(gòu)成三者互聯(lián)的連接關(guān)系;
通過腳本獲取LDAP服務(wù)器配置信息、第一登錄賬號(hào)、第二登錄賬號(hào),使用第一登錄賬號(hào)登錄Web應(yīng)用,根據(jù)LDAP服務(wù)器配置信息配置Web應(yīng)用中LDAP設(shè)置;其中,第一登錄賬號(hào)為Web應(yīng)用登錄賬號(hào),第二登錄賬號(hào)為LDAP服務(wù)器中登錄賬號(hào);
退出Web應(yīng)用,使用第二登錄賬號(hào)登錄Web應(yīng)用,判斷登錄是否成功;
如果成功,使用第一注入登錄測試用例以及第二注入登錄測試用例進(jìn)行注入登錄測試,如果第一注入登錄測試用例以及第二注入登錄測試用例注入登錄測試全部通過,則測試通過,不存在注入漏洞;如果存在第一注入登錄測試用例或第二注入登錄測試用例注入登錄測試失敗,則測試失敗,存在注入漏洞;其中,所述第一注入登錄測試用例為需要轉(zhuǎn)義的字符,所述第二注入登錄測試用例為需要轉(zhuǎn)義并轉(zhuǎn)碼的字符;
如果不成功,則重新進(jìn)行配置。
2.根據(jù)權(quán)利要求1所述的自動(dòng)化檢測LDAP認(rèn)證注入漏洞的方法,其特征是,所述LDAP服務(wù)器配置信息包括LDAP服務(wù)器地址、端口號(hào)、綁定DN、域密碼、搜索庫、用戶登錄屬性。
3.根據(jù)權(quán)利要求1所述的自動(dòng)化檢測LDAP認(rèn)證注入漏洞的方法,其特征是,所述第一注入登錄測試用例包括字符、字符!、字符|、字符=、字符、字符、字符,、字符+、字符-、字符”、字符’、字符;。
4.根據(jù)權(quán)利要求1所述的自動(dòng)化檢測LDAP認(rèn)證注入漏洞的方法,其特征是,所述第二注入登錄測試用例包括字符(、字符)、字符\、字符*、字符/、字符NULL。
5.根據(jù)權(quán)利要求3或4所述的自動(dòng)化檢測LDAP認(rèn)證注入漏洞的方法,其特征是,注入登錄測試全部通過具體是:第一注入登錄測試用例中的字符以及第二注入登錄測試用例中的字符全部不能成功登錄Web應(yīng)用;注入登錄測試失敗具體是:任一第一注入登錄測試用例中的字符或任一第二注入登錄測試用例中的字符成功登錄Web應(yīng)用。
6.一種自動(dòng)化檢測LDAP認(rèn)證注入漏洞的裝置,其特征是,包括:
封裝模塊,將LDAPInjectionTest程序封裝為腳本;
連接模塊,將腳本、LDAP服務(wù)器、Web應(yīng)用進(jìn)行通信連接,構(gòu)成三者互聯(lián)的連接關(guān)系;
配置模塊,通過腳本獲取LDAP服務(wù)器配置信息、第一登錄賬號(hào)、第二登錄賬號(hào),使用第一登錄賬號(hào)登錄Web應(yīng)用,根據(jù)LDAP服務(wù)器配置信息配置Web應(yīng)用中LDAP設(shè)置;其中,第一登錄賬號(hào)為Web應(yīng)用登錄賬號(hào),第二登錄賬號(hào)為LDAP服務(wù)器中登錄賬號(hào);
退出登錄模塊,退出Web應(yīng)用,使用第二登錄賬號(hào)登錄Web應(yīng)用,判斷登錄是否成功;
測試模塊,如果成功,使用第一注入登錄測試用例以及第二注入登錄測試用例進(jìn)行注入登錄測試,如果第一注入登錄測試用例以及第二注入登錄測試用例注入登錄測試全部通過,則測試通過,不存在注入漏洞;如果存在第一注入登錄測試用例或第二注入登錄測試用例注入登錄測試失敗,則測試失敗,存在注入漏洞;其中,所述第一注入登錄測試用例為需要轉(zhuǎn)義的字符,所述第二注入登錄測試用例為需要轉(zhuǎn)義并轉(zhuǎn)碼的字符;
重配置模塊,如果不成功,則重新進(jìn)行配置。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于蘇州浪潮智能科技有限公司,未經(jīng)蘇州浪潮智能科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910757277.1/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 自動(dòng)化設(shè)備和自動(dòng)化系統(tǒng)
- 一種基于流程驅(qū)動(dòng)的測試自動(dòng)化方法以及測試自動(dòng)化系統(tǒng)
- 用于工業(yè)自動(dòng)化設(shè)備認(rèn)識(shí)的系統(tǒng)和方法
- 實(shí)現(xiàn)過程自動(dòng)化服務(wù)的標(biāo)準(zhǔn)化設(shè)計(jì)方法學(xué)的自動(dòng)化系統(tǒng)
- 一種日產(chǎn)50萬安時(shí)勻漿自動(dòng)化系統(tǒng)
- 一種自動(dòng)化肥料生產(chǎn)系統(tǒng)
- 一種電氣自動(dòng)化設(shè)備自動(dòng)檢測系統(tǒng)及檢測方法
- 用于自動(dòng)化應(yīng)用的抽象層
- 一種基于虛擬化架構(gòu)的自動(dòng)化系統(tǒng)功能驗(yàn)證方法
- 自動(dòng)化測試框架自動(dòng)測試的實(shí)現(xiàn)技術(shù)
- 移動(dòng)輕量密碼目錄訪問的系統(tǒng)和方法
- 基于輕量級(jí)目錄訪問協(xié)議實(shí)現(xiàn)數(shù)據(jù)訂閱通知的方法
- 一種LDAP云存儲(chǔ)服務(wù)系統(tǒng)
- 一種LDAP云存儲(chǔ)服務(wù)系統(tǒng)
- 一種JAVA語言對(duì)LDAP的訪問操作的方法及系統(tǒng)
- 用于為LDAP客戶端提供服務(wù)的方法、裝置和中央服務(wù)器
- 基于LDAP進(jìn)行基于復(fù)雜邏輯的數(shù)據(jù)庫操作的方法
- 基于密鑰交換協(xié)議的輕量目錄訪問協(xié)議實(shí)現(xiàn)方法和裝置
- 一種在多臺(tái)LDAP服務(wù)器間進(jìn)行通訊錄同步的方法
- 一種基于LDAP服務(wù)器的認(rèn)證方法和裝置
- 基于以太網(wǎng)認(rèn)證系統(tǒng)的認(rèn)證方法
- 認(rèn)證方法、認(rèn)證系統(tǒng)和認(rèn)證裝置
- 一種認(rèn)證方法和系統(tǒng)
- 一種認(rèn)證控制的方法,認(rèn)證服務(wù)器和系統(tǒng)
- 多認(rèn)證域認(rèn)證方法和裝置
- 一種認(rèn)證方法及系統(tǒng)
- 一種光線路終端對(duì)光網(wǎng)絡(luò)單元的認(rèn)證系統(tǒng)及認(rèn)證方法
- 身份認(rèn)證服務(wù)器、身份認(rèn)證終端、身份認(rèn)證系統(tǒng)及方法
- 一種網(wǎng)絡(luò)認(rèn)證方法
- 身份認(rèn)證器的初始化、身份認(rèn)證方法以及裝置
