[发明专利]一种基于WEB应用的文件上传漏洞检测方法及系统

说明书

本发明涉及一种基于WEB应用的文件上传漏洞检测方法。该方法包括：步骤1，遍历网站或应用中的文件上传请求并记录所述文件上传请求；步骤2，预先对文件上传漏洞进行全面分析以生成兼容式的漏洞攻击用例列表，以及从所述兼容式的漏洞攻击用例列表中选择与所述文件上传请求相对应的漏洞攻击用例；步骤3，基于所述漏洞攻击用例和所述文件上传请求生成用于检测所述网站或应用的文件上传漏洞的多个攻击载荷；步骤4，上传所述多个攻击载荷至WEB服务器并进行攻击测试，以及根据所述多个攻击载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞。根据上述方法，本发明实现了文件上传漏洞的自动化检测，提高了漏洞检测效率、准确度和全面覆盖程度。

技术领域

本发明涉及漏洞检测方法及系统，更具体地，涉及一种基于WEB应用的文件上传漏洞检测方法及系统。

背景技术

目前，大部分的网站和应用都具有文件上传功能。然而，在实现文件上传功能的过程中，如果程序员未对上传的文件进行严格的验证和过滤，就会导致用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这样的动态脚本文件可以是木马、病毒、恶意脚本或者WebShell等。因此，如果服务器的处理逻辑不能够保证足够的安全，则文件上传功能将会导致非常严重的后果。

通常情况下，程序员在开发任意文件的上传功能时，不会考虑文件扩展名的合法性校验。或者，大部分程序员在开发文件的上传功能时，仅仅在客户端的网站或应用代码中添加了基于JavaScript的文件扩展名检验。这使得恶意用户可以轻易地利用恶意代码动态脚本影响服务器安全。另外，程序员也经常在服务端使用MIME类型的文件中的内容类型字段检测、文件头检测、黑名单检测和白名单检测等多种方法对待上传的文件进行检测，以此来过滤非法文件。

然而，针对上述各种上传文件检测方法，恶意用户也有许多的检测绕过方法。例如，通过修改文件的扩展名、修改文件的内容类型字段、利用WEB服务器解析漏洞等方式绕过检测。

因此，亟需一种全面、便捷、自动化的方法和系统来实现不同操作系统中、不同WEB服务器中文件上传漏洞的全面检测。

发明内容

为解决现有技术中存在的不足，本发明的目的在于，提供一种基于WEB应用的文件上传漏洞检测方法及系统。通过全面分析漏洞(绕过方法)原因，能够通过多种方法对网站上的各种上传请求进行攻击测试，形成全面覆盖的文件上传漏洞检测。

本发明采用如下的技术方案。一种基于WEB应用的文件上传漏洞检测方法，包括：步骤1，遍历网站或应用中的文件上传请求并记录文件上传请求；步骤2，预先对文件上传漏洞进行全面分析以生成兼容式的漏洞攻击用例列表，以及从兼容式的漏洞攻击用例列表中选择与文件上传请求相对应的漏洞攻击用例；步骤3，基于漏洞攻击用例和文件上传请求生成用于检测网站或应用的文件上传漏洞的多个攻击载荷；步骤4，上传多个攻击载荷至WEB服务器并进行攻击测试，以及根据多个攻击载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞。

优选地，步骤1中遍历网站或应用中的文件上传请求并记录文件上传请求还包括：步骤101，加载网站或应用的统一资源定位器的地址；步骤102，对网站或应用进行分析以识别被检测网站或应用所使用的语言；步骤103，遍历网站或应用中的文件上传请求并将文件上传请求一一保存至文件上传请求列表中。

优选地，步骤2中预先对文件上传漏洞进行全面分析以生成兼容式的漏洞攻击用例列表，以及从兼容式的漏洞攻击用例列表中选择与文件上传请求相对应的漏洞攻击用例还包括：预先生成的兼容式的漏洞攻击用例列表适应多于一种系统、语言和中间件，并包含基于多于一种系统、语言和中间件环境的漏洞攻击用例；根据文件上传请求所在的系统、语言和中间件环境，从兼容式的漏洞攻击用例列表中选择出适应系统、语言和中间件的漏洞攻击用例。

优选地，步骤3中基于漏洞攻击用例和文件上传请求生成用于检测网站或应用的文件上传漏洞的多个攻击载荷还包括：步骤301，生成基本上传载荷；步骤302，基于漏洞攻击用例对基本上传载荷进行修改，以形成多个攻击载荷。