本申請公開了一種web框架注入漏洞檢測方法及裝置，方法包括：客戶端向web應用發送包括觸發異常響應的隨機字符串的第一探測請求，當第一響應內容中包括上述觸發異常響應的隨機字符串時，客戶端確定出web應用的潛在框架注入漏洞注入點并生成待閉合的標簽組，再結合web應用對輸入數據處理特點探測規則組、觸發異常響應字符串生成探測代碼并注入到潛在框架注入漏洞注入點后，向web應用發送對應的第二探測請求，獲取第二響應內容。接著生成框架代碼并注入到潛在框架注入漏洞注入點并發送對應第三探測請求，獲取第三響應內容。當確定注入框架代碼被執行時，確定該web應用存在框架注入漏洞，用以解決現有技術中無法高效、全面地檢測出web框架注入漏洞的問題。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種web框架注入漏洞檢測方法及裝置。

背景技術

隨著互聯網技術的普及，web應用規模越來越大，web應用面對的入侵威脅也越來越大。一旦web應用被攻擊就會造成嚴重的后果。web應用常見的漏洞有XSS注入、框架注入、鏈接注入等，其中框架注入是網絡安全領域中常見的漏洞之一。如果web應用的漏洞被黑客利用，黑客可以竊取用戶登錄憑證、竊取用戶賬號、甚至控制整個web應用并獲取web應用的服務器權限，造成不可挽回的損失，給web應用及相關用戶帶來嚴重的危害。

一般來說，對于框架注入的漏洞檢測方法主要就是通過注入包括框架代碼的探測代碼，其中主要就是構造含有固定閉合標簽前綴的框架代碼作為探測代碼，然后將該探測代碼替換至待檢測web應用的潛在框架注入漏洞注入點處，獲取響應內容，如果在該響應內容中發現了檢測代碼中的框架代碼并且該框架代碼可被執行，則認為存在框架注入漏洞。

但是現有的框架注入漏洞檢測方法中，存在因某些標簽未被閉合而造成框架代碼不可被執行的情況，從而造成框架注入漏洞漏報；存在忽略某些未閉合標簽，放寬漏洞存在判定條件，即不考慮框架代碼是否被執行，只觀察框架代碼是否出現在響應內容中來判定框架注入漏洞是否存在的情況，從而造成框架注入漏洞誤報；也存在因固定閉合標簽前綴導致用于檢測的探測代碼長度超過了網站允許輸入數據長度的限制而無法成功注入，從而造成框架注入漏洞漏報。因此，為了能夠準確、靈活的檢測出web應用的框架注入漏洞，本發明提出了一種web框架注入漏洞檢測方法。

發明內容

本申請實施例提供了一種web框架注入漏洞檢測方法及裝置，用以解決現有技術中對web應用的框架注入漏洞檢測場景覆蓋不夠全面，存在漏報及誤報等問題。

第一方面，本申請實施例提供一種web框架注入漏洞檢測方法，包括：

客戶端向web應用發送第一探測請求，第一探測請求中包括觸發異常響應的隨機字符串，其中該觸發異常響應的隨機字符串為普通隨機字符串、觸發異常響應字符串的組合。進一步地，當從web應用接收的第一響應內容中包括觸發異常響應的隨機字符串時，客戶端根據第一響應內容中觸發異常響應的隨機字符串，確定web應用的潛在框架注入漏洞注入點。然后客戶端根據觸發異常響應的隨機字符串在第一響應內容中出現的位置和第一響應內容，生成待閉合的標簽組。接著客戶端根據待閉合的標簽組、web應用對輸入數據處理特點探測規則組和觸發異常響應字符串生成探測代碼，將探測代碼注入到潛在框架注入漏洞注入點后，向web應用發送包括探測代碼的第二探測請求。進一步地，客戶端獲取與第二探測請求對應的第二響應內容，然后根據第二響應內容確定web應用的數據處理特點集合。客戶端根據數據處理特點集合、框架注入漏洞探測規則模板、待閉合的標簽組和觸發異常響應字符串生成框架代碼。進一步地，客戶端將框架代碼注入到潛在框架注入漏洞注入點后，向web應用發送包括框架代碼的第三探測請求。接著獲取與第三探測請求對應的響應內容，當從響應內容中確定框架代碼被執行時，客戶端確定web應用存在框架注入漏洞。