本發明提出了一種自動化檢測LDAP認證注入漏洞的方法，包括：將LDAP Injection Test程序封裝為腳本；將腳本、LDAP服務器、Web應用進行通信連接，構成三者互聯的連接關系；通過腳本使用第一登錄賬號登錄Web應用，進行LDAP設置；退出Web應用，使用第二登錄賬號登錄Web應用，判斷登錄是否成功，如果成功，使用第一注入登錄測試用例以及第二注入登錄測試用例進行注入登錄測試；如果不成功，則重新進行配置，本發明還提出了一種自動化檢測LDAP認證注入漏洞的裝置，能夠快速、全面地得出準確結果，有效的提高的檢測效率，降低了檢測成本。

技術領域

本發明涉及漏洞檢測領域，尤其是涉及一種自動化檢測LDAP認證注入漏洞的方法及裝置。

背景技術

隨著互聯網的廣泛使用，Web應用的數量呈爆炸式的增長，而這些應用的資源和數據呈分布式存儲于目錄中。通常不同的應用會有專屬于自己相關數據的目錄，即專有目錄，專有目錄數量的增長導致了系統和資源的共享及管理變得日益困難，過多的目錄給計算機搜索帶來巨大的壓力。使用LDAP(Lightweight Directory Access Protocol，即輕量目錄訪問協議)集中管理信息，搜索速度快，可以有效緩解目錄增加帶來的壓力。隨著LDAP的廣泛使用，LDAP認證注入漏洞是不可忽視的一個問題。

在現有的Web應用漏洞檢測中，LDAP認證注入漏洞檢測主要都是手動進行的。手動進行LDAP認證注入漏洞檢測，雖然能處理各種異常情況，得出準確的結果；但是費時費力，稍不注意就會有遺漏，增加了人力成本，效率不高。

發明內容

本發明為了解決現有技術中存在的問題，創新提出了一種自動化檢測LDAP認證注入漏洞的方法及裝置，有效解決由于手工進行LDAP認證注入漏洞檢測造成費時費力、存在遺漏的問題，有效的提高的檢測效率，降低了檢測成本。

本發明第一方面提供了一種自動化檢測LDAP認證注入漏洞的方法，包括：

將LDAP Injection Test程序封裝為腳本；

將腳本、LDAP服務器、Web應用進行通信連接，構成三者互聯的連接關系；

通過腳本獲取LDAP服務器配置信息、第一登錄賬號、第二登錄賬號，使用第一登錄賬號登錄Web應用，根據LDAP服務器配置信息配置Web應用中LDAP設置；

退出Web應用，使用第二登錄賬號登錄Web應用，判斷登錄是否成功；

如果成功，使用第一注入登錄測試用例以及第二注入登錄測試用例進行注入登錄測試，如果第一注入登錄測試用例以及第二注入登錄測試用例注入登錄測試全部通過，則測試通過，不存在注入漏洞；如果存在第一注入登錄測試用例或第二注入登錄測試用例注入登錄測試失敗，則測試失敗，存在注入漏洞；

如果不成功，則重新進行配置。

結合第一方面，在第一方面第一種可能的實現方式中，第一登錄賬號為Web應用登錄賬號，第二登錄賬號為LDAP服務器中登錄賬號。

結合第一方面，在第一方面第二種可能的實現方式中，所述LDAP服務器配置信息包括LDAP服務器地址、端口號、綁定DN、域密碼、搜索庫、用戶登錄屬性。

結合第一方面，在第一方面第三種可能的實現方式中，所述第一注入登錄測試用例為需要轉義的字符，所述第二注入登錄測試用例為需要轉義并轉碼的字符。

進一步地，所述第一注入登錄測試用例包括字符、字符！、字符|、字符＝、字符、字符、字符，、字符+、字符-、字符”、字符’、字符；。

結合第一方面，在第一方面第四種可能的實現方式中，所述第二注入登錄測試用例包括字符(、字符)、字符\、字符*、字符/、字符NULL。