[发明专利]发现Web内网代理漏洞的方法无效
| 申请号: | 201210279454.8 | 申请日: | 2012-08-08 |
| 公开(公告)号: | CN102855418A | 公开(公告)日: | 2013-01-02 |
| 发明(设计)人: | 周耕辉 | 申请(专利权)人: | 周耕辉 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 长沙永星专利商标事务所 43001 | 代理人: | 周咏;米中业 |
| 地址: | 410012 湖南*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种发现Web内网代理漏洞的方法,通过网络爬虫技术来实现内网网络页面抓取,获得全部页面的URL。然后基于URL规范和参数值特征进行两次过滤,筛选出可能存在内网代理漏洞的URL。在Web内网中构造特征页面,该特征页面包含一段MD5串。对于每一个过滤后的URL,将原来包含URL的参数内容替换为特征页面的URL,请求替换之后的URL,如果请求回应中包含特征页面中的MD5串,则认为该页面URL存在内网代理漏洞,否则,则认为该页面URL不存在内网代理漏洞。程序化的内网代理检测方法避免了人工方法的不足,可有效并且全面地发现Web服务中存在的内网代理漏洞,提高Web安全性。 | ||
| 搜索关键词: | 发现 web 代理 漏洞 方法 | ||
【主权项】:
一种发现Web内网代理漏洞的方法,其特征在于,在外界不能访问的内部服务器上部署一个Web服务,并在Web服务内放置一个含有构造的签名的签名页面,实现所述方法的步骤包括:步骤1,采用网络爬虫技术获取网站内所有Web站点页面的URL并保存;步骤2,对步骤1的页面URL进行判断,若页面URL中包含值符合URL规范的参数,保存该URL,否则,丢弃该页面; 步骤3,将URL中包含URL规范参数值替换为指向签名页面;步骤4,访问替换后的URL;步骤5,检查访问结果是否包含构造的签名,若访问结果包含构造的签名,则认为该页面存在内网代理漏洞,若访问结果不包含构造的签名,则认为该页面URL不存在内网代理漏洞。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于周耕辉,未经周耕辉许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210279454.8/,转载请声明来源钻瓜专利网。
