[发明专利]一种主动检查XXE漏洞的方法

说明书

一种主动检查XXE漏洞的方法,涉及信息安全技术领域，针对现有技术中针对XXE漏洞检测的方法存在准确性低的问题，本发明通过浏览器爬虫技术爬取浏览器数据包主动自动的分析替换验证数据包流量，发现XXE漏洞，为XXE漏洞的检测提供了简明的解决方法，帮助web服务器管理员发现web应用中的XXE漏洞，防止恶意用户利用该漏洞对web应用造成的损失。是一种简单可用好用的漏洞检测解决方案，XXE漏洞检测准确率高。

技术领域

本发明涉及信息安全技术领域，具体为一种主动检查XXE漏洞的方法。

背景技术

随着网络技术的快速发展，越来越多的web应用件被用于Internet中。对于Web应用软件而言，是一种借助Internet技术加以连接的客户/服务器软件，并且可以传输数据。在市场需求的不断推动下，Web应用软件的种类与数量也不断增加，软件的复杂程度也不断增加，软件的质量与安全问题已成为人们越来越关注的问题。XXE漏洞就是Web应用软件安全的威胁之一，XXE漏洞全称XML External Entity Injection，即XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、发起dos攻击等危害。

面对XXE漏洞对Web应用软件安全的威胁，管理员却没有更好的办法，通过校验XML文件的DTD(document type definition)中SYSTEM标识符定义的数据以防止XXE漏洞，并不容易，也不大可能。大部分的XML解析器默认对于XXE攻击是脆弱的。因此一种发现XXE漏洞的方法就十分必要。

面对XXE漏洞对Web应用软件安全的威胁，提供一种主动式XXE检测的方式，即通过浏览器爬虫功能爬取浏览器与服务器交换的数据包，检测并修改包含有xml请求的数据包，植入payload引入外部实体后模拟发出请求，从而通过检测服务器对该实体的解析情况来主动精确的判断XXE漏洞的存在。

发明内容

本发明的目的是：针对现有技术中针对XXE漏洞检测的方法存在准确性低的问题，提出一种被动检查XXE漏洞的方法。

本发明为了解决上述技术问题采取的技术方案是：

一种主动检查XXE漏洞的方法，包括以下步骤：

步骤一：获取浏览器的HTTP数据包；

步骤二：判断HTTP数据包中是否含有XML标签的网络流量，若HTTP数据包中不含有XML标签的网络流量，则结束，若HTTP数据包中含有XML标签的网络流量，则执行步骤三；

步骤三：替换含有XML标签的网络流量中的内容，并构建外部实体注入；

步骤四：通过判定实体注入的内容中是否存在来自待检测目标主动发起的外部http请求判定是否含有XXE漏洞。

进一步的，所述步骤一中浏览器的HTTP数据包通过浏览器爬虫获取。

进一步的，所述步骤一的具体步骤为：输入待检测的目标，然后驱动浏览器模拟点击所有可能的超链接或触发其他浏览器的点击事件，获取客户端与服务端交互的所有HTTP数据包。

进一步的，所述步骤三中替换含有XML标签的网络流量中的内容，并构建外部实体注入通过下列方式中任一方式进行：

方式一：直接DTD外部实体声明；

方式二：通过DTD文档引入外部DTD文档，再引入外部实体声明；

方式三：通过DTD外部实体声明引入外部实体声明。

进一步的，所述外部实体注入的内容为本地服务器的HTTPLOG链接。