[发明专利]检测漏洞的方法及装置有效
| 申请号: | 201710114753.9 | 申请日: | 2017-02-28 |
| 公开(公告)号: | CN108512818B | 公开(公告)日: | 2020-09-04 |
| 发明(设计)人: | 王放;胡珀;郑兴;郭晶;张强;范宇河;唐文韬;杨勇 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京三高永信知识产权代理有限责任公司 11138 | 代理人: | 朱雅男 |
| 地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 检测 漏洞 方法 装置 | ||
1.一种检测漏洞的方法,其特征在于,所述方法包括:
向服务器发送第一字符数据,所述第一字符数据包括代码执行时的可选字符;
当接收到所述服务器返回的第一响应数据时,如果所述第一响应数据中不包括所述第一字符数据,确定不存在漏洞;
如果所述第一响应数据中包括所述第一字符数据,确定所述第一字符数据在所述第一响应数据中的位置;
基于所述位置继续进行漏洞检测;其中,在不同位置上继续进行漏洞检测时所发送的字符数据不同;
所述基于所述位置继续进行漏洞检测,包括:如果所述第一字符数据在所述第一响应数据的响应体中的起始位置,且所述第一响应数据中未设置字符编码,向所述服务器发送第二字符数据,所述第二字符数据是指以7位转换格式utf-7编码的字符数据;当接收到所述服务器返回的第二响应数据时,如果所述第二响应数据中包括所述第二字符数据,确定存在漏洞。
2.根据权利要求1所述的方法,其特征在于,如果所述第一字符数据未在所述第一响应数据的响应体的起始位置、且所述第一字符数据在所述第一响应数据中的代码可执行位置,或所述第一字符数据在所述第一响应数据的响应体中的起始位置、且所述第一响应数据中已设置字符编码、且所述第一字符数据在所述第一响应数据中的代码可执行位置,或所述第二响应数据中不包括所述第二字符数据且所述第一字符数据在所述第一响应数据中的代码可执行位置,执行下述步骤:
向所述服务器发送第三字符数据,所述第三字符数据包括代码执行时的必要字符;
当接收到所述服务器返回的第三响应数据时,如果所述第三响应数据中包括所述第三字符数据,确定存在漏洞;
如果所述第三响应数据中不包括所述第三字符数据,确定不存在漏洞。
3.根据权利要求1所述的方法,其特征在于,所述基于所述位置继续进行漏洞检测,包括:
如果所述第一字符数据在所述第一响应数据中的任一超文本标记语言html标签内且在一对引号内,向所述服务器发送第四字符数据,所述第四字符数据包括所述引号;
当接收到所述服务器返回的第四响应数据时,如果所述第四响应数据中包括所述第四字符数据,确定存在漏洞。
4.根据权利要求3所述的方法,其特征在于,如果所述第一字符数据在所述第一响应数据中的任一html标签内且不在一对引号内,或所述第四响应数据中不包括所述第四字符数据,执行下述步骤:
如果所述第一字符数据为所述html标签中的任一属性值,向所述服务器发送第五字符数据,所述第五字符数据包括代码执行时的协议字符;
当接收到所述服务器返回的第五响应数据时,如果所述第五响应数据中包括所述第五字符数据,确定存在漏洞;
如果所述第五响应数据中不包括所述第五字符数据,确定不存在漏洞。
5.根据权利要求4所述的方法,其特征在于,如果所述第一字符数据不在所述第一响应数据中的任一html标签内,或所述第一字符数据不是所述html标签中的任一属性值,执行下述步骤:
向所述服务器发送第六字符数据,所述第六字符数据包括用于构造html标签的字符;
当接收到所述服务器返回的第六响应数据时,如果所述第六响应数据中包括所述第六字符数据,确定存在漏洞;
如果所述第六响应数据中不包括所述第六字符数据,确定不存在漏洞。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710114753.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:多视频转码调度方法及装置
- 下一篇:车辆的控制方法、系统及车辆
