午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)與流程

文檔序號(hào):39716285發(fā)布日期:2024-10-22 13:02閱讀:2來(lái)源:國(guó)知局
一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)與流程

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。


背景技術(shù):

1、在網(wǎng)絡(luò)安全領(lǐng)域,自動(dòng)化漏洞掃描已經(jīng)成為常規(guī)檢測(cè)手段。這些技術(shù)主要聚焦于如何檢測(cè)文件上傳接口是否存在漏洞,能否成功上傳并被解析使其可利用。如,目前的大部分方法是獲取上傳接口的上傳表單接口報(bào)文,通過(guò)修改報(bào)文中的參數(shù)和測(cè)試載荷檢測(cè)漏洞是否存在。這樣的方法遺漏了非常規(guī)的文件上傳接口檢測(cè),導(dǎo)致文件上傳漏洞檢測(cè)不具有全面性。

2、因此,如何保證文件上傳漏洞檢測(cè)的全面性是當(dāng)前亟需解決的問(wèn)題。


技術(shù)實(shí)現(xiàn)思路

1、有鑒于此,本發(fā)明的目的在于提供一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì),解決了現(xiàn)有技術(shù)中文件上傳漏洞檢測(cè)不全面的問(wèn)題。

2、為解決上述技術(shù)問(wèn)題,本發(fā)明提供了一種文件上傳漏洞的檢測(cè)方法,包括:

3、對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描,獲取所述目標(biāo)網(wǎng)站的所有接口請(qǐng)求;

4、對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求,基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊;

5、對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊;所述非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典;

6、根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞。

7、可選的,對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求,基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊,包括:

8、對(duì)所述表單請(qǐng)求進(jìn)行解析,得到參數(shù);

9、基于所述表單攻擊載荷字典修改所述參數(shù),實(shí)現(xiàn)對(duì)所述目標(biāo)網(wǎng)站的表單載荷攻擊。

10、可選的,在對(duì)所述表單請(qǐng)求進(jìn)行解析,得到參數(shù)之后,還包括:

11、將所述參數(shù)添加到所述非表單攻擊載荷字典中,和/或,根據(jù)所述參數(shù)修改所述非表單攻擊載荷字典,得到優(yōu)化后的非表單攻擊載荷字典;

12、相應(yīng)的,所述對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊,包括:

13、對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求,基于所述優(yōu)化后的非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊。

14、可選的,對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊,包括:

15、對(duì)所述非表單請(qǐng)求進(jìn)行特征提取,得到url的結(jié)構(gòu)和參數(shù)模式;

16、利用模式匹配技術(shù),將所述url的結(jié)構(gòu)和參數(shù)模式與所述非表單攻擊載荷字典進(jìn)行匹配,得到目標(biāo)非表單請(qǐng)求;

17、對(duì)于所述目標(biāo)非表單請(qǐng)求,基于所述非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊。

18、可選的,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊,包括:

19、根據(jù)所述非表單攻擊載荷字典和所述目標(biāo)網(wǎng)站的后端技術(shù)調(diào)整測(cè)試載荷,根據(jù)調(diào)整后的測(cè)試載荷對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊。

20、可選的,根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞,包括:

21、識(shí)別所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果中的響應(yīng)狀態(tài)碼、響應(yīng)內(nèi)容和返回路徑,綜合判斷所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞。

22、可選的,在根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞之后,還包括:

23、從所述結(jié)果的響應(yīng)包中獲取返回路徑;

24、根據(jù)常用路徑、目錄和所述返回路徑訪問(wèn)文件,在訪問(wèn)文件時(shí)能夠檢測(cè)到測(cè)試載荷,則文件上傳成功,驗(yàn)證得到所述目標(biāo)網(wǎng)站存在文件上傳漏洞。

25、本發(fā)明還提供了一種文件上傳漏洞的檢測(cè)裝置,包括:

26、接口請(qǐng)求獲取模塊,用于對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描,獲取所述目標(biāo)網(wǎng)站的所有接口請(qǐng)求;

27、表單攻擊測(cè)試模塊,用于對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求,基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊;

28、非表單攻擊測(cè)試模塊,用于對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊;所述非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典;

29、判斷模塊,用于根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞。

30、本發(fā)明還提供了一種文件上傳漏洞的檢測(cè)設(shè)備,包括:

31、存儲(chǔ)器,用于存儲(chǔ)計(jì)算機(jī)程序;

32、處理器,用于執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)上述的文件上傳漏洞的檢測(cè)方法的步驟。

33、本發(fā)明還提供了一種存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令,所述計(jì)算機(jī)可執(zhí)行指令被處理器加載并執(zhí)行時(shí),實(shí)現(xiàn)上述的文件上傳漏洞的檢測(cè)方法的步驟。

34、可見,本發(fā)明通過(guò)對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描,獲取目標(biāo)網(wǎng)站的所有接口請(qǐng)求;對(duì)于接口請(qǐng)求中的表單請(qǐng)求,基于表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊;對(duì)于接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊;非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典;根據(jù)表單載荷攻擊的結(jié)果和非表單載荷攻擊的結(jié)果確定目標(biāo)網(wǎng)站是否存在文件上傳漏洞。本發(fā)明不局限于表單請(qǐng)求,通過(guò)掃描和分析網(wǎng)站的所有接口請(qǐng)求,對(duì)接口請(qǐng)求進(jìn)行分類處理,提升文件上傳漏洞檢測(cè)的效率、準(zhǔn)確性和全面性。特別是在自動(dòng)化漏洞測(cè)試的環(huán)境下,有效識(shí)別和處理后臺(tái)管理系統(tǒng)或未經(jīng)授權(quán)的上傳接口,完善了自動(dòng)化漏洞掃描的檢測(cè)效果。并且能夠識(shí)別更多類型的潛在安全風(fēng)險(xiǎn),提高安全防護(hù)的全面性和深度。

35、此外,本發(fā)明還提供了一種文件上傳漏洞的檢測(cè)裝置、設(shè)備及存儲(chǔ)介質(zhì),同樣具有上述有益效果。



技術(shù)特征:

1.一種文件上傳漏洞的檢測(cè)方法,其特征在于,包括:

2.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法,其特征在于,對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求,基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊,包括:

3.根據(jù)權(quán)利要求2所述的文件上傳漏洞的檢測(cè)方法,其特征在于,在對(duì)所述表單請(qǐng)求進(jìn)行解析,得到參數(shù)之后,還包括:

4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的文件上傳漏洞的檢測(cè)方法,其特征在于,對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊,包括:

5.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法,其特征在于,基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊,包括:

6.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法,其特征在于,根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞,包括:

7.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法,其特征在于,在根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞之后,還包括:

8.一種文件上傳漏洞的檢測(cè)裝置,其特征在于,包括:

9.一種文件上傳漏洞的檢測(cè)設(shè)備,其特征在于,包括:

10.一種存儲(chǔ)介質(zhì),其特征在于,所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令,所述計(jì)算機(jī)可執(zhí)行指令被處理器加載并執(zhí)行時(shí),實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述的文件上傳漏洞的檢測(cè)方法的步驟。


技術(shù)總結(jié)
本發(fā)明公開了一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì),應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,包括:對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描,獲取目標(biāo)網(wǎng)站的所有接口請(qǐng)求;對(duì)于接口請(qǐng)求中的表單請(qǐng)求,基于表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊;對(duì)于接口請(qǐng)求中的非表單請(qǐng)求,基于非表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊;非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典;根據(jù)攻擊結(jié)果確定目標(biāo)網(wǎng)站是否存在文件上傳漏洞。本發(fā)明通過(guò)全面掃描和分析網(wǎng)站的所有接口請(qǐng)求,對(duì)接口請(qǐng)求進(jìn)行分類處理,有效識(shí)別和處理后臺(tái)管理系統(tǒng)或未經(jīng)授權(quán)的上傳接口,完善了自動(dòng)化漏洞掃描的檢測(cè)效果,提升了文件上傳漏洞檢測(cè)的效率、準(zhǔn)確性和全面性。

技術(shù)研發(fā)人員:趙旭,王欣
受保護(hù)的技術(shù)使用者:杭州安恒信息技術(shù)股份有限公司
技術(shù)研發(fā)日:
技術(shù)公布日:2024/10/21
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1