一種基于探針的漏洞檢測(cè)方法及其裝置

基本信息

申請(qǐng)?zhí)?/td> CN201710028735.9 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN106603572A 公開(kāi)(公告)日 2017-04-26
申請(qǐng)公布號(hào) CN106603572A 申請(qǐng)公布日 2017-04-26
分類(lèi)號(hào) H04L29/06(2006.01)I 分類(lèi) 電通信技術(shù);
發(fā)明人 萬(wàn)振華 申請(qǐng)(專(zhuān)利權(quán))人 安徽開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司
代理機(jī)構(gòu) 北京一格知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 深圳市九州安域科技有限公司;深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司;安徽開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司
地址 518000 廣東省深圳市龍華新區(qū)龍華辦事處清祥路清湖工業(yè)園寶能科技園7棟B座6樓J單位
法律狀態(tài) -

摘要

摘要 本發(fā)明公開(kāi)了一種基于探針的漏洞檢測(cè)方法及裝置,其中,該方法包括:接收客戶(hù)端所發(fā)送的用戶(hù)請(qǐng)求,用戶(hù)請(qǐng)求中包括至少一個(gè)參數(shù);對(duì)每一個(gè)參數(shù)構(gòu)造檢測(cè)探針并發(fā)送帶有檢測(cè)探針的第一請(qǐng)求至Web服務(wù)器;接收Web服務(wù)器針對(duì)第一請(qǐng)求的響應(yīng)結(jié)果,并根據(jù)響應(yīng)結(jié)果獲取目標(biāo)注入?yún)?shù)、目標(biāo)輸出點(diǎn)以及所述目標(biāo)輸出點(diǎn)的上下文信息;根據(jù)目標(biāo)輸出點(diǎn)的上下文信息構(gòu)造目標(biāo)特征值請(qǐng)求。本發(fā)明實(shí)施例引入檢測(cè)探針以先獲取目標(biāo)輸出點(diǎn)以及目標(biāo)輸出點(diǎn)的上下文信息,從而針對(duì)用戶(hù)請(qǐng)求的每一個(gè)參數(shù)只需要構(gòu)造一個(gè)帶有特征值的請(qǐng)求,進(jìn)而極大地減少了XSS檢測(cè)工具中的測(cè)試用例數(shù)目,提高了檢測(cè)效率。