[發明專利]一種網站漏洞智能檢測方法在審
| 申請號: | 202010337323.5 | 申請日: | 2020-04-26 |
| 公開(公告)號: | CN111523123A | 公開(公告)日: | 2020-08-11 |
| 發明(設計)人: | 康海燕;冀源蕊;司夏萌 | 申請(專利權)人: | 北京信息科技大學 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F16/955 |
| 代理公司: | 北京高沃律師事務所 11569 | 代理人: | 劉鳳玲 |
| 地址: | 100101 北*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 網站 漏洞 智能 檢測 方法 | ||
1.一種網站漏洞智能檢測方法,其特征在于,所述方法包括:
獲取用戶提交的網址;
對用戶提交的網址進行分析,確定待分析網址鏈接;
對所述待分析網址鏈接分別進行SQL注入漏洞檢測、存儲型XSS注入漏洞檢測和CSRF漏洞檢測,獲得漏洞檢測結果。
2.根據權利要求1所述的網站漏洞智能檢測方法,其特征在于,所述對用戶提交的網址進行分析,確定待分析網址鏈接,具體包括:
判斷用戶提交的網址對應的響應碼是否與預存網址對應的響應碼一致;如果用戶提交的網址對應的響應碼與預存網址對應的響應碼一致,則跳轉到用戶提交的網址對應的頁面,并創建請求;如果用戶提交的網址對應的響應碼與預存網址對應的響應碼不一致,則跳轉到錯誤頁面;
根據所述請求獲取網址的源碼;
通過廣度優先算法獲取所述源碼中所有鏈接;
將所有鏈接進行分類,分為有效鏈接和錯誤鏈接;所述有效鏈接包括文件鏈接和待分析網址鏈接;
去除所述有效鏈接中文件鏈接,獲得待分析網址鏈接。
3.根據權利要求1所述的網站漏洞智能檢測方法,其特征在于,所述對所述待分析網址鏈接分別進行SQL注入漏洞檢測,具體包括:
對所述待分析網址鏈接進行數字型SQL注入漏洞檢測;
對所述待分析網址鏈接進行字符型SQL注入漏洞檢測;
對所述待分析網址鏈接進行時間型SQL注入漏洞檢測。
4.根據權利要求3所述的網站漏洞智能檢測方法,其特征在于,所述對所述待分析網址鏈接進行數字型SQL注入漏洞檢測,具體包括:
判斷所述待分析網址鏈接是否存在第一相關參數;如果存在第一相關參數,則提交請求,訪問所述待分析網址鏈接,獲得第一響應結果;如果不存在第一相關參數,則添加第一相關參數,并提交請求,訪問添加第一相關參數后的鏈接,獲得第一響應結果;
在所述待分析網址鏈接后面加入and 1=1,執行第一次注入請求,獲得第二響應結果;
在所述待分析網址鏈接后面加入單引號’,執行第二次注入請求,獲得第三響應結果;
判斷是否滿足第一設定條件;如果滿足第一設定條件,則存在數字型SQL注入漏洞;如果不滿足第一設定條件,則不存在數字型SQL注入漏洞;所述第一設定條件為第一響應結果的長度等于第二響應結果的長度且第一響應結果的長度不等于第三響應結果的長度。
5.根據權利要求3所述的網站漏洞智能檢測方法,其特征在于,所述對所述待分析網址鏈接進行字符型SQL注入漏洞檢測,具體包括:
判斷所述待分析網址鏈接是否存在第一相關參數;如果存在第一相關參數,則提交請求,訪問所述待分析網址鏈接,獲得第一響應結果;如果不存在第一相關參數,則添加第一相關參數,并提交請求,訪問添加第一相關參數后的鏈接,獲得第一響應結果;
在所述待分析網址鏈接后面加入and‘1’=’1,執行第三次注入請求,獲得第四響應結果;
在所述待分析網址鏈接后面加入單引號’,執行第二次注入請求,獲得第三響應結果;
判斷是否滿足第二設定條件;如果滿足第二設定條件,則存在字符型SQL注入漏洞;如果不滿足第二設定條件,則不存在字符型SQL注入漏洞;所述第二設定條件為第一響應結果的長度等于第四響應結果的長度且第一響應結果的長度不等于第三響應結果的長度。
6.根據權利要求3所述的網站漏洞智能檢測方法,其特征在于,所述對所述待分析網址鏈接進行時間型SQL注入漏洞檢測,具體包括:
判斷所述待分析網址鏈接是否存在第一相關參數;如果存在第一相關參數,則提交請求,訪問所述待分析網址鏈接,獲得第一響應結果;如果不存在第一相關參數,則添加第一相關參數,并提交請求,訪問添加第一相關參數后的鏈接,獲得第一響應結果;
確定所述第一響應結果的響應時間;
在所述待分析網址鏈接后面加入延時函數,執行第四次注入請求,獲得第五響應結果,并確定所述第五響應結果的響應時間;
判斷是否滿足第三設定條件;如果滿足第三設定條件,則存在時間型SQL注入漏洞;如果不滿足第三設定條件,則不存在時間型SQL注入漏洞;所述第一響應結果的響應時間減去所述第五響應結果的響應時間等于設定時間。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京信息科技大學,未經北京信息科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010337323.5/1.html,轉載請聲明來源鉆瓜專利網。
