一種被動(dòng)檢查XXE漏洞的方法,涉及信息安全技術(shù)領(lǐng)域，針對(duì)現(xiàn)有技術(shù)中針對(duì)XXE漏洞檢測(cè)的方法存在準(zhǔn)確性低的問題，本發(fā)明通過鏡像網(wǎng)絡(luò)流量被動(dòng)的分析替換驗(yàn)證數(shù)據(jù)包流量，發(fā)現(xiàn)XXE漏洞，為XXE漏洞的檢測(cè)提供了簡(jiǎn)明輕量的解決方法，被動(dòng)式XXE檢測(cè)幫助web服務(wù)器管理員發(fā)現(xiàn)web應(yīng)用中的XXE漏洞，且被動(dòng)式XXE檢測(cè)較主動(dòng)式檢測(cè)有更廣闊的適用范圍，路由器中的流量通常帶有用戶登錄信息，鏡像替換重發(fā)則可以攜帶用戶的token檢測(cè)登錄后的XXE漏洞，是XXE檢測(cè)更周全的解決方案。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體為一種被動(dòng)檢查XXE漏洞的方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來越多的web應(yīng)用件被用于Internet中。對(duì)于Web應(yīng)用軟件而言，是一種借助Internet技術(shù)加以連接的客戶/服務(wù)器軟件，并且可以傳輸數(shù)據(jù)。在市場(chǎng)需求的不斷推動(dòng)下，Web應(yīng)用軟件的種類與數(shù)量也不斷增加，軟件的復(fù)雜程度也不斷增加，軟件的質(zhì)量與安全問題已成為人們?cè)絹碓疥P(guān)注的問題。XXE漏洞就是Web應(yīng)用軟件安全的威脅之一，XXE漏洞全稱XML External Entity Injection，即XML外部實(shí)體注入漏洞，XXE漏洞發(fā)生在應(yīng)用程序解析XML輸入時(shí)，沒有禁止外部實(shí)體的加載，導(dǎo)致可加載惡意外部文件，造成文件讀取、命令執(zhí)行、內(nèi)網(wǎng)端口掃描、發(fā)起dos攻擊等危害。

面對(duì)XXE漏洞對(duì)Web應(yīng)用軟件安全的威脅，管理員卻沒有更好的辦法，通過校驗(yàn)XML文件的DTD(document type definition)中SYSTEM標(biāo)識(shí)符定義的數(shù)據(jù)以防止XXE漏洞，并不容易，也不大可能。大部分的XML解析器默認(rèn)對(duì)于XXE攻擊是脆弱的。因此一種發(fā)現(xiàn)XXE漏洞的方法就十分必要。

面對(duì)XXE漏洞對(duì)Web應(yīng)用軟件安全的威脅，提供一種被動(dòng)式XXE檢測(cè)的方式，即通過鏡像路由器中的POST數(shù)據(jù)包獲取數(shù)據(jù)，修改重放數(shù)據(jù)包，通過監(jiān)控服務(wù)器回顯來簡(jiǎn)單精確的發(fā)現(xiàn)XXE漏洞。

在實(shí)踐中，主動(dòng)式XXE檢測(cè)由于無法自動(dòng)化提供登錄所需的賬號(hào)和密碼信息，所以在面臨一些登錄后才會(huì)觸發(fā)的XXE漏洞利用點(diǎn)上顯得無能無力，而由于通過鏡像分析的交換機(jī)流量一般會(huì)帶有正常登錄后用戶的登錄標(biāo)識(shí)，如有效的cookie或session，所以采用被動(dòng)流量分析結(jié)合XXE漏洞檢測(cè)的方式可以有效解決這部分漏洞發(fā)現(xiàn)的難題。

發(fā)明內(nèi)容

本發(fā)明的目的是：針對(duì)現(xiàn)有技術(shù)中針對(duì)XXE漏洞檢測(cè)的方法存在準(zhǔn)確性低的問題，提出一種被動(dòng)檢查XXE漏洞的方法。

本發(fā)明為了解決上述技術(shù)問題采取的技術(shù)方案是：

一種被動(dòng)檢查XXE漏洞的方法，包括以下步驟：

步驟一：獲取路由器鏡像流量包；

步驟二：從鏡像流量包中提取HTTP協(xié)議流量，分析HTTP數(shù)據(jù)包關(guān)鍵字，篩選出帶有用戶會(huì)話標(biāo)識(shí)的WEB應(yīng)用交換的POST數(shù)據(jù)包；

步驟三：判斷POST數(shù)據(jù)包中是否含有XML標(biāo)簽的數(shù)據(jù)包，若不含有XML標(biāo)簽的數(shù)據(jù)包，則結(jié)束，若含有XML標(biāo)簽的數(shù)據(jù)包，則執(zhí)行步驟四；

步驟四：替換含有XML標(biāo)簽的數(shù)據(jù)包中的DTD模塊，并構(gòu)建外部實(shí)體注入；

步驟五：重新發(fā)送替換后的數(shù)據(jù)包；

步驟六：判斷目標(biāo)服務(wù)器是否引用了實(shí)體注入的內(nèi)容，若目標(biāo)服務(wù)器引用了實(shí)體注入的內(nèi)容，則認(rèn)定為存在漏洞，若目標(biāo)服務(wù)器未引用實(shí)體注入的內(nèi)容，則結(jié)束。

進(jìn)一步的，所述步驟一中獲取web交換數(shù)據(jù)包通過鏡像路由器獲取。

進(jìn)一步的，所述步驟三中判斷POST數(shù)據(jù)包中是否含有XML標(biāo)簽的數(shù)據(jù)包的具體步驟為：首先在POST數(shù)據(jù)包中查找含有XML標(biāo)簽的HTTP網(wǎng)絡(luò)流量，然后通過匹配的方式查找含有XML標(biāo)簽的數(shù)據(jù)包。