[发明专利]一种批量检测SSRF漏洞的方法及系统

权利要求书

1.一种批量检测SSRF漏洞的方法，其特征在于：

步骤101，采集含有关键字的URL或手动导入需要检测的URL的文件；

步骤102，读取含有至少一个URL的文件，对于每一个URL，发送HTTP请求，获取服务器端的第一响应，所述请求为正常的请求；

步骤103，手动输入SSRF攻击荷载，或选择载入包含多个SSRF攻击荷载的文件，再次发送HTTP请求，请求的参数中包含SSRF攻击荷载，获取服务器端的第二响应，所述请求为包含荷载的请求；若所述第二响应为利用file协议读取本地文件且返回了文件内容，则检测到SSRF漏洞，对所述SSRF漏洞进行标记，执行步骤105；

步骤104，比较所述第一响应和第二响应，判断是否存在SSRF漏洞；

步骤105，检测结束，输出检测结果并保存。

2.根据权利要求1所述的方法，其特征在于：若所述文件为图片，比较所述第一响应和第二响应，两次响应加载的图片不同，则存在SSRF漏洞。

3.根据权利要求1所述的方法，其特征在于：采集含有关键字的URL具体为：输入关键字或手动导入关键字文件，利用搜索引擎，收集含有关键字的URL并生成URL字典；手动导入需要检测的URL的文件为输入该文件的绝对路径。

4.根据权利要求1所述的方法，其特征在于：所述检测在可视化图形界面中进行。

5.一种批量检测SSRF漏洞的系统，其特征在于：所述系统包括：

采集模块，用于采集含有关键字的URL或手动导入需要检测的URL的文件；

正常请求模块，用于读取含有至少一个URL的文件，对于每一个URL，发送HTTP请求，获取服务器端的第一响应，所述请求为正常的请求；

荷载请求模块，用于手动输入SSRF攻击荷载，或选择载入包含多个SSRF攻击荷载的文件，再次发送HTTP请求，请求的参数中包含SSRF攻击荷载，获取服务器端的第二响应，所述请求为包含荷载的请求；若所述第二响应为利用file协议读取本地文件且返回了文件内容，则检测到SSRF漏洞，对所述SSRF漏洞进行标记，并转向输出模块输出；

比较模块，比较所述第一响应和第二响应，判断是否存在SSRF漏洞；

输出模块，检测结束时输出检测结果并保存。

6.根据权利要求5所述的系统，其特征在于：若所述文件为图片，比较所述第一响应和第二响应，两次响应加载的图片不同，则存在SSRF漏洞。

7.根据权利要求5所述的系统，其特征在于：采集含有关键字的URL具体为：输入关键字或手动导入关键字文件，利用搜索引擎，收集含有关键字的URL并生成URL字典；手动导入需要检测的URL的文件为输入该文件的绝对路径。

8.根据权利要求5所述的系统，其特征在于：所述系统包括可视化界面，所述检测在可视化图形界面中进行。