[发明专利]漏洞检测方法及装置

说明书

本申请公开了一种漏洞检测方法及装置。其中，该方法包括：发送统一定位资源符URL对应的访问请求至服务器，并接收来自统一定位资源符URL的响应结果，其中，响应结果用于指示URL是否基于预设类型的中间件进行数据传输；在响应结果指示URL基于预设类型的中间件进行数据传输的情况下，确定URL对应的预设类型的目标中间件；调用预设中间件对应的漏洞测试代码；基于漏洞测试代码对URL对应的目标中间件进行检测，输出检测结果。本申请解决了由于相关技术缺乏对Tomcat的安全检测机制，造成的在数据传输及交互存在较大的安全隐患，数据的安全性不能得到保障的技术问题。

技术领域

本申请涉及信息安全领域，具体而言，涉及一种漏洞检测方法及装置。

背景技术

Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成。由于有了Sun的参与和支持，最新的Servlet和JSP规范总是能在Tomcat中得到体现，Tomcat 5支持最新的Servlet2.4和JSP 2.0规范。因为Tomcat技术先进、性能稳定，而且免费，因而深受Java爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web应用服务器。

由于大量的业务系统都使用Tomcat中间件作为构架，而且，Tomcat中间件存在大量的漏洞，因此，在相关技术中，一般只有在Tomcat爆出漏洞后，才会发现其才存在安全隐患，因此，相关技术中缺乏一种对Tomcat的安全检测机制。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种漏洞检测方法及装置，以至少解决由于相关技术缺乏对Tomcat的安全检测机制，造成的在数据传输及交互存在较大的安全隐患，数据的安全性不能得到保障的技术问题。

根据本申请实施例的一个方面，提供了一种漏洞检测方法，包括：发送统一定位资源符URL对应的访问请求至服务器，并接收来自统一定位资源符URL的响应结果，其中，响应结果用于指示URL是否基于预设类型的中间件进行数据传输；在响应结果指示URL基于预设类型的中间件进行数据传输的情况下，确定URL对应的预设类型的目标中间件；调用预设中间件对应的漏洞测试代码；基于漏洞测试代码对URL对应的目标中间件进行检测，输出检测结果。

可选地，基于漏洞测试代码对URL对应的目标中间件进行检测，输出检测结果，包括：检测目标中间件是否存在面向包协议文件读取漏洞；在检测结果指示目标中间件存在面向包协议文件的情况下，输出服务器在预设目录下的配置文件内容。

可选地，基于漏洞测试代码对URL对应的目标中间件进行检测，输出检测结果，包括：检测目标中间件是否存在弱口令；在检测结果指示目标中间件存在弱口令的情况下，输出弱口令，其中，弱口令包括：登录成功状态下的登录账号以及登录账号的密码。

可选地，基于漏洞测试代码对URL对应的目标中间件进行检测，输出检测结果，包括：检测目标中间件是否存文件上传漏洞；在检测结果指示目标中间件存在文件上传漏洞的情况下，输出目标文件名对应的文件，其中，目标文件名为目标中间件基于预设算法对文件的名称进行加密生成的。

可选地，发送访问请求至服务器，包括：接收待检测的互联网协议IP地址和端口号；将IP地址和端口号转换为URL；确定URL对应的访问请求，将URL对应的访问请求发送至服务器。

可选地，输出检测结果，包括：将检测结果输出至指定保存位置；接收目标对象的操作指令，展示在指定保存位置保存的检测结果。