[發(fā)明專利]一種SQL注入漏洞批量檢測的方法及裝置在審

申請?zhí)枺?/td>	202011547044.8	申請日：	2020-12-24
公開（公告）號：	CN112699373A	公開（公告）日：	2021-04-23
發(fā)明（設(shè)計）人：	謝吉倫;薛念明;魏光玉;張明巖;林秀;徐冉;王軍建;劉濤;張強(qiáng);邊莉;馬玉潔	申請（專利權(quán)）人：	山東魯能軟件技術(shù)有限公司
主分類號：	G06F21/57	分類號：	G06F21/57;G06F16/242;G06F16/955
代理公司：	北京元本知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11308	代理人：	李斌
地址：	250001 山東省濟(jì)南市高***	國省代碼：	山東;37
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種 sql 注入漏洞批量檢測方法裝置
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種SQL注入漏洞批量檢測的方法，其特征在于，包括：

根據(jù)用戶配置的過濾規(guī)則，獲取所有客戶端與服務(wù)器通信的所有目標(biāo)請求數(shù)據(jù)；

通過對所述所有目標(biāo)請求數(shù)據(jù)進(jìn)行SQL注入漏洞批量檢測處理，得到所述每個有效目標(biāo)請求數(shù)據(jù)對應(yīng)的SQL注入漏洞檢測結(jié)果文件；

通過對所述每個SQL注入漏洞檢測結(jié)果文件進(jìn)行解析，判斷所述SQL注入漏洞檢測結(jié)果文件中是否存在SQL注入漏洞；

當(dāng)判斷所述SQL注入漏洞檢測結(jié)果文件中存在SQL注入漏洞時，根據(jù)所述SQL注入漏洞檢測結(jié)果文件進(jìn)行精準(zhǔn)SQL注入漏洞的定位。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述獲取所有客戶端與服務(wù)器通信的所有目標(biāo)請求數(shù)據(jù)之后，還包括：

通過分別對所述每個目標(biāo)請求數(shù)據(jù)進(jìn)行分析處理，提取所述每個目標(biāo)請求數(shù)據(jù)中的會話信息；

判斷所述每個目標(biāo)請求數(shù)據(jù)中的會話信息是否為有效會話信息；

當(dāng)判斷所述目標(biāo)請求數(shù)據(jù)中的會話信息為無效會話信息時，則將所述目標(biāo)請求數(shù)據(jù)中的無效會話信息替換為有效會話信息。

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述過濾規(guī)則包括域名過濾、請求類型過濾及返回代碼過濾；其中，所述域名過濾包括一級域名過濾和二級域名過濾；所述類型過濾是指根據(jù)請求頭信息進(jìn)行過濾，其包括僅顯示URL中包含指定字符串的請求、僅隱藏URL中包含指定字符串的請求以及標(biāo)記帶有特定header的請求；所述返回代碼過濾是指根據(jù)服務(wù)器響應(yīng)類型進(jìn)行過濾，其包括圖片類型、HTML類型、TEXT/CSS類型、SCRIPTS類型、JSON、XML等方式。

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取所有客戶端與服務(wù)器通信的所有目標(biāo)請求數(shù)據(jù)包括：

利用SmartFiddler代理工具對所有客戶端與服務(wù)器的通信進(jìn)行監(jiān)聽，記錄并保存所有客戶端與服務(wù)器通信的所有目標(biāo)請求數(shù)據(jù)。

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述通過對所述所有目標(biāo)請求數(shù)據(jù)進(jìn)行SQL注入漏洞批量檢測處理，得到所述每個有效目標(biāo)請求數(shù)據(jù)對應(yīng)的SQL注入漏洞檢測結(jié)果文件包括：

利用配置有檢測規(guī)則和配置文件的集成SQLMAP漏洞檢測工具對所述所有目標(biāo)請求數(shù)據(jù)進(jìn)行SQL注入漏洞批量檢測處理，得到所述每個有效目標(biāo)請求數(shù)據(jù)對應(yīng)的SQL注入漏洞檢測結(jié)果文件。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述檢測規(guī)則包括默認(rèn)檢測規(guī)則和自定義檢測規(guī)則；其中，所述默認(rèn)檢測規(guī)則包括基于布爾的盲注、基于時間的盲注、基于報錯注入、聯(lián)合查詢注入及堆查詢注入。

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述通過對所述每個SQL注入漏洞檢測結(jié)果文件進(jìn)行解析，判斷所述SQL注入漏洞檢測結(jié)果文件中是否存在SQL注入漏洞包括：

通過對所述每個SQL注入漏洞檢測結(jié)果文件進(jìn)行解析，提取所述SQL注入漏洞檢測結(jié)果文件中的SQL注入點(diǎn)標(biāo)簽信息；

根據(jù)所述SQL注入點(diǎn)標(biāo)簽信息，判斷所述SQL注入漏洞檢測結(jié)果文件中是否存在SQL注入漏洞。

8.一種SQL注入漏洞批量檢測的裝置，其特征在于，包括：

獲取模塊，用于根據(jù)用戶配置的過濾規(guī)則，獲取所有客戶端與服務(wù)器通信的所有目標(biāo)請求數(shù)據(jù)；

檢測模塊，用于通過對所述所有目標(biāo)請求數(shù)據(jù)進(jìn)行SQL注入漏洞批量檢測處理，得到所述每個有效目標(biāo)請求數(shù)據(jù)對應(yīng)的SQL注入漏洞檢測結(jié)果文件；

判斷模塊，用于通過對所述每個SQL注入漏洞檢測結(jié)果文件進(jìn)行解析，判斷所述SQL注入漏洞檢測結(jié)果文件中是否存在SQL注入漏洞；

定位模塊，用于當(dāng)判斷所述SQL注入漏洞檢測結(jié)果文件中存在SQL注入漏洞時，根據(jù)所述SQL注入漏洞檢測結(jié)果文件進(jìn)行精準(zhǔn)SQL注入漏洞的定位。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費(fèi)下載。

免登錄下載普通用戶下載升級VIP會員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于山東魯能軟件技術(shù)有限公司，未經(jīng)山東魯能軟件技術(shù)有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202011547044.8/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。

上一篇：一種加工機(jī)床
下一篇：一種混凝土預(yù)制件生產(chǎn)加工用混凝土攪拌裝置

同類專利

專利分類

G 物理

G06 計算；推算；計數(shù)
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計算機(jī)或計算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備，如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程

免登錄下載普通用戶下載升級VIP會員，免費(fèi)下載

專利文獻(xiàn)下載

說明：

1、專利原文基于中國國家知識產(chǎn)權(quán)局專利說明書；

2、支持發(fā)明專利、實(shí)用新型專利、外觀設(shè)計專利（升級中）；

3、專利數(shù)據(jù)每周兩次同步更新，支持Adobe PDF格式；

4、內(nèi)容包括專利技術(shù)的結(jié)構(gòu)示意圖、流程工藝圖或技術(shù)構(gòu)造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進(jìn)行下載，點(diǎn)擊【登陸】【注冊】