[发明专利]一种用于HTTP走私漏洞的检测技术

说明书

本发明公布了一种用于HTTP走私漏洞检测的WEB漏洞检测技术。主要包括如下步骤：构造有Transfer‑Encoding和Content‑Length双字段的HTTP请求报文头，填充robots.txt请求和chunk‑size数据作为报文内容，对比请求报文的响应时间发现可能存在的漏洞，提取报文响应结果，验证漏洞是否存在。本发明的优势包括：全面覆盖HTTP走私漏洞的产生原理，检测无漏报；能够对发现的漏洞进行验证，检测结果无误报；本专利提出的无危害漏洞验证方法保证了对被测目标无任何负面影响；用自动化方案代替了传统人工的检测方式，提高了检测效率。

技术领域

本专利涉及WEB攻击检测领域和WEB服务端漏洞挖掘领域，主要核心技术是构造不标准的HTTP请求报文，利用WEB前端和WEB后端对HTTP请求报文处理方式的差异，发现可能存在的HTTP走私漏洞，并通过时间延迟和返回结果验证漏洞是否存。

背景技术

HTTP走私漏洞主要是由于WEB前端和WEB后端之间的HTTP请求分割机制差异引起的，内容分发网络(CND)技术的广泛使用和HTTP规范定义的不严格使得这种攻击方式成为近五年来危害性最大的攻击。由于各种WEB前端和后端分割HTTP请求时的细微差别，导致引发这种漏洞的潜在因素很多，目前主流的检测方式是以手段检测为主，并用窃取数据的方式对漏洞的真实性进行验证。这类检测方式的本质是人工代码审计，通对HTTP请求处理过程源码的分析来发现漏洞的存在，这样的检测方式受人员技术能力的影响，存在检测效率低、错误率高等问题。同时，窃取数据的验证方式本质是一种网络攻击，通过构造特定的攻击代码对目标发起攻击，窃取真实数据的形式来证明漏洞的存在。这类验证方式会给被测目标带来一定的危害性，存在数据泄露，网站业务中断等风险，已经无法满足大型在线网站、服务不可中断、数据保密严格等WEB场景下的检测需求。近年来，大量的业务由线下转至线上，对WEB安全提出了更高的要求，传统的检测手段已经明显表现出颓势。针对当前现状，急需要一种对被检测目标无危害、不影响被检测业务正常运行的高效检测手段。

发明内容

“一种用于HTTP走私漏洞的检测技术”是为了在生产环境下对HTTP走私漏洞进行无危害自动检测而提出的发明，发明内容包括：HTTP走私漏洞自动发现方法，基于响应时间和响应内容的无危害漏洞验证技术。“无危害”是指在使用本专利提出的方法进行HTTP走私漏洞检测时不会对被测目标造成任何负面影响。发明的目的是提出一种自动化的、无危害的检测与验证方案。发明采用如下技术方案：

引发HTTP走私漏洞的本质原因是WEB前端和后端对Transfer-Encoding和Content-Length处理方式不一致导致的。WEB前后端对Transfer-Encoding和Content-Length处理方式一共有：Transfer-Encoding/Transfer-Encoding,Transfer-Encoding/Content-Length, Content-Length/Content-Length,Content-Length/Transfer-Encoding四种方式，根据HTTP规范中HTTP请求处理方法和块传输方法的定义，为每种方式制定绕过方式，用以发现可能存在的HTTP走私漏洞；再利用TCP协议中连接时限和返回值对发现的HTTP走私漏洞进行验证，保证检测结果的准确性；最后利用有限状态机模型实现上述四种方式的自动化检测方案。

技术方案的具体实施方式如下：

首先，对WEB前端和WEB后端处理HTTP请求的方式进行分类。本专利提出一种基于Transfer-Encoding和Content-Length不同组合的分类方案，该方案根据WEB前后端分割HTTP请求数据时使用的方式不同，将WEB前后端处理HTTP请求的方式分为四类。这种方案的最大优点是抓住了HTTP走私漏洞产生的本质原因，做到了检测无漏报。

其实，对HTTP走私漏洞进行初步发现。本专利采用基于平均返回时间的判断方法，此方法的最大优点是判断条件稳定，有利于自动化实现。