[发明专利]漏洞测试方法、装置、电子装置和计算机设备有效
| 申请号: | 202110061346.2 | 申请日: | 2021-01-18 |
| 公开(公告)号: | CN112769845B | 公开(公告)日: | 2023-05-26 |
| 发明(设计)人: | 钟文洁;范渊;吴卓群 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 杭州华进联浙知识产权代理有限公司 33250 | 代理人: | 何晓春 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 漏洞 测试 方法 装置 电子 计算机 设备 | ||
本申请涉及一种漏洞测试方法、装置、电子装置、计算机设备和存储介质,通过对智能设备的UPnP协议进行解析确定输入向量,并根据输入向量生成模糊测试的测试数据,根据测试数据分阶段对UPnP服务进行模糊测试,并通过监控服务异常来发现漏洞。提供了一种自动化的漏洞挖掘方法,能够以一种省时省力的方式发现智能设备的UPnP服务漏洞,并且提高发现UPnP服务漏洞的准确性,从而帮助减少漏洞,提高设备的安全性。
技术领域
本申请涉及漏洞挖掘技术领域,特别是涉及一种漏洞测试方法、装置、电子装置、计算机设备和存储介质。
背景技术
随着网络技术的发展,智能设备在人们的工作和生活中扮演着越来越重要的角色,通过智能设备的UPnP服务能够控制、使用设备,甚至实现设备间的通信。而目前针对智能设备的UPnP服务还未出现专门的漏洞挖掘工具,UPnP服务的漏洞能够被黑客利用来获取智能设备权限并对智能设备进行攻击,从而造成一定范围的损害。
针对智能设备的UPnP服务漏洞的挖掘,目前常用费时且高难度的静态分析技术,尚未出现自动化的UPnP服务漏洞挖掘方法。
发明内容
基于此,有必要针对上述技术问题,提供一种漏洞测试方法、装置、电子装置、计算机设备和存储介质。
第一方面,本申请实施例提供了一种漏洞测试方法,方法包括:
对所述智能设备的UPnP服务的数据包进行解析,确定输入向量;
根据所述输入向量,为所述UPnP服务生成变异的模糊测试的测试数据;
对所述测试数据分阶段进行模糊测试,若在测试过程中发现所述UPnP服务出现异常,则确定所述UPnP服务存在漏洞,结束所述模糊测试。
在其中一个实施例中,所述对所述测试数据分阶段进行模糊测试,包括:
向目标主机定时发送正常数据包,并根据所述目标主机的响应来判断目标主机是否发生异常。
在其中一个实施例中,所述UPnP服务的数据包包含设备描述信息和服务描述信息,所述对所述智能设备的UPnP服务的数据包进行解析,确定输入向量,包括:
根据所述设备描述信息和服务描述信息,解析出所述智能设备中每个服务提供的请求命令和请求参数;
将所述请求命令和请求参数作为所述模糊测试的所述输入向量。
在其中一个实施例中,所述根据所述输入向量,为所述UPnP服务生成变异的模糊测试的测试数据,包括:
对被测系统按照测试生成策略建立测试模型,将所述输入向量输入所述测试模型,生成变异的所述测试数据。
在其中一个实施例中,所述模糊测试包括发现阶段模糊测试和请求阶段模糊测试,包括:
在所述发现阶段模糊测试时,对所述测试数据中的请求头和脆弱点字段进行模糊测试;
在所述请求阶段模糊测试时,对所述测试数据中的请求命令的变异参数进行模糊测试。
在其中一个实施例中,所述对所述测试数据分阶段进行模糊测试,若在测试过程中发现所述UPnP服务出现异常,则确定所述UPnP服务存在漏洞,结束所述模糊测试,包括:
同时进行所述发现阶段模糊测试和请求阶段模糊测试,若发现所述UPnP服务出现异常,则确定所述UPnP服务存在漏洞,结束所述模糊测试。
第二方面,本申请实施例还提供一种漏洞测试装置,用于智能设备中UPnP服务漏洞的挖掘,所述装置包括服务解析模块、测试数据生成模块以及模糊测试模块:
所述服务解析模块,用于对所述智能设备的UPnP服务的数据包进行解析,确定输入向量;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110061346.2/2.html,转载请声明来源钻瓜专利网。
