[發明專利]用于文件上傳漏洞的檢測方法和檢測裝置有效
| 申請號: | 202110397528.7 | 申請日: | 2021-04-13 |
| 公開(公告)號: | CN113114680B | 公開(公告)日: | 2023-04-07 |
| 發明(設計)人: | 吳鴻霖;呂博良;卓越;姜城 | 申請(專利權)人: | 中國工商銀行股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L67/06 |
| 代理公司: | 中科專利商標代理有限責任公司 11021 | 代理人: | 趙婷 |
| 地址: | 100140 北*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 用于 文件 上傳 漏洞 檢測 方法 裝置 | ||
1.一種用于文件上傳漏洞的檢測方法,包括:
獲取網站的訪問請求;
當所述訪問請求為文件上傳請求時,基于所述訪問請求構造至少一個漏洞攻擊報文,其中,通過以下至少兩種方式獲得至少一個所述漏洞攻擊報文:使用測試用文件擴展名替換所述訪問請求的報文中的文件擴展名;根據所述訪問請求的報文中的文件擴展名,生成與該文件擴展名對應的惡意代碼,并將該惡意代碼插入到所述訪問請求的報文中的文件信息中;或者,根據所述訪問請求的報文中的文件擴展名,生成一個文件大小大于預定值的具有該文件擴展名的上傳文件,并以該上傳文件替換所述訪問請求的報文中的文件;
將所述漏洞攻擊報文發送至所述網站,以獲得所述網站針對所述漏洞攻擊報文反饋的測試響應報文;
比較所述測試響應報文與原始響應報文的格式及大小,其中,所述原始響應報文為所述網站針對所述訪問請求反饋的響應報文;以及
當比較結果表征所述測試響應報文與所述原始響應報文的差異性滿足預定條件時,確定所述網站存在漏洞,并根據所述漏洞攻擊報文的獲得方式,確定所述網站所存在的漏洞的類型和/或漏洞的內容;其中,所述預定條件包括所述測試響應報文與所述原始響應報文的格式一致,且所述測試響應報文和所述原始響應報文的差異度小于或等于閾值。
2.根據權利要求1所述的方法,其中,所述比較所述測試響應報文與原始響應報文還包括:
在所述測試響應報文和所述原始響應報文的格式及大小均一致時,根據報文的格式計算所述差異度。
3.根據權利要求2所述的方法,其中,所述根據報文的格式計算所述差異度包括:
當報文的格式為HTML時,根據所述測試響應報文和所述原始響應報文的DOM樹和CSS-DOM樹的編輯距離計算所述差異度;
當報文的格式為XML時,根據所述原始響應報文和所述測試響應報文的DOM樹的編輯距離計算所述差異度;或者
當報文的格式為字符串或二進制數據時,根據所述原始響應報文和所述測試響應報文的SimHash值計算所述差異度。
4.根據權利要求2所述的方法,其中,所述方法還包括:
當比較結果表征所述測試響應報文和所述原始響應報文的格式或大小至少一項不一致時,確定所述網站不存在漏洞。
5.根據權利要求2所述的方法,其中,所述方法還包括:
當所述差異度大于所述閾值時,確定所述網站不存在漏洞。
6.根據權利要求1所述的方法,其中,在所述替換所述訪問請求的報文中的文件擴展名之前,所述方法還包括:
獲取用于替換所述訪問請求的報文中的文件擴展名的至少一個測試用文件擴展名,包括以如下至少一種方式獲得所述測試用文件擴展名:
收集漏洞測試的常用擴展名;
利用所述訪問請求的報文中的文件擴展名,按照預定規則智能構造特殊擴展名;或者
將所述訪問請求的報文中的文件擴展名與所述常用擴展名和/或所述特殊擴展名組合,形成新的擴展名。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國工商銀行股份有限公司,未經中國工商銀行股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110397528.7/1.html,轉載請聲明來源鉆瓜專利網。
