[發明專利]一種檢測httponly防護有效性的方法、系統、設備及介質在審
| 申請號: | 202011313510.6 | 申請日: | 2020-11-20 |
| 公開(公告)號: | CN112464131A | 公開(公告)日: | 2021-03-09 |
| 發明(設計)人: | 劉雁鳴 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F16/958 | 分類號: | G06F16/958;G06F11/36 |
| 代理公司: | 北京連和連知識產權代理有限公司 11278 | 代理人: | 劉小峰;宋薇薇 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 httponly 防護 有效性 方法 系統 設備 介質 | ||
1.一種檢測httponly防護有效性的方法,其特征在于,包括以下步驟:
構造多組測試字符串,并在Cookie參數中加入至少一組所述測試字符串以形成測試參數;
獲取所述Cookie參數中的身份信息,并基于所述身份信息截獲http請求數據包,在所述http請求數據包中加入所述測試參數,并按照原路徑重新發送所述http請求數據包;
響應于檢測到所述http請求數據包的響應,判斷所述響應中是否存在身份信息;以及
響應于所述響應中不存在身份信息,確認所述httponly防護性正常。
2.根據權利要求1所述的方法,其特征在于,所述構造多組測試字符串包括:
構造長度超過第一閾值的第一字符串和/或長度小于第二閾值且由特殊字符組成的第二字符串和/或長度小于第二閾值且由中文和英文組成的第三字符串,所述第一閾值的數量級大于第二閾值的數量級。
3.根據權利要求1所述的方法,其特征在于,所述基于所述身份信息截獲http請求數據包包括:
根據所述身份信息獲取對應請求方法的接口,并基于所述接口截獲http請求數據包。
4.根據權利要求3所述的方法,其特征在于,還包括:
響應于所述響應中存在身份信息,判斷所述身份信息與截獲所述http請求數據包的接口對應的身份信息是否相同;以及
響應于所述身份信息與截獲所述http請求數據包的接口對應的身份信息相同,確認所述httponly防護性異常。
5.一種檢測httponly防護有效性的系統,其特征在于,包括:
構造模塊,配置用于構造多組測試字符串,并在Cookie參數中加入至少一組所述測試字符串以形成測試參數;
截獲模塊,配置用于獲取所述Cookie參數中的身份信息,并基于所述身份信息截獲http請求數據包,在所述http請求數據包中加入所述測試參數,并按照原路徑重新發送所述http請求數據包;
判斷模塊,配置用于響應于檢測到所述http請求數據包的響應,判斷所述響應中是否存在身份信息;以及
確認模塊,配置用于響應于所述響應中不存在身份信息,確認所述httponly防護性正常。
6.根據權利要求5所述的系統,其特征在于,所述構造模塊配置用于:
構造長度超過第一閾值的第一字符串和/或長度小于第二閾值且由特殊字符組成的第二字符串和/或長度小于第二閾值且由中文和英文組成的第三字符串,所述第一閾值的數量級大于第二閾值的數量級。
7.根據權利要求5所述的系統,其特征在于,所述截獲模塊配置用于:
根據所述身份信息獲取對應請求方法的接口,并基于所述接口截獲http請求數據包。
8.根據權利要求7所述的系統,其特征在于,還包括第二判斷模塊,配置用于:
響應于所述響應中存在身份信息,判斷所述身份信息與截獲所述http請求數據包的接口對應的身份信息是否相同;以及
響應于所述身份信息與截獲所述http請求數據包的接口對應的身份信息相同,確認所述httponly防護性異常。
9.一種計算機設備,其特征在于,包括:
至少一個處理器;以及
存儲器,所述存儲器存儲有可在所述處理器上運行的計算機指令,所述指令由所述處理器執行時實現權利要求1-4任意一項所述方法的步驟。
10.一種計算機可讀存儲介質,所述計算機可讀存儲介質存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現權利要求1-4任意一項所述方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011313510.6/1.html,轉載請聲明來源鉆瓜專利網。
