一種主動檢查XXE漏洞的方法,涉及信息安全技術領域，針對現有技術中針對XXE漏洞檢測的方法存在準確性低的問題，本發明通過瀏覽器爬蟲技術爬取瀏覽器數據包主動自動的分析替換驗證數據包流量，發現XXE漏洞，為XXE漏洞的檢測提供了簡明的解決方法，幫助web服務器管理員發現web應用中的XXE漏洞，防止惡意用戶利用該漏洞對web應用造成的損失。是一種簡單可用好用的漏洞檢測解決方案，XXE漏洞檢測準確率高。

技術領域

本發明涉及信息安全技術領域，具體為一種主動檢查XXE漏洞的方法。

背景技術

隨著網絡技術的快速發展，越來越多的web應用件被用于Internet中。對于Web應用軟件而言，是一種借助Internet技術加以連接的客戶/服務器軟件，并且可以傳輸數據。在市場需求的不斷推動下，Web應用軟件的種類與數量也不斷增加，軟件的復雜程度也不斷增加，軟件的質量與安全問題已成為人們越來越關注的問題。XXE漏洞就是Web應用軟件安全的威脅之一，XXE漏洞全稱XML External Entity Injection，即XML外部實體注入漏洞，XXE漏洞發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件，造成文件讀取、命令執行、內網端口掃描、發起dos攻擊等危害。

面對XXE漏洞對Web應用軟件安全的威脅，管理員卻沒有更好的辦法，通過校驗XML文件的DTD(document type definition)中SYSTEM標識符定義的數據以防止XXE漏洞，并不容易，也不大可能。大部分的XML解析器默認對于XXE攻擊是脆弱的。因此一種發現XXE漏洞的方法就十分必要。

面對XXE漏洞對Web應用軟件安全的威脅，提供一種主動式XXE檢測的方式，即通過瀏覽器爬蟲功能爬取瀏覽器與服務器交換的數據包，檢測并修改包含有xml請求的數據包，植入payload引入外部實體后模擬發出請求，從而通過檢測服務器對該實體的解析情況來主動精確的判斷XXE漏洞的存在。

發明內容

本發明的目的是：針對現有技術中針對XXE漏洞檢測的方法存在準確性低的問題，提出一種被動檢查XXE漏洞的方法。

本發明為了解決上述技術問題采取的技術方案是：

一種主動檢查XXE漏洞的方法，包括以下步驟：

步驟一：獲取瀏覽器的HTTP數據包；

步驟二：判斷HTTP數據包中是否含有XML標簽的網絡流量，若HTTP數據包中不含有XML標簽的網絡流量，則結束，若HTTP數據包中含有XML標簽的網絡流量，則執行步驟三；

步驟三：替換含有XML標簽的網絡流量中的內容，并構建外部實體注入；

步驟四：通過判定實體注入的內容中是否存在來自待檢測目標主動發起的外部http請求判定是否含有XXE漏洞。

進一步的，所述步驟一中瀏覽器的HTTP數據包通過瀏覽器爬蟲獲取。

進一步的，所述步驟一的具體步驟為：輸入待檢測的目標，然后驅動瀏覽器模擬點擊所有可能的超鏈接或觸發其他瀏覽器的點擊事件，獲取客戶端與服務端交互的所有HTTP數據包。

進一步的，所述步驟三中替換含有XML標簽的網絡流量中的內容，并構建外部實體注入通過下列方式中任一方式進行：

方式一：直接DTD外部實體聲明；

方式二：通過DTD文檔引入外部DTD文檔，再引入外部實體聲明；

方式三：通過DTD外部實體聲明引入外部實體聲明。

進一步的，所述外部實體注入的內容為本地服務器的HTTPLOG鏈接。