买专利、卖专利、专利购买、专利交易、专利出售、高企申报-一种注入漏洞检测方法及装置

首页

利索能及专利检索

电话：15618600796

查出售查求购

我要发布

专利交易专利求购

一种注入漏洞检测方法及装置

面议

专利号： 201810825470X

申请人：平安科技(深圳)有限公司

专利类型：发明专利

专利状态：已下证

更新日期：2026-06-16

缴费截止日期：暂无

联系人

专利简介

专利详情

购买说明

摘要:

权利要求书:

1.一种注入漏洞检测方法，其特征在于，包括：

获取第一参数集合，所述第一参数集合中包括第一页面和第二页面之间不同的页面参数，所述第一页面为服务器针对第一逻辑类型的第一请求返回的页面，所述第二页面为所述服务器针对第二逻辑类型的第二请求返回的页面；

向所述服务器发送N个第三请求和M个第四请求，并接收所述服务器针对所述N个第三请求分别返回的N个第三页面和针对所述M个第四请求分别返回的M个第四页面，其中第三请求为在用于注入漏洞检测的目标请求中插入所述第一逻辑类型的任一字段得到的请求，第四请求为在所述目标请求中插入所述第二逻辑类型的任一字段得到的请求；

获取第二参数集合，所述第二参数集合中包括所述N个第三页面和所述第一页面中每两个页面之间不同的页面参数，以及所述M个第四页面和所述第二页面中每两个页面之间不同的页面参数；

若所述第一参数集合中存在至少一个页面参数不在所述第二参数集合中，则确定所述服务器中存在注入漏洞。

2.根据权利要求1所述的方法，其特征在于，所述向服务器发送N个第三请求和M个第四请求之前，所述方法还包括：针对所述第一逻辑类型的N个字段中的任一字段，将所述字段插入所述目标请求的统一资源定位符URL的参数字段中形成一个第三请求；

针对所述第二逻辑类型的M个字段中的任一字段，将所述字段插入所述目标请求的URL的参数字段中形成一个第四请求。

3.根据权利要求1所述的方法，其特征在于，所述向服务器发送N个第三请求和M个第四请求之前，所述方法还包括：针对所述第一逻辑类型的N个字段中的任一字段，将所述字段插入所述目标请求的目标字段中形成一个第三请求；

针对所述第二逻辑类型的M个字段中的任一字段，将所述字段插入所述目标请求的目标字段中形成一个第四请求；

其中，所述目标字段包括Host字段、Referer字段、Cookie字段中的一种或多种。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述页面参数包括文档对象模型DOM节点；

所述获取第二参数集合，包括：

获取所述第一页面按照DOM进行解析后得到的第一节点集合和所述第二页面按照所述DOM进行解析后的第二节点集合；

将所述N个第三页面按照所述DOM进行解析，得到N个第三节点集合；

将所述M个第四页面按照所述DOM进行解析，得到M个第四节点集合；

将所述N个第三节点集合和所述第一节点集合中每两个节点集合之间不同的DOM节点记录至所述第二参数集合中；

将所述M个第四节点集合和所述第二节点集合中每两个节点集合之间不同的DOM节点记录至所述第二参数集合中；

其中，一个页面对应一个节点集合，一个节点集合包括至少一个DOM节点。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述获取第二参数集合之后，所述方法还包括：将所述第一参数集合中的各个页面参数与所述第二参数集合中的各个页面参数之间进行匹配，确定所述第一参数集合中的每个页面参数是否都在所述第二参数集合中。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述方法，还包括：若所述第一参数集合中每个页面参数都在所述第二参数集合中，则确定所述服务器中不存在所述注入漏洞。

7.根据权利要求1-5任一项所述的方法，其特征在于，所述确定所述服务器中存在注入漏洞之后，还包括：输出报警提示信息，所述报警提示信息用于提示所述服务器中存在所述注入漏洞。

8.一种注入漏洞检测装置，其特征在于，包括：

第一获取模块，用于获取第一参数集合，所述第一参数集合中包括第一页面和第二页面之间不同的页面参数，所述第一页面为服务器针对第一逻辑类型的第一请求返回的页面，所述第二页面为所述服务器针对第二逻辑类型的第二请求返回的页面；

收发模块，用于向所述服务器发送N个第三请求和M个第四请求，并接收所述服务器针对所述N个第三请求分别返回的N个第三页面和针对所述M个第四请求分别返回的M个第四页面，其中第三请求为在用于注入漏洞检测的目标请求中插入所述第一逻辑类型的任一字段得到的请求，第四请求为在所述目标请求中插入所述第二逻辑类型的任一字段得到的请求；

第二获取模块，用于获取第二参数集合，所述第二参数集合中包括所述N个第三页面和所述第一页面中每两个页面之间不同的页面参数，以及所述M个第四页面和所述第二页面中每两个页面之间不同的页面参数；

确定模块，用于当所述第一参数集合中存在至少一个页面参数不在所述第二参数集合中时，则确定所述服务器中存在注入漏洞。

9.一种终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1-7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。