[发明专利]一种批量检测SSRF漏洞的方法及系统

说明书

技术领域

本发明涉及信息安全的技术领域，具体涉及一种批量检测SSRF漏洞的方法及系统。

背景技术

目前，很多web应用都提供了从其他的服务器上获取数据的功能。比如，用户输入一个URL，web应用可以根据该URL获取图片，下载文件，读取文件内容等。附图1显示的就是提供这种功能的典型web应用(百度识图)。可以看到，在输入框中可以粘贴图片网址。

但是，这个功能如果被恶意使用，攻击者可以利用存在漏洞的web应用作为代理，攻击远程或者本地的服务器。这种形式的攻击称为服务端请求伪造攻击(Server-side Request Forgery，SSRF)。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因是由于web应用没有对用户输入的URL和远程服务器返回的信息进行过滤与限制。

攻击者利用SSRF可以实现的攻击主要有5种：(1)可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息；(2)攻击运行在内网或本地的应用程序(比如溢出)；(3)对内网web应用进行指纹识别，通过访问默认文件实现；(4)攻击内外网的web应用，主要是使用get参数就可以实现的攻击(比如struts2，sqli等)；(5)利用file协议读取本地文件等。

发明内容

基于上述问题，本发明提出了一种批量检测SSRF漏洞的方法及系统，基于Scrapy框架，提取结构性数据而编写的应用框架，根据响应判断是否存在SSRF漏洞。

本发明提供如下技术方案：

一方面，本发明提供了一种批量检测SSRF漏洞的方法，包括：

步骤101，采集含有关键字的URL或手动导入需要检测的URL的文件；

步骤102，读取含有至少一个URL的文件，对于每一个URL，发送HTTP请求，获取服务器端的第一响应，所述请求为正常的请求；

步骤103，手动输入SSRF攻击荷载，或选择载入包含多个SSRF攻击荷载的文件，再次发送HTTP请求，请求的参数中包含SSRF攻击荷载，获取服务器端的第二响应，所述请求为包含荷载的请求；若所述第二响应为利用file协议读取本地文件且返回了文件内容，则检测到SSRF漏洞，对所述SSRF漏洞进行标记，执行步骤105；

步骤104，比较所述第一响应和第二响应，判断是否存在SSRF漏洞；

步骤105，检测结束，输出检测结果并保存。

其中，若所述文件为图片，比较所述第一响应和第二响应，两次响应加载的图片不同，则存在SSRF漏洞。

其中，采集含有关键字的URL具体为：输入关键字或手动导入关键字文件，利用搜索引擎，收集含有关键字的URL并生成URL字典；手动导入需要检测的URL的文件为输入该文件的绝对路径。

优选的，所述检测在可视化图形界面中进行。

另外，本发明还提供了一种批量检测SSRF漏洞的系统，所述系统包括：

采集模块，用于采集含有关键字的URL或手动导入需要检测的URL的文件；

正常请求模块，用于读取含有至少一个URL的文件，对于每一个URL，发送HTTP请求，获取服务器端的第一响应，所述请求为正常的请求；

荷载请求模块，用于手动输入SSRF攻击荷载，或选择载入包含多个SSRF攻击荷载的文件，再次发送HTTP请求，请求的参数中包含SSRF攻击荷载，获取服务器端的第二响应，所述请求为包含荷载的请求；若所述第二响应为利用file协议读取本地文件且返回了文件内容，则检测到SSRF漏洞，对所述SSRF漏洞进行标记，并转向输出模块输出；

比较模块，比较所述第一响应和第二响应，判断是否存在SSRF漏洞；

输出模块，检测结束时输出检测结果并保存。

其中，若所述文件为图片，比较所述第一响应和第二响应，两次响应加载的图片不同，则存在SSRF漏洞。

其中，采集含有关键字的URL具体为：输入关键字或手动导入关键字文件，利用搜索引擎，收集含有关键字的URL并生成URL字典；手动导入需要检测的URL的文件为输入该文件的绝对路径。

优选的，所述系统包括可视化界面，所述检测在可视化图形界面中进行。