[发明专利]验证系统漏洞的方法及装置、存储介质、电子装置有效
| 申请号: | 201910750873.7 | 申请日: | 2019-08-14 |
| 公开(公告)号: | CN110768951B | 公开(公告)日: | 2022-07-05 |
| 发明(设计)人: | 龚玉山;田跃 | 申请(专利权)人: | 奇安信科技集团股份有限公司;奇安信网神信息技术(北京)股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L61/4511;H04L67/02 |
| 代理公司: | 北京中强智尚知识产权代理有限公司 11448 | 代理人: | 黄耀威;贾依娇 |
| 地址: | 100032 北京市西城区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 验证 系统漏洞 方法 装置 存储 介质 电子 | ||
1.一种验证系统漏洞的方法,其特征在于,包括:
采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;
使用所述相关信息探测所述渗透目标的对外漏洞;
查找所述网络系统的数据库的注入点,或者,查找所述网络系统的指定函数的代码执行漏洞;
根据所述注入点和/或所述代码执行漏洞验证所述对外漏洞是否存在,包括在所述注入点和/或所述代码执行漏洞中远程获取外带数据,通过所述外带数据验证所述对外漏洞是否存在。
2.根据权利要求1所述的方法,其特征在于,通过所述外带数据验证所述对外漏洞是否存在包括:
利用应用程序编程接口API接口编写漏洞利用插件,使用所述漏洞利用插件自动化验证所述对外漏洞是否存在。
3.根据权利要求1所述的方法,其特征在于,在注入点或者代码执行漏洞中远程获取外带数据包括:
在注入点或者代码执行漏洞中通过域名系统DNS协议获取以下信息至少之一:源IP地址、解析类型信息。
4.根据权利要求1所述的方法,其特征在于,根据所述注入点验证所述对外漏洞是否存在,还包括:
向所述网络系统的服务器发送云服务请求,以使所述服务器向数据接收平台发送云服务请求,其中,所述云服务请求携带结构化查询语言SQL注入命令;
在登录所述数据接收平台后,若接收到所述数据接收平台反馈的SQL注入结果,确定所述对外漏洞存在;若未接收到所述数据接收平台反馈的SQL注入结果,确定所述对外漏洞不存在。
5.根据权利要求1所述的方法,其特征在于,在验证所述对外漏洞是否存在之后,所述方法还包括:
在确定所述对外漏洞存在时,利用所述对外漏洞获取所述渗透目标的操作权限;
使用所述操作权限执行渗透检测操作。
6.一种验证系统漏洞的装置,其特征在于,包括:
采集模块,用于采集渗透目标的相关信息,其中,所述渗透目标为通过网络连接的网络系统;
探测模块,用于使用所述相关信息探测所述渗透目标的对外漏洞;
查找模块,用于查找所述网络系统的数据库的注入点,或者,查找所述网络系统的指定函数的代码执行漏洞;
验证模块,用于根据所述注入点和/或所述代码执行漏洞验证所述对外漏洞是否存在,包括在所述注入点和/或所述代码执行漏洞中远程获取外带数据,通过所述外带数据验证所述对外漏洞是否存在。
7.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至5任一项中所述的方法。
8.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至5任一项中所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信科技集团股份有限公司;奇安信网神信息技术(北京)股份有限公司,未经奇安信科技集团股份有限公司;奇安信网神信息技术(北京)股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910750873.7/1.html,转载请声明来源钻瓜专利网。
