[发明专利]用于确定SSRF漏洞的方法和装置

说明书

本公开的实施例用于确定SSRF漏洞的方法，首先获取网络请求，若网络请求的发起端为服务端，则采用测试地址替换网络请求中的目标地址，得到修改后的网络请求，其中测试地址包括位于内网的网络漏洞测试平台的地址；向目标应用发送修改后的网络请求；最后基于测试地址所指示的应用是否收到修改后的网络请求，确定目标应用是否存在SSRF漏洞，首先判断网络请求的发起端为服务端，而后自动地判定目标应用是否存在SSRF漏洞，能够极大地减少误报，大幅度降低人力和时间成本。

技术领域

本公开的实施例涉及计算机技术领域，具体涉及计算机安全技术领域，具体涉及用于确定SSRF漏洞的方法和装置。

背景技术

SSRF(Server-Side Request Forgery，服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。

相关的SSRF漏洞挖掘方式是自动化匹配请求URL或请求body中是否包括http、ftp等关键字，若请求URL或请求body中包括http、ftp等关键字，则产生报警，然后由安全人员人工判定是否存在SSRF漏洞。

发明内容

本公开的实施例提出了用于确定SSRF漏洞的方法和装置。

第一方面，本公开的实施例提供了一种用于确定SSRF漏洞的方法，该方法包括：获取网络请求；若网络请求的发起端为服务端，则采用测试地址，替换网络请求中的目标地址，得到修改后的网络请求；其中，测试地址包括位于内网的网络漏洞测试平台的地址；向目标应用发送修改后的网络请求；基于测试地址所指示的应用是否收到修改后的网络请求，确定目标应用是否存在SSRF漏洞。

在一些实施例中，基于测试地址所指示的应用是否收到修改后的网络请求，确定目标应用是否存在SSRF漏洞包括：若网络漏洞测试平台收到修改后的网络请求，则确定目标应用存在SSRF漏洞。

在一些实施例中，基于测试地址所指示的应用是否收到修改后的网络请求，确定目标应用是否存在SSRF漏洞包括：若测试地址所指示的应用收到修改后的网络请求，则基于网络请求中用于表示请求来源的信息，确定网络请求所对应的原始网络请求；基于原始网络请求，原始网络请求是否触发SSRF漏洞攻击；响应于确定原始网络请求是否触发SSRF漏洞攻击的结果指示原始网络请求触发SSRF漏洞攻击，确定目标应用存在SSRF漏洞。

在一些实施例中，基于原始网络请求，确定原始网络请求是否触发SSRF漏洞攻击，包括：基于预设的验证规则验证原始网络请求是否触发SSRF漏洞攻击；或向检测人员呈现原始网络请求和对原始网络请求进行判定的请求，基于检测人员输入的对原始网络请求的判定结果，确定原始网络请求是否触发SSRF漏洞攻击。

在一些实施例中，方法还包括：基于网络请求包含的第一字段信息，确定网络请求的发起端是否为服务端。

第二方面，本公开的实施例提供了一种用于确定SSRF漏洞的装置，装置包括：获取单元，被配置成获取网络请求；修改单元，被配置成若网络请求的发起端为服务端，则采用测试地址替换网络请求中的目标地址，得到修改后的网络请求；其中，测试地址包括位于内网的网络漏洞测试平台的地址；发送单元，被配置成向目标应用发送替换后的网络请求；确定单元，被配置成基于测试地址所指示的应用是否收到修改后的网络请求，确定目标应用是否存在SSRF漏洞。

在一些实施例中，确定单元包括：第一确定模块，被配置成若网络漏洞测试平台收到修改后的网络请求，则确定目标应用存在SSRF漏洞。