[发明专利]一种反序列化漏洞的检测方法及装置

权利要求书

1.一种反序列化漏洞的检测方法，其特征在于，所述方法包括：

在获取到检测漏洞任务后，通过安全套接层SSL协议访问WebLogic服务器的服务端口；

若确定成功访问WebLogic服务器的服务端口，则确定所述WebLogic服务器的服务端口是否支持T3S协议服务；

若确定所述WebLogic服务器的服务端口支持T3S协议服务，且与所述WebLogic服务器的远程方法调用RMI服务连接成功，则确定所述WebLogic服务器存在T3S协议的WebLogicJava反序列化漏洞。

2.根据权利要求1所述的方法，其特征在于，所述确定所述WebLogic服务器的服务端口支持T3S协议服务，包括：

向所述WebLogic服务器发送T3S协议数据；

若确定接收到的所述WebLogic服务器针对所述T3S协议返回的反馈数据与T3S协议规定的反馈数据匹配，则确定所述WebLogic服务器的服务端口支持T3S协议服务。

3.根据权利要求1所述的方法，其特征在于，所述确定所述WebLogic服务器的服务端口支持T3S协议服务后，与所述WebLogic服务器的远程方法调用RMI服务连接成功前，还包括：

生成第一漏洞利用数据，并将所述第一漏洞利用数据发送给所述WebLogic服务器，所述第一漏洞利用数据用于指示所述WebLogic服务器在所述WebLogic服务器的当前目录下创建远程指令文件目录；

生成第二漏洞利用数据，所述第二漏洞利用数据中包括远程指令文件，所述远程指令文件用于启动RMI服务，并将所述第二漏洞利用数据发送给所述WebLogic服务器，所述第二漏洞利用数据用于指示所述WebLogic服务器在所述远程指令文件目录中保存所述远程指令文件；

生成第三漏洞利用数据，所述第三漏洞利用数据用于指示所述WebLogic服务器执行所述远程指令文件，启动所述WebLogic服务器的RMI服务。

4.根据权利要求1～3中任意一项所述的方法，其特征在于，所述与所述WebLogic服务器的远程方法调用RMI服务连接成功，包括：

在获取所述WebLogic服务器的SSL证书后，若确定通过T3S协议与所述WebLogic服务器的RMI服务连接成功，则确定与所述WebLogic服务器的远程方法调用RMI服务连接成功。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在通过传输控制协议TCP成功访问WebLogic服务器的服务端口后，确定所述WebLogic服务器的服务端口是否支持T3协议服务；

若确定所述WebLogic服务器的服务端口支持T3协议服务，且与所述WebLogic服务器的远程方法调用RMI服务连接成功，则确定所述WebLogic服务器存在T3协议的WebLogic Java反序列化漏洞。

6.根据权利要求1所述的方法，其特征在于，所述获取检测漏洞任务，包括：

将所述检测漏洞任务加入到待执行任务队列中，并使用线程池中的空闲线程从所述执行任务队列获取所述检测漏洞任务。

7.一种反序列化漏洞检测装置，其特征在于，所述装置包括：

安全套接层SSL协议连接单元，用于在获取到检测漏洞任务后，通过安全套接层SSL协议访问WebLogic服务器的服务端口；

T3S协议服务确定单元，用于若确定成功访问WebLogic服务器的服务端口，则确定所述WebLogic服务器的服务端口是否支持T3S协议服务；

漏洞确定单元，用于若确定所述WebLogic服务器的服务端口支持T3S协议服务，且与所述WebLogic服务器的远程方法调用RMI服务连接成功，则确定所述WebLogic服务器存在T3S协议的WebLogic Java反序列化漏洞。