[发明专利]一种自动化检测LDAP认证注入漏洞的方法及装置

说明书

本发明提出了一种自动化检测LDAP认证注入漏洞的方法，包括：将LDAP Injection Test程序封装为脚本；将脚本、LDAP服务器、Web应用进行通信连接，构成三者互联的连接关系；通过脚本使用第一登录账号登录Web应用，进行LDAP设置；退出Web应用，使用第二登录账号登录Web应用，判断登录是否成功，如果成功，使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试；如果不成功，则重新进行配置，本发明还提出了一种自动化检测LDAP认证注入漏洞的装置，能够快速、全面地得出准确结果，有效的提高的检测效率，降低了检测成本。

技术领域

本发明涉及漏洞检测领域，尤其是涉及一种自动化检测LDAP认证注入漏洞的方法及装置。

背景技术

随着互联网的广泛使用，Web应用的数量呈爆炸式的增长，而这些应用的资源和数据呈分布式存储于目录中。通常不同的应用会有专属于自己相关数据的目录，即专有目录，专有目录数量的增长导致了系统和资源的共享及管理变得日益困难，过多的目录给计算机搜索带来巨大的压力。使用LDAP(Lightweight Directory Access Protocol，即轻量目录访问协议)集中管理信息，搜索速度快，可以有效缓解目录增加带来的压力。随着LDAP的广泛使用，LDAP认证注入漏洞是不可忽视的一个问题。

在现有的Web应用漏洞检测中，LDAP认证注入漏洞检测主要都是手动进行的。手动进行LDAP认证注入漏洞检测，虽然能处理各种异常情况，得出准确的结果；但是费时费力，稍不注意就会有遗漏，增加了人力成本，效率不高。

发明内容

本发明为了解决现有技术中存在的问题，创新提出了一种自动化检测LDAP认证注入漏洞的方法及装置，有效解决由于手工进行LDAP认证注入漏洞检测造成费时费力、存在遗漏的问题，有效的提高的检测效率，降低了检测成本。

本发明第一方面提供了一种自动化检测LDAP认证注入漏洞的方法，包括：

将LDAP Injection Test程序封装为脚本；

将脚本、LDAP服务器、Web应用进行通信连接，构成三者互联的连接关系；

通过脚本获取LDAP服务器配置信息、第一登录账号、第二登录账号，使用第一登录账号登录Web应用，根据LDAP服务器配置信息配置Web应用中LDAP设置；

退出Web应用，使用第二登录账号登录Web应用，判断登录是否成功；

如果成功，使用第一注入登录测试用例以及第二注入登录测试用例进行注入登录测试，如果第一注入登录测试用例以及第二注入登录测试用例注入登录测试全部通过，则测试通过，不存在注入漏洞；如果存在第一注入登录测试用例或第二注入登录测试用例注入登录测试失败，则测试失败，存在注入漏洞；

如果不成功，则重新进行配置。

结合第一方面，在第一方面第一种可能的实现方式中，第一登录账号为Web应用登录账号，第二登录账号为LDAP服务器中登录账号。

结合第一方面，在第一方面第二种可能的实现方式中，所述LDAP服务器配置信息包括LDAP服务器地址、端口号、绑定DN、域密码、搜索库、用户登录属性。

结合第一方面，在第一方面第三种可能的实现方式中，所述第一注入登录测试用例为需要转义的字符，所述第二注入登录测试用例为需要转义并转码的字符。

进一步地，所述第一注入登录测试用例包括字符、字符！、字符|、字符＝、字符、字符、字符，、字符+、字符-、字符”、字符’、字符；。

结合第一方面，在第一方面第四种可能的实现方式中，所述第二注入登录测试用例包括字符(、字符)、字符\、字符*、字符/、字符NULL。