[发明专利]操作漏洞的检测方法、装置、存储介质及电子装置

说明书

本发明提供了一种操作漏洞的检测方法、装置、存储介质及电子装置，该方法包括：获取待检测的多个统一资源定位符；向多个统一资源定位符中的每个统一资源定位符发送第一请求消息，并获取每个统一资源定位符响应第一请求消息返回的第一响应消息；向每个统一资源定位符发送第二请求消息，并获取每个统一资源定位符响应第二请求消息返回的第二响应消息；将多个统一资源定位符中第一响应消息与第二响应消息不匹配的目标统一资源定位符确定为存在操作漏洞的统一资源定位符。通过本发明，解决了相关技术中对操作漏洞的检测效率较低的问题，进而达到了提高对操作漏洞的检测效率的效果。

技术领域

本发明涉及计算机领域，具体而言，涉及一种操作漏洞的检测方法、装置、存储介质及电子装置。

背景技术

目前，针对网站Session的欺骗攻击层出不穷，此类攻击手法隐蔽，范围极广，给互联网安全带来了极大的隐患。比如，用户输入一个URL，可以根据用户输入的URL获取网站Session值，通过ApacheTomcat样例目录Session操纵漏洞，攻击者可以修改可设置网站服务器Session为任意值，达到Session欺骗攻击。但目前对于Session的欺骗攻击检测的手段较为匮乏，检测效率很低。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种操作漏洞的检测方法、装置、存储介质及电子装置，以至少解决相关技术中对操作漏洞的检测效率较低的问题。

根据本发明的一个实施例，提供了一种操作漏洞的检测方法，包括：获取待检测的多个统一资源定位符；向所述多个统一资源定位符中的每个统一资源定位符发送第一请求消息，并获取所述每个统一资源定位符响应所述第一请求消息返回的第一响应消息；向所述每个统一资源定位符发送第二请求消息，并获取所述每个统一资源定位符响应所述第二请求消息返回的第二响应消息，其中，所述第二请求消息为携带有Apache Tomcat样例目录session虚假信息的所述第一请求信息；将所述多个统一资源定位符中第一响应消息与所述第二响应消息不匹配的目标统一资源定位符确定为存在操作漏洞的统一资源定位符。

可选地，获取待检测的所述多个统一资源定位符包括：在搜索引擎中对目标关键字进行搜索；获取所述搜索引擎返回的所述目标关键字对应的搜索结果；从所述搜索结果中获取所述多个统一资源定位符。

可选地，向所述每个统一资源定位符发送第二请求消息包括：将所述ApacheTomcat样例目录session虚假信息添加到所述第一请求信息的参数中，得到所述第二请求信息；向所述每个统一资源定位符发送所述第二请求消息。

可选地，将所述多个统一资源定位符中第一响应消息与所述第二响应消息不匹配的目标统一资源定位符确定为存在操作漏洞的统一资源定位符包括：将所述多个统一资源定位符中每个统一资源定位符所对应的所述第一响应消息与每个统一资源定位符所对应的所述第二响应消息进行匹配，得到所述每个统一资源定位符对应的匹配结果；从所述多个统一资源定位符中获取对应的所述匹配结果用于指示所述第一响应消息与所述第二响应消息不匹配的所述目标统一资源定位符；将所述目标统一资源定位符确定为存在操作漏洞的统一资源定位符。

根据本发明的另一个实施例，提供了一种操作漏洞的检测装置，包括：获取模块，用于获取待检测的多个统一资源定位符；第一发送模块，用于向所述多个统一资源定位符中的每个统一资源定位符发送第一请求消息，并获取所述每个统一资源定位符响应所述第一请求消息返回的第一响应消息；第二发送模块，用于向所述每个统一资源定位符发送第二请求消息，并获取所述每个统一资源定位符响应所述第二请求消息返回的第二响应消息，其中，所述第二请求消息为携带有Apache Tomcat样例目录session虚假信息的所述第一请求信息；确定模块，用于将所述多个统一资源定位符中第一响应消息与所述第二响应消息不匹配的目标统一资源定位符确定为存在操作漏洞的统一资源定位符。