本發(fā)明提供一種走私攻擊測(cè)試方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，考慮反向代理服務(wù)器和后端服務(wù)器各自的請(qǐng)求解析方式，構(gòu)建HTTP請(qǐng)求，由反向代理服務(wù)器正常識(shí)別該HTTP請(qǐng)求，而后端服務(wù)器則將該HTTP請(qǐng)求拆解至兩個(gè)HTTP請(qǐng)求中，以此污染正常的HTTP請(qǐng)求，干擾網(wǎng)站處理一個(gè)或多個(gè)用戶的HTTP請(qǐng)求序列，實(shí)現(xiàn)HTTP走私攻擊。由此，輔助網(wǎng)絡(luò)安全滲透測(cè)試人員進(jìn)行安全測(cè)試，及時(shí)彌補(bǔ)測(cè)試漏洞，避免被攻擊者利用。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，更具體地說，涉及一種走私攻擊測(cè)試方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

在現(xiàn)代基于云的應(yīng)用程序中，為提升用戶的瀏覽速度，減輕服務(wù)器的負(fù)擔(dān)，許多網(wǎng)站都已應(yīng)用CDN加速服務(wù)，即“客戶端-反向代理服務(wù)器-后端服務(wù)器”的體系架構(gòu)。

但多數(shù)代理服務(wù)器和后端服務(wù)器在配置和解析HTTP請(qǐng)求的過程是不一致的，這種類型的機(jī)制雖然原始目的在于提升用戶訪問速度和Web應(yīng)用的安全性，但其中服務(wù)器的差異性也會(huì)帶來安全風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

有鑒于此，為解決上述問題，本發(fā)明提供一種走私攻擊測(cè)試方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，技術(shù)方案如下：

本發(fā)明一方面提供一種走私攻擊測(cè)試方法，所述方法包括：

獲取目標(biāo)應(yīng)用程序?qū)?yīng)的反向代理服務(wù)器和后端服務(wù)器各自的請(qǐng)求解析方式；

基于所述反向代理服務(wù)器和所述后端服務(wù)器各自的請(qǐng)求解析方式，構(gòu)建HTTP請(qǐng)求，所述HTTP請(qǐng)求的請(qǐng)求頭包含表征實(shí)體長度的第一字段和/或表征傳輸編碼的第二字段；

將所述HTTP請(qǐng)求發(fā)送至所述反向代理服務(wù)器，以實(shí)現(xiàn)：

所述反向代理服務(wù)器按照第一目標(biāo)字段識(shí)別所述HTTP請(qǐng)求，并在識(shí)別正常的情況下轉(zhuǎn)發(fā)所述HTTP請(qǐng)求至所述后端服務(wù)器；所述后端服務(wù)器按照第二目標(biāo)字段識(shí)別所述HTTP請(qǐng)求，并在所述HTTP請(qǐng)求拆解至兩個(gè)HTTP請(qǐng)求中的情況下報(bào)錯(cuò)，所述第一目標(biāo)字段包括所述第一字段或者所述第二字段，所述第二目標(biāo)字段包括所述第一字段或者所述第二字段。

可選的，所述構(gòu)建HTTP請(qǐng)求，包括：

構(gòu)建包含一個(gè)所述第一字段的第一HTTP請(qǐng)求；

相應(yīng)的，所述反向代理服務(wù)器按照第一目標(biāo)字段識(shí)別所述HTTP請(qǐng)求，包括：

所述反向代理服務(wù)器按照所述第一字段識(shí)別所述第一HTTP請(qǐng)求；

相應(yīng)的，所述后端服務(wù)器按照第二目標(biāo)字段識(shí)別所述HTTP請(qǐng)求，并在所述HTTP請(qǐng)求拆解至兩個(gè)HTTP請(qǐng)求中的情況下報(bào)錯(cuò)，包括：

所述后端服務(wù)器以忽略所述第一字段識(shí)別的方式識(shí)別所述第一HTTP請(qǐng)求，并將所述第一HTTP請(qǐng)求拆解為兩個(gè)正常的子HTTP請(qǐng)求；響應(yīng)每個(gè)子HTTP請(qǐng)求，在響應(yīng)內(nèi)容中包含未授權(quán)內(nèi)容的情況下報(bào)錯(cuò)。

可選的，所述構(gòu)建HTTP請(qǐng)求，包括：

構(gòu)建包含兩個(gè)所述第一字段的第二HTTP請(qǐng)求，兩個(gè)所述第一字段的內(nèi)容不相同；

相應(yīng)的，所述反向代理服務(wù)器按照第一目標(biāo)字段識(shí)別所述HTTP請(qǐng)求，包括：

所述反向代理服務(wù)器按照其中一個(gè)所述第一字段識(shí)別所述第二HTTP請(qǐng)求；

相應(yīng)的，所述后端服務(wù)器按照第二目標(biāo)字段識(shí)別所述HTTP請(qǐng)求，包括：

所述后端服務(wù)器按照另一個(gè)所述第一字段識(shí)別所述第二HTTP請(qǐng)求。

可選的，所述構(gòu)建HTTP請(qǐng)求，包括：

構(gòu)建包含一個(gè)所述第一字段和一個(gè)所述第二字段的第三HTTP請(qǐng)求；