本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、在網(wǎng)絡(luò)安全領(lǐng)域，自動(dòng)化漏洞掃描已經(jīng)成為常規(guī)檢測(cè)手段。這些技術(shù)主要聚焦于如何檢測(cè)文件上傳接口是否存在漏洞，能否成功上傳并被解析使其可利用。如，目前的大部分方法是獲取上傳接口的上傳表單接口報(bào)文，通過(guò)修改報(bào)文中的參數(shù)和測(cè)試載荷檢測(cè)漏洞是否存在。這樣的方法遺漏了非常規(guī)的文件上傳接口檢測(cè)，導(dǎo)致文件上傳漏洞檢測(cè)不具有全面性。

2、因此，如何保證文件上傳漏洞檢測(cè)的全面性是當(dāng)前亟需解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，解決了現(xiàn)有技術(shù)中文件上傳漏洞檢測(cè)不全面的問(wèn)題。

2、為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種文件上傳漏洞的檢測(cè)方法，包括：

3、對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描，獲取所述目標(biāo)網(wǎng)站的所有接口請(qǐng)求；

4、對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求，基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊；

5、對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊；所述非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典；

6、根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞。

7、可選的，對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求，基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊，包括：

8、對(duì)所述表單請(qǐng)求進(jìn)行解析，得到參數(shù)；

9、基于所述表單攻擊載荷字典修改所述參數(shù)，實(shí)現(xiàn)對(duì)所述目標(biāo)網(wǎng)站的表單載荷攻擊。

10、可選的，在對(duì)所述表單請(qǐng)求進(jìn)行解析，得到參數(shù)之后，還包括：

11、將所述參數(shù)添加到所述非表單攻擊載荷字典中，和/或，根據(jù)所述參數(shù)修改所述非表單攻擊載荷字典，得到優(yōu)化后的非表單攻擊載荷字典；

12、相應(yīng)的，所述對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊，包括：

13、對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求，基于所述優(yōu)化后的非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊。

14、可選的，對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊，包括：

15、對(duì)所述非表單請(qǐng)求進(jìn)行特征提取，得到url的結(jié)構(gòu)和參數(shù)模式；

16、利用模式匹配技術(shù)，將所述url的結(jié)構(gòu)和參數(shù)模式與所述非表單攻擊載荷字典進(jìn)行匹配，得到目標(biāo)非表單請(qǐng)求；

17、對(duì)于所述目標(biāo)非表單請(qǐng)求，基于所述非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊。

18、可選的，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊，包括：

19、根據(jù)所述非表單攻擊載荷字典和所述目標(biāo)網(wǎng)站的后端技術(shù)調(diào)整測(cè)試載荷，根據(jù)調(diào)整后的測(cè)試載荷對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊。

20、可選的，根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞，包括：

21、識(shí)別所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果中的響應(yīng)狀態(tài)碼、響應(yīng)內(nèi)容和返回路徑，綜合判斷所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞。

22、可選的，在根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞之后，還包括：

23、從所述結(jié)果的響應(yīng)包中獲取返回路徑；

24、根據(jù)常用路徑、目錄和所述返回路徑訪問(wèn)文件，在訪問(wèn)文件時(shí)能夠檢測(cè)到測(cè)試載荷，則文件上傳成功，驗(yàn)證得到所述目標(biāo)網(wǎng)站存在文件上傳漏洞。

25、本發(fā)明還提供了一種文件上傳漏洞的檢測(cè)裝置，包括：

26、接口請(qǐng)求獲取模塊，用于對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描，獲取所述目標(biāo)網(wǎng)站的所有接口請(qǐng)求；

27、表單攻擊測(cè)試模塊，用于對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求，基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊；

28、非表單攻擊測(cè)試模塊，用于對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊；所述非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典；

29、判斷模塊，用于根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞。

30、本發(fā)明還提供了一種文件上傳漏洞的檢測(cè)設(shè)備，包括：

31、存儲(chǔ)器，用于存儲(chǔ)計(jì)算機(jī)程序；

32、處理器，用于執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)上述的文件上傳漏洞的檢測(cè)方法的步驟。

33、本發(fā)明還提供了一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令，所述計(jì)算機(jī)可執(zhí)行指令被處理器加載并執(zhí)行時(shí)，實(shí)現(xiàn)上述的文件上傳漏洞的檢測(cè)方法的步驟。

34、可見，本發(fā)明通過(guò)對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描，獲取目標(biāo)網(wǎng)站的所有接口請(qǐng)求；對(duì)于接口請(qǐng)求中的表單請(qǐng)求，基于表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊；對(duì)于接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊；非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典；根據(jù)表單載荷攻擊的結(jié)果和非表單載荷攻擊的結(jié)果確定目標(biāo)網(wǎng)站是否存在文件上傳漏洞。本發(fā)明不局限于表單請(qǐng)求，通過(guò)掃描和分析網(wǎng)站的所有接口請(qǐng)求，對(duì)接口請(qǐng)求進(jìn)行分類處理，提升文件上傳漏洞檢測(cè)的效率、準(zhǔn)確性和全面性。特別是在自動(dòng)化漏洞測(cè)試的環(huán)境下，有效識(shí)別和處理后臺(tái)管理系統(tǒng)或未經(jīng)授權(quán)的上傳接口，完善了自動(dòng)化漏洞掃描的檢測(cè)效果。并且能夠識(shí)別更多類型的潛在安全風(fēng)險(xiǎn)，提高安全防護(hù)的全面性和深度。

35、此外，本發(fā)明還提供了一種文件上傳漏洞的檢測(cè)裝置、設(shè)備及存儲(chǔ)介質(zhì)，同樣具有上述有益效果。

技術(shù)特征：

1.一種文件上傳漏洞的檢測(cè)方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法，其特征在于，對(duì)于所述接口請(qǐng)求中的表單請(qǐng)求，基于表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊，包括：

3.根據(jù)權(quán)利要求2所述的文件上傳漏洞的檢測(cè)方法，其特征在于，在對(duì)所述表單請(qǐng)求進(jìn)行解析，得到參數(shù)之后，還包括：

4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的文件上傳漏洞的檢測(cè)方法，其特征在于，對(duì)于所述接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊，包括：

5.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法，其特征在于，基于非表單攻擊載荷字典對(duì)所述目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊，包括：

6.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法，其特征在于，根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞，包括：

7.根據(jù)權(quán)利要求1所述的文件上傳漏洞的檢測(cè)方法，其特征在于，在根據(jù)所述表單載荷攻擊的結(jié)果和所述非表單載荷攻擊的結(jié)果確定所述目標(biāo)網(wǎng)站是否存在文件上傳漏洞之后，還包括：

8.一種文件上傳漏洞的檢測(cè)裝置，其特征在于，包括：

9.一種文件上傳漏洞的檢測(cè)設(shè)備，其特征在于，包括：

10.一種存儲(chǔ)介質(zhì)，其特征在于，所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令，所述計(jì)算機(jī)可執(zhí)行指令被處理器加載并執(zhí)行時(shí)，實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述的文件上傳漏洞的檢測(cè)方法的步驟。

技術(shù)總結(jié)
本發(fā)明公開了一種文件上傳漏洞的檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，包括：對(duì)目標(biāo)網(wǎng)站進(jìn)行全面掃描，獲取目標(biāo)網(wǎng)站的所有接口請(qǐng)求；對(duì)于接口請(qǐng)求中的表單請(qǐng)求，基于表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行表單載荷攻擊；對(duì)于接口請(qǐng)求中的非表單請(qǐng)求，基于非表單攻擊載荷字典對(duì)目標(biāo)網(wǎng)站進(jìn)行非表單載荷攻擊；非表單攻擊載荷字典包括文件上傳常用參數(shù)和路由字典；根據(jù)攻擊結(jié)果確定目標(biāo)網(wǎng)站是否存在文件上傳漏洞。本發(fā)明通過(guò)全面掃描和分析網(wǎng)站的所有接口請(qǐng)求，對(duì)接口請(qǐng)求進(jìn)行分類處理，有效識(shí)別和處理后臺(tái)管理系統(tǒng)或未經(jīng)授權(quán)的上傳接口，完善了自動(dòng)化漏洞掃描的檢測(cè)效果，提升了文件上傳漏洞檢測(cè)的效率、準(zhǔn)確性和全面性。

技術(shù)研發(fā)人員：趙旭,王欣
受保護(hù)的技術(shù)使用者：杭州安恒信息技術(shù)股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21