[发明专利]用于确定SSRF漏洞的方法和装置有效
| 申请号: | 202010108100.1 | 申请日: | 2020-02-21 |
| 公开(公告)号: | CN111371745B | 公开(公告)日: | 2022-06-28 |
| 发明(设计)人: | 王智田 | 申请(专利权)人: | 北京百度网讯科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京英赛嘉华知识产权代理有限责任公司 11204 | 代理人: | 王达佐;马晓亚 |
| 地址: | 100085 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 确定 ssrf 漏洞 方法 装置 | ||
1.一种用于确定SSRF漏洞的方法,包括:
获取网络请求;
若所述网络请求的发起端为服务端,则采用测试地址替换所述网络请求中的目标地址,得到修改后的网络请求;其中,所述测试地址包括位于内网的网络漏洞测试平台的地址;
向目标应用发送所述修改后的网络请求;
基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞;
其中,所述方法还包括:
基于所述网络请求包含的第一字段信息,确定所述网络请求的发起端是否为服务端,包括:响应于确定所述网络请求中的第一字段信息包含用于表明发起端是服务器的预设关键字,确定所述网络请求的发起端为服务端。
2.根据权利要求1所述的方法,其中,所述基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞包括:
若所述网络漏洞测试平台收到所述修改后的网络请求,则确定目标应用存在SSRF漏洞。
3.根据权利要求1所述的方法,其中,所述基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞包括:
若所述测试地址所指示的应用收到所述修改后的网络请求,则基于所述网络请求中用于表示请求来源的信息,确定所述网络请求所对应的原始网络请求;
基于所述原始网络请求,确定所述原始网络请求是否触发SSRF漏洞攻击;
响应于确定所述原始网络请求是否触发SSRF漏洞攻击的结果指示所述原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
4.根据权利要求3所述的方法,其中,所述基于所述原始网络请求,确定所述原始网络请求是否触发SSRF漏洞攻击,包括:
基于预设的验证规则验证所述原始网络请求是否触发SSRF漏洞攻击;或
向检测人员呈现所述原始网络请求和对所述原始网络请求进行判定的请求,基于所述检测人员输入的对所述原始网络请求的判定结果,确定所述原始网络请求是否触发SSRF漏洞攻击。
5.一种用于确定SSRF漏洞的装置,包括:
获取单元,被配置成获取网络请求;
修改单元,被配置成若所述网络请求的发起端为服务端,则采用测试地址,替换所述网络请求中的目标地址,得到修改后的网络请求;其中,所述测试地址包括位于内网的网络漏洞测试平台的地址;
发送单元,被配置成向目标应用发送所述修改后的网络请求;
确定单元,被配置成基于所述测试地址所指示的应用是否收到所述修改后的网络请求,确定目标应用是否存在SSRF漏洞;
其中,所述装置还包括:
发起端确定单元,被配置成基于所述网络请求包含的第一字段信息,确定所述网络请求的发起端是否为服务端,包括:响应于确定所述网络请求中的第一字段信息包含用于表明发起端是服务器的预设关键字,确定所述网络请求的发起端为服务端。
6.根据权利要求5所述的装置,其中,所述确定单元包括:
第一确定模块,被配置成若所述网络漏洞测试平台收到所述修改后的网络请求,则确定目标应用存在SSRF漏洞。
7.根据权利要求5所述的装置,其中,所述确定单元包括:
请求确定模块,被配置成若所述测试地址所指示的应用收到所述修改后的网络请求,则基于所述网络请求中用于表示请求来源的信息,确定所述网络请求所对应的原始网络请求;
触发确定模块,被配置成基于所述原始网络请求,确定所述原始网络请求是否触发SSRF漏洞攻击;
漏洞确定模块,被配置成响应于确定所述原始网络请求是否触发SSRF漏洞攻击的结果指示所述原始网络请求触发SSRF漏洞攻击,确定目标应用存在SSRF漏洞。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京百度网讯科技有限公司,未经北京百度网讯科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010108100.1/1.html,转载请声明来源钻瓜专利网。
