[发明专利]一种EL表达式注入漏洞批量检测装置及检测方法在审
| 申请号: | 201811096606.4 | 申请日: | 2018-09-19 |
| 公开(公告)号: | CN109450846A | 公开(公告)日: | 2019-03-08 |
| 发明(设计)人: | 王梓嫱;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;G06F16/955 |
| 代理公司: | 杭州赛科专利代理事务所(普通合伙) 33230 | 代理人: | 郭薇;冯年群 |
| 地址: | 310052 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种EL表达式注入漏洞批量检测装置及检测方法,采集单元采集URL文件,基于正常的HTTP请求获取服务器端的第一响应,基于EL表达式注入检测语句发送HTTP请求,获取服务器端的第二响应,比较第一响应和第二响应的差异,如第一响应无检测语句的执行结果并且第二响应存在,则存在漏洞,输出检测结果并保存。本发明满足进行批量漏洞检测的需求,支持采集含有关键字的URL或手动导入需要检测的多个URL的文件,解决了测试EL表达式注入漏洞的效率低、浪费时间和对安全测试人员要求高的问题,提高检测覆盖率,大大降低人工时间成本,简化了安全测试人员的操作,并自动生成检测结果,便于参考使用。 | ||
| 搜索关键词: | 响应 检测 漏洞 批量检测装置 安全测试 服务器 采集 采集单元 检测结果 漏洞检测 人员要求 时间成本 输出检测 语句发送 自动生成 语句 覆盖率 测试 保存 参考 | ||
【主权项】:
1.一种EL表达式注入漏洞批量检测方法,其特征在于:所述方法包括以下步骤:步骤1:采集URL文件;步骤2:基于URL发送HTTP请求,获取服务器端的第一响应;步骤3:基于EL表达式注入检测语句发送HTTP请求,获取服务器端的第二响应;步骤4:比较第一响应和第二响应,如第一响应不存在EL表达式注入检测语句的执行结果且第二响应存在,则检测到EL表达式注入漏洞,对检测到EL表达式注入漏洞进行标记,否则,判断无EL表达式注入漏洞;步骤5:输出检测结果并保存。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811096606.4/,转载请声明来源钻瓜专利网。
