[发明专利]一种检测CRLF注入漏洞的方法及装置

说明书

本发明公开了一种检测CRLF注入漏洞的方法，包括：获取待检测的目标URL链接；判断目标URL链接是否可用；若是，则将预设的检测命令添加至目标URL链接，并按照添加后的目标URL链接访问目标服务器；当目标服务器返回的响应数据包中包含与检测命令对应的特征信息时，表明目标服务器依照该检测命令规定的处理方式做出了响应，则标记目标URL链接具有CRLF注入漏洞。该方法可准确检测出URL链接是否具有CRLF注入漏洞，以便技术人员及时优化URL链接，避免CRLF注入漏洞，提高网站的安全性。相应地，本发明公开的一种检测CRLF注入漏洞的装置、设备及可读存储介质，也同样具有上述技术效果。

技术领域

本发明涉及漏洞检测技术领域，更具体地说，涉及一种检测CRLF注入漏洞的方法、装置、设备及可读存储介质。

背景技术

CRLF即为回车(CR，ASCII 13，\r)换行(LF，ASCII 10，\n)，是CR和LF的组合命令。CRLF(Carriage-Return Line-Feed)注入漏洞也叫HTTP响应拆分漏洞，是改变HTTP结构或内容而造成危害的漏洞。通常为攻击者使用CR和LF的组合命令在URL链接中键入恶意命令，以达成破坏网站链接的行为。

目前，软件开发者一般无意识CRLF注入漏洞，该漏洞产生的位置也比较隐蔽，常被人忽视。一旦攻击者注入会话cookie后，产生网址跳转，可能会导致XSS漏洞(跨站点脚本攻击)、会话固定漏洞、浏览器高速缓存中毒、钓鱼页面等故障。

因此，如何检测CRLF注入漏洞，提高网站的安全性，是本领域技术人员需要解决的问题。

发明内容

本发明的目的在于提供一种检测CRLF注入漏洞的方法、装置、设备及可读存储介质，以检测CRLF注入漏洞，提高网站的安全性。

为实现上述目的，本发明实施例提供了如下技术方案：

一种检测CRLF注入漏洞的方法，包括：

获取待检测的目标URL链接；

判断所述目标URL链接是否可用；

若是，则将预设的检测命令添加至所述目标URL链接，并按照添加后的目标URL链接访问目标服务器；当所述目标服务器返回的响应数据包中包含与所述检测命令对应的特征信息时，标记所述目标URL链接具有CRLF注入漏洞。

其中，所述获取待检测的目标URL链接，包括：

根据域名或IP地址爬虫获取所述目标URL链接。

其中，所述将预设的检测命令添加至所述目标URL链接，包括：

从预设的命令数据库中获取检测命令，并将获取到的检测命令添加至所述目标URL链接。

其中，所述将获取到的检测命令添加至所述目标URL链接，包括：

将获取到的检测命令添加至所述目标URL链接中的HTTP头部。

其中，所述判断所述目标URL链接是否可用，包括：

按照所述目标URL链接访问所述目标服务器，并判断所述目标服务器返回的响应数据包的HTTP状态码是否为预设的响应状态码。

其中，所述获取待检测的目标URL链接，包括：

当所述目标URL链接的数量为多个时，采用宽度优先算法和协程方式获取所述目标URL链接。

其中，所述采用宽度优先算法和协程方式获取所述目标URL链接之后，还包括：

解析所述目标URL链接，并存入预设的TODO队列和VISITED队列。

一种检测CRLF注入漏洞的装置，包括：