[发明专利]一种主动检查XXE漏洞的方法在审
申请号: | 202011395766.6 | 申请日: | 2020-12-03 |
公开(公告)号: | CN112468505A | 公开(公告)日: | 2021-03-09 |
发明(设计)人: | 王孝余;刘生;李丹丹;尚方;王莹莹;林扬;宋杭选;宋宜雷;王义春 | 申请(专利权)人: | 国网黑龙江省电力有限公司电力科学研究院;国家电网有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26;G06F16/951 |
代理公司: | 哈尔滨市松花江专利商标事务所 23109 | 代理人: | 刘强 |
地址: | 150030 黑龙*** | 国省代码: | 黑龙江;23 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 主动 检查 xxe 漏洞 方法 | ||
1.一种主动检查XXE漏洞的方法,其特征在于包括以下步骤:
步骤一:获取浏览器的HTTP数据包;
步骤二:判断HTTP数据包中是否含有XML标签的网络流量,若HTTP数据包中不含有XML标签的网络流量,则结束,若HTTP数据包中含有XML标签的网络流量,则执行步骤三;
步骤三:替换含有XML标签的网络流量中的内容,并构建外部实体注入;
步骤四:通过判定实体注入的内容中是否存在来自待检测目标主动发起的外部http请求判定是否含有XXE漏洞。
2.根据权利要求1所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤一中浏览器的HTTP数据包通过浏览器爬虫获取。
3.根据权利要求2所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤一的具体步骤为:输入待检测的目标,然后驱动浏览器模拟点击所有可能的超链接或触发其他浏览器的点击事件,获取客户端与服务端交互的所有HTTP数据包。
4.根据权利要求3所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤三中替换含有XML标签的网络流量中的内容,并构建外部实体注入通过下列方式中任一方式进行:
方式一:直接DTD外部实体声明;
方式二:通过DTD文档引入外部DTD文档,再引入外部实体声明;
方式三:通过DTD外部实体声明引入外部实体声明。
5.根据权利要求4所述的一种主动检查XXE漏洞的方法,其特征在于所述外部实体注入的内容为本地服务器的HTTPLOG链接。
6.根据权利要求5所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤四的具体步骤为:首先在服务器端设置监听,通过监控HTTPLOG的API变化判断是否有新的HTTPLOG,并判定HTTPLOG中是否存在来自待检测目标主动发起的外部HTTP请求,若HTTPLOG中存在来自检测目标主动发起的外部HTTP请求,则认为目标服务器引用了实体注入后的内容,判定为有XXE漏洞;若HTTPLOG中不存在来自检测目标主动发起的外部HTTP请求,则认为目标服务器并未引用实体注入后的内容,判定为没有XXE漏洞。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网黑龙江省电力有限公司电力科学研究院;国家电网有限公司,未经国网黑龙江省电力有限公司电力科学研究院;国家电网有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011395766.6/1.html,转载请声明来源钻瓜专利网。