[发明专利]一种验证应用服务器的方法、装置、计算机设备和介质

说明书

本申请提供了一种验证应用服务器的方法、装置、计算机设备和介质，包括：针对所述动态网址链接集合中的每条动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合；针对每条动态网址链接中存在的注入点参数集合中的每个注入点参数，利用该注入点参数访问应用服务器，并在该注入点参数中注入数据库执行指令；若能在预设访问要求范围内接收到数据库集合中任一数据库返回的数据后，则响应利用该注入点参数访问应用服务器时发起的访问请求，对访问请求进行安全验证。从大量存在的注入点参数中排查可以利用的注入点参数，提高了验证的准确率。

技术领域

本申请涉及网络安全监测技术领域，具体而言，涉及一种验证应用器的方法、装置、计算机设备和介质。

背景技术

随着互联网通信技术和网站技术的飞速发展，现在也有很多数据库的数据出现泄露的问题，目前很多程序人员对应用服务器进行SQL注入尝试，SQL注入是对数据库进行攻击常用的手段，在对数据库进行攻击时通常时对应用服务器尝试注入，知道发现存在的注入点，在对注入点针对性的进行SQL注入攻击，但是由于发现存在的注入点较多，还需要通过人工验证这些存在的注入点中利用哪些注入点是可以成功攻击数据库并获取数据，基于此种方式，仍然存在工作效率较低、操作繁琐的问题。

发明内容

有鉴于此，本申请实施例提供了一种验证应用器的方法、装置、计算机设备和介质，以解决现有技术中存在的注入点较多，基于人工验证注入点是否能够利用，存在工作效率较低、操作繁琐的问题。

第一方面，本申请实施例提供了一种验证应用器的方法，该方法包括：

利用爬虫进程池中的每个爬虫进程获取预设网址列表中的每条网址链接；

针对获取到的每条所述网址链接，根据利用该条网址链接访问应用服务器时生成的访问请求数据的数据格式进行解析的解析结果生成动态网址链接集合；

针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合；

针对每条所述动态网址链接中存在的注入点参数集合中的每个注入点参数，利用该注入点参数访问应用服务器，并在该注入点参数中注入数据库执行指令；

若能在预设访问要求范围内接收到所述数据库集合中任一数据库返回的数据后，则响应利用该注入点参数访问所述应用服务器时发起的访问请求，对所述访问请求进行安全验证。

可选的，所述针对所述动态网址链接集合中的每条所述动态网址链接，根据注入测试语句库中的每种测试语句，从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接中存在的注入点参数集合，包括：

针对所述动态网址链接集合中每条所述动态网址链接中的每个访问请求参数，将所述注入测试语句库中的每种注入测试语句的拼接内容分别拼接至该访问请求参数中，得到每种注入测试语句各自对应的拼接后的访问请求参数；

确定该访问请求参数对应的第一请求处理结果，以及确定每种拼接后的访问请求参数各自对应的第二请求处理结果；其中，第一请求处理结果为利用每条所述动态网址链接中每个访问请求参数访问应用服务器后返回的结果；第二请求处理结果为利用每种拼接后的访问请求参数访问应用服务器后返回的结果；

若该访问请求参数对应的第一请求处理结果分别与每种拼接后的访问请求参数各自对应的第二请求处理结果之间的比较结果中任意一比较结果符合预设的第一测试结果规则，则确定该访问请求参数为注入点参数；

针对所述动态网址链接集合中的每条动态网址链接，根据该条动态网址链接中存在的每个注入点参数生成该条动态网址链接中的存在的注入点参数集合。