本申請提供了一種代碼注入檢測方法、裝置、電子設備及可讀存儲介質，其中，該方法包括：獲取用戶端訪問服務器時產生的HTTP流量中的待檢測字符串；使用第一解碼方式對待檢測字符串進行解碼得到第一字符串；使用第二解碼方式對第一字符串進行解碼得到第二字符串；第一解碼方式對應的第一編碼方式和第二解碼方式對應的第二編碼方式為繞過正則表達式檢測的兩種不同的編碼方式；使用待檢測字符串對應的第三解碼方式對第二字符串進行解碼得到第三字符串；對第三字符串進行PHP代碼語義轉義生成目標特征串；若PHP代碼注入語義特征庫中存在目標特征串，確定本次訪問為PHP代碼注入。通過該方法，有利于提高服務器上數據的安全性。

技術領域

本申請涉及計算機技術領域，尤其是涉及一種代碼注入檢測方法、裝置、電子設備及可讀存儲介質。

背景技術

PHP代碼注入屬于RCE(遠程代碼執行)攻擊的一種，是指應用程序過濾不嚴，攻擊者可以通過用戶端將代碼注入到服務器進行遠程執行，實現對服務器的遠程控制。因此，為了防止攻擊者通過用戶端對服務器進行訪問時將PHP代碼注入到服務器中，服務器需要對用戶端訪問服務器時產生的HTTP流量進行代碼注入檢測，判斷HTTP流量中是否存在代碼注入。

現有技術中，通常使用特征串檢測和正則表達式檢測兩種方式進行代碼注入檢測，其中，特征串檢測是指檢測HTTP流量中是否存在特定的字符串，例如：典型的PHP代碼攻擊中包括的函數。正則表達式變化是指在特征串的基礎上加上通配符、或者改變特征串的順序、在特征串中間加入注釋等干擾性信息(但是干擾性信息對代碼執行沒有影響的內容)。通過正則表達式檢測可以將正則表達式變化后的特征串檢測出來。

但是特征串檢測和正則表達式檢測方式只能檢測已知的PHP代碼注入攻擊，對于變形的PHP代碼(與正則表達式變化不同)注入則無法檢測出來(其中，變形的PHP代碼是指將沒有改變該代碼的功能作用，但是改變了該PHP代碼的邏輯結構等)。因此，現有技術中的正則表達式檢測方式存在對變形的PHP代碼注入檢測易繞過的問題，會導致服務器上的數據安全性較低。

發明內容

有鑒于此，本申請的目的在于提供一種代碼注入檢測方法、裝置、電子設備及可讀存儲介質，有利于在一定程度上解決對變形的PHP代碼注入檢測易繞過的問題，提高服務器上數據的安全性。

第一方面，本申請實施例提供了一種代碼注入檢測方法，包括：

獲取用戶端訪問服務器時產生的HTTP流量中的指定字段，以將所述指定字段作為待檢測字符串；

使用第一解碼方式對所述待檢測字符串進行第一解碼，將第一解碼結果作為第一字符串；所述第一解碼方式對應的編碼方式為第一編碼方式；

使用第二解碼方式對所述第一字符串進行第二解碼，將第二解碼結果作為第二字符串；其中，所述第二解碼方式對應的編碼方式為第二編碼方式；所述第一編碼方式和所述第二編碼方式為繞過正則表達式檢測的兩種不同的編碼方式；

使用所述待檢測字符串對應的第三解碼方式對所述第二字符串進行第三解碼，得到第三字符串；

對所述第三字符串中的每個關鍵字進行PHP代碼語義轉義，生成所述第三字符串對應的目標特征串；

在PHP代碼注入語義特征庫中進行查詢，若所述PHP代碼注入語義特征庫中存在所述目標特征串，則確定本次訪問為PHP代碼注入。

結合第一方面，本申請實施例提供了第一方面的第一種可能的實施方式，其中，所述獲取用戶端訪問服務器時產生的HTTP流量中的指定字段，以將所述指定字段作為待檢測字符串之前，還包括：

獲取所述用戶端訪問所述服務器時產生的所述HTTP流量；所述HTTP流量包括訪問流量和響應流量；

使用HTTP協議對所述HTTP流量進行解析，得到目標字段；所述目標字段中包含多個所述指定字段。