本發明公開了一種檢測httponly防護有效性的方法、系統、設備和存儲介質，方法包括：構造多組測試字符串，并在Cookie參數中加入至少一組測試字符串以形成測試參數；獲取Cookie參數中的身份信息，并基于身份信息截獲http請求數據包，在http請求數據包中加入測試參數，并按照原路徑重新發送http請求數據包；響應于檢測到http請求數據包的響應，判斷響應中是否存在身份信息；以及響應于響應中不存在身份信息，確認httponly防護性正常。本發明通過在Cookie參數中加入測試字符串以測試httponly防護有效性，方法簡便且準確率高。

技術領域

本發明涉及信息安全領域，更具體地，特別是指一種檢測httponly防護有效性的方法、系統、計算機設備及可讀介質。

背景技術

cookie：是某些網站為了辨別用戶身份，進行Session(會話)跟蹤而儲存在用戶本地終端上的數據(通常經過加密)，由用戶客戶端計算機暫時或永久保存的信息。XSS漏洞：跨站腳本攻擊，是Web(網頁)程序中常見的漏洞，其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)惡意的HTML(Hypertext Markup Language，超文本標記語言)代碼，當其它用戶瀏覽該網站時，這段HTML代碼會自動執行，從而達到攻擊的目的，常用來進行網站cookie竊取。httponly：cookie的一種屬性，設置后，js腳本將無法讀取到cookie信息，常用來防護利用XSS漏洞來竊取cookie的行為，但此時js腳本可以對cookie進行寫操作。

對web系統進行滲透測試的場景中，如果發現XSS漏洞，經常會通過js獲取cookie后外發進行網站身份信息竊取。有時web站點會對cookie設置httponly的安全配置選項，此時js就無法正常方式讀取cookie信息，從而使這一攻擊手段失效。但在有些異常場景下，仍可通過非社會工程學方法來竊取cookie。

發明內容

有鑒于此，本發明實施例的目的在于提出一種檢測httponly防護有效性的方法、系統、計算機設備及計算機可讀存儲介質，通過在Cookie參數中加入測試字符串以測試httponly防護有效性，方法簡便且準確率高。

基于上述目的，本發明實施例的一方面提供了一種檢測httponly防護有效性的方法，包括如下步驟：構造多組測試字符串，并在Cookie參數中加入至少一組所述測試字符串以形成測試參數；獲取所述Cookie參數中的身份信息，并基于所述身份信息截獲http請求數據包，在所述http請求數據包中加入所述測試參數，并按照原路徑重新發送所述http請求數據包；響應于檢測到所述http請求數據包的響應，判斷所述響應中是否存在身份信息；以及響應于所述響應中不存在身份信息，確認所述httponly防護性正常。

在一些實施方式中，所述構造多組測試字符串包括：構造長度超過第一閾值的第一字符串和/或長度小于第二閾值且由特殊字符組成的第二字符串和/或長度小于第二閾值且由中文和英文組成的第三字符串，所述第一閾值的數量級大于第二閾值的數量級。

在一些實施方式中，所述基于所述身份信息截獲http請求數據包包括：根據所述身份信息獲取對應請求方法的接口，并基于所述接口截獲http請求數據包。

在一些實施方式中，方法還包括：響應于所述響應中存在身份信息，判斷所述身份信息與截獲所述http請求數據包的接口對應的身份信息是否相同；以及響應于所述身份信息與截獲所述http請求數據包的接口對應的身份信息相同，確認所述httponly防護性異常。