[发明专利]漏洞检测方法、测试服务器及客户端

说明书

本发明实施例公开了一种漏洞检测方法，用于提高了漏洞检测的通用性。本发明实施例方法包括：测试服务器接收网络请求；所述测试服务器解析所述网络请求得到目标信息；若所述目标信息包含检测参数，则所述测试服务器确定所述检测参数对应的业务接口存在漏洞，所述检测参数由客户端根据所述业务接口的接口信息生成的，并拼接到所述业务接口对应的通用网关接口CGI参数上。

技术领域

本发明涉及计算机应用领域，尤其涉及漏洞检测方法、测试服务器及客户端。

背景技术

很多网站(web)应用都提供了从其他的服务器上获取数据的功能。使用用户指定的统一资源定位符(Uniform Resource Locator，URL)，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造(Server-side RequestForgery，SSRF)攻击。

SSRF漏洞是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。目前，互联网上开放的Web应用大部分是运行在内部网络边界场景下的，通过代理技术将最终的网络结果返回给请求连接的外网客户端用户，而在大多数的Web网页应用中存在该类攻击的主要原因是程序对发起用户指定的网络请求资源边界缺乏有效的验证及过滤机制，因此该漏洞容易对业务所处的内网环境形成“代理式”攻击和探测。

现有技术一般采用基于内网资源内容回显的正则匹配检测技术方案识别SSRF漏洞，具体流程如图1所示，首先由安全人员精心构造的内网文件资源(http://内网文件地址)，通过客户端将该内网文件资源对应的访问链接发送给Web接口，并等待内容的返回，客户端通过添加的各种扫描策略，对返回的内容与内网文件资源进行匹配，若匹配成功则确定该Web接口存在漏洞。

但是该检测方式需要预先知道内网结构来进行资源文件预先构造，对于其它无法掌控的内网结构，不能事先预设内网特定资源，即无法通过上述方式检测漏洞，通用性较低。

发明内容

本发明实施例提供了一种漏洞检测方法，用于提高了漏洞检测的通用性。

有鉴于此，本发明实施例第一方面提供了一种漏洞检测方法，包括：

服务器接收网络请求；

所述服务器解析所述网络请求得到目标信息；

若所述目标信息包含检测参数，则所述服务器确定所述检测参数对应的业务接口存在漏洞，所述检测参数由客户端根据所述业务接口的接口信息生成的，并拼接到所述业务接口对应的通用网关接口CGI参数上。

本发明实施例第二方面提供了另一种漏洞检测方法，包括：

客户端根据待检测业务接口的接口信息生成检测参数；

所述客户端生成包含所述检测参数的网络请求；

所述客户端将所述网络请求拼接到待检测业务接口的通用网关接口CGI参数上生成检测请求；

所述客户端发送所述检测请求，使得存在漏洞的所述待检测业务接口向服务器发送所述网络请求。

本发明实施例第三方面提供了一种服务器，包括：

接收模块，用于接收网络请求；

解析模块，用于解析所述网络请求得到目标信息；

第一确定模块，用于当确定所述目标信息包含检测参数时，确定所述检测参数对应的业务接口存在漏洞，所述检测参数由客户端根据所述业务接口的接口信息生成的，并拼接到所述业务接口对应的通用网关接口CGI参数上。

本发明实施例第四方面提供了一种客户端，包括：