买专利、卖专利、专利购买、专利交易、专利出售、高企申报-一种注入漏洞检测方法及装置

首页

利索能及专利检索

电话：15618600796

查出售查求购

我要发布

专利交易专利求购

一种注入漏洞检测方法及装置

面议

专利号： 2018108320082

申请人：平安科技(深圳)有限公司

专利类型：发明专利

专利状态：已下证

更新日期：2026-06-16

缴费截止日期：暂无

联系人

专利简介

专利详情

购买说明

摘要:

权利要求书:

1.一种注入漏洞检测方法，其特征在于，包括：确定用于注入漏洞检测的目标请求；

在所述目标请求的Cookie字段中插入第一逻辑类型的字段，得到第一请求，在所述目标请求的所述Cookie字段中插入第二逻辑类型的字段，得到第二请求，所述第一请求为通过在所述目标请求中插入第一逻辑类型的字段确定的请求，所述第二请求由在所述目标请求中插入第二逻辑类型的字段确定；

向服务器发送所述第一请求和所述第二请求，并接收所述服务器针对所述第一请求返回的第一页面内容和针对所述第二请求返回的第二页面内容；

获取所述第一页面内容的第一解析结果和所述第二页面内容的第二解析结果，所述第一解析结果包括N个第一文档对象模型DOM节点，所述第二解析结果包括M个第二DOM节点，所述N和所述M均为大于或等于1的整数；

分别比较所述N个第一DOM节点和所述M个第二DOM节点中文本节点的内容，元素节点的标签名称、标签类型，内容节点的标签名称、标签类型、标签属性、子节点数量、子节点类型，是否相同；

若某个文本节点的内容不相同，则确定所述某个文本节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

若某个元素节点的标签名称和标签类型中任意一个不相同，则确定所述某个元素节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

若某个内容节点的标签名称、标签类型、标签属性、子节点数量和子节点类型中任意一个不相同，则确定所述某个内容节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

若所述N个第一DOM节点与所述M个第二DOM节点之间存在至少一个不相同的DOM节点，则确定所述服务器中存在注入漏洞。

2.根据权利要求1所述的方法，其特征在于，所述根据所述目标请求确定出第一请求和第二请求，包括：

在所述目标请求的统一资源定位符URL的参数字段中插入第一逻辑类型的字段，得到所述第一请求；

在所述目标请求的所述URL的参数字段中插入第二逻辑类型的字段，得到所述第二请求。

3.根据权利要求1‑2任一项所述的方法，其特征在于，所述获取所述第一页面内容的第一解析结果和所述第二页面内容的第二解析结果之后，所述方法还包括：将所述N个第一DOM节点中各个第一DOM节点与所述M个第二DOM节点中各个第二DOM节点进行匹配，确定所述N个第一DOM节点与所述M个第二DOM节点之间是否存在不相同的DOM节点。

4.根据权利要求1‑3任一项所述的方法，其特征在于，所述方法还包括：若所述N个第一DOM节点与所述M个第二DOM节点之间不存在不相同的DOM节点，则输出安全提示信息，所述安全提示信息用于提示所述服务器中不存在所述注入漏洞。

5.一种注入漏洞检测装置，其特征在于，包括：第一确定模块，用于确定注入漏洞检测的目标请求；

第二确定模块，用于在所述目标请求的Cookie字段中插入第一逻辑类型的字段，得到第一请求，在所述目标请求的所述Cookie字段中插入第二逻辑类型的字段，得到第二请求，所述第一请求为通过在所述目标请求中插入第一逻辑类型的字段确定的请求，所述第二请求由在所述目标请求中插入第二逻辑类型的字段确定；

收发模块，用于向服务器发送所述第一请求和所述第二请求，并接收所述服务器针对所述第一请求返回的第一页面内容和针对所述第二请求返回的第二页面内容；

获取模块，用于获取所述第一页面内容的第一解析结果和所述第二页面内容的第二解析结果，所述第一解析结果包括N个第一文档对象模型DOM节点，所述第二解析结果包括M个第二DOM节点，所述N和所述M均为大于或等于1的整数；

第三确定模块，用于分别比较所述N个第一DOM节点和所述M个第二DOM节点中文本节点的内容，元素节点的标签名称、标签类型，内容节点的标签名称、标签类型、标签属性、子节点数量、子节点类型，是否相同；若某个文本节点的内容不相同，则确定所述某个文本节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；若某个元素节点的标签名称和标签类型中任意一个不相同，则确定所述某个元素节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；若某个内容节点的标签名称、标签类型、标签属性、子节点数量和子节点类型中任意一个不相同，则确定所述某个内容节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

所述第三确定模块，还用于当所述N个第一DOM节点与所述M个第二DOM节点之间存在至少一个不相同的DOM节点时，确定所述服务器中存在注入漏洞。

6.根据权利要求5所述的装置，其特征在于，所述第二确定模块具体用于：在所述目标请求的统一资源定位符URL的参数字段中插入第一逻辑类型的字段，得到所述第一请求；

在所述目标请求的所述URL的参数字段中插入第二逻辑类型的字段，得到所述第二请求。

7.一种终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1‑4任一项所述的方法。

8.一种计算机可读存储介质，其特征在于，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1‑4任一项所述的方法。