[发明专利]一种主动检查XXE漏洞的方法在审

专利信息
申请号: 202011395766.6 申请日: 2020-12-03
公开(公告)号: CN112468505A 公开(公告)日: 2021-03-09
发明(设计)人: 王孝余;刘生;李丹丹;尚方;王莹莹;林扬;宋杭选;宋宜雷;王义春 申请(专利权)人: 国网黑龙江省电力有限公司电力科学研究院;国家电网有限公司
主分类号: H04L29/06 分类号: H04L29/06;H04L12/26;G06F16/951
代理公司: 哈尔滨市松花江专利商标事务所 23109 代理人: 刘强
地址: 150030 黑龙*** 国省代码: 黑龙江;23
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 主动 检查 xxe 漏洞 方法
【权利要求书】:

1.一种主动检查XXE漏洞的方法,其特征在于包括以下步骤:

步骤一:获取浏览器的HTTP数据包;

步骤二:判断HTTP数据包中是否含有XML标签的网络流量,若HTTP数据包中不含有XML标签的网络流量,则结束,若HTTP数据包中含有XML标签的网络流量,则执行步骤三;

步骤三:替换含有XML标签的网络流量中的内容,并构建外部实体注入;

步骤四:通过判定实体注入的内容中是否存在来自待检测目标主动发起的外部http请求判定是否含有XXE漏洞。

2.根据权利要求1所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤一中浏览器的HTTP数据包通过浏览器爬虫获取。

3.根据权利要求2所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤一的具体步骤为:输入待检测的目标,然后驱动浏览器模拟点击所有可能的超链接或触发其他浏览器的点击事件,获取客户端与服务端交互的所有HTTP数据包。

4.根据权利要求3所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤三中替换含有XML标签的网络流量中的内容,并构建外部实体注入通过下列方式中任一方式进行:

方式一:直接DTD外部实体声明;

方式二:通过DTD文档引入外部DTD文档,再引入外部实体声明;

方式三:通过DTD外部实体声明引入外部实体声明。

5.根据权利要求4所述的一种主动检查XXE漏洞的方法,其特征在于所述外部实体注入的内容为本地服务器的HTTPLOG链接。

6.根据权利要求5所述的一种主动检查XXE漏洞的方法,其特征在于所述步骤四的具体步骤为:首先在服务器端设置监听,通过监控HTTPLOG的API变化判断是否有新的HTTPLOG,并判定HTTPLOG中是否存在来自待检测目标主动发起的外部HTTP请求,若HTTPLOG中存在来自检测目标主动发起的外部HTTP请求,则认为目标服务器引用了实体注入后的内容,判定为有XXE漏洞;若HTTPLOG中不存在来自检测目标主动发起的外部HTTP请求,则认为目标服务器并未引用实体注入后的内容,判定为没有XXE漏洞。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网黑龙江省电力有限公司电力科学研究院;国家电网有限公司,未经国网黑龙江省电力有限公司电力科学研究院;国家电网有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/202011395766.6/1.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code