The present invention provides a method and a device for detecting SSRF vulnerabilities, including the detection method: obtain vulnerability query; query request to the server to be detected vulnerabilities URL link corresponding to SSRF, and loopholes in the query and get the query results to the public network service vulnerability; the verification key port to send a query request to in the public network server to query whether there are loopholes in the query results; if the public key server according to the query request return return results as the first default result, is determined to be detected URL link SSRF vulnerability. The invention proposes a detection method of SSRF vulnerability, which can detect whether the URL link to be detected has SSRF vulnerability, and alleviates the technical problems that the existing technology can not detect the SSRF vulnerability.
【技术实现步骤摘要】
SSRF漏洞的检测方法及装置
本专利技术涉及网页安全检测的
,尤其是涉及一种SSRF漏洞的检测方法及装置。
技术介绍
SSRF(服务器端请求伪造)漏洞是一种新型的web应用漏洞,与CSRF(跨站请求伪造)漏洞不同,它是利用服务端向其他内外网服务器发送请求。这种漏洞发生在有些web应用需要通过客户端指定url从其他服务器获取数据,比如通过url地址分享网页内容、远程图片加载或下载、转码服务、在线翻译等功能。当web应用提供的这些功能未对提交的url参数值做严格的限制,如请求协议限制、内外访问限制等,攻击者很可能会利用web应用这种缺陷,突破外网无法访问内网的限制,探测内网架构、进而攻击内网脆弱系统等。目前公开的相关技术中,还没有一种能够对SSRF漏洞进行检测的方法,也就是无法获知待检测网页入口(即,待检测URL链接)是否存在SSRF漏洞。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种SSRF漏洞的检测方法及装置,以缓解现有技术中无法对SSRF漏洞进行检测的技术问题。第一方面,本专利技术实施例提供了一种SSRF漏洞的检测方法,应用于用户终端,所述方法包括:获取漏洞查询请求,其中,所述漏洞查询请求中包括:待检测URL链接,与所述待检测URL链接相对应的随机字符串,公网服务器的域名;向所述待检测URL链接所对应的服务器发送所述漏洞查询请求,并在查询到所述SSRF漏洞时,得到漏洞查询结果,其中,所述漏洞查询结果记录于所述公网服务器中;向所述公网服务器的验证端口发送秘钥查询请求,以在所述公网服务器中查询是否存在所述漏洞查询结果,其中,所述秘钥查询请求根据所述 ...
【技术保护点】
一种SSRF漏洞的检测方法,其特征在于,应用于用户终端,所述方法包括:获取漏洞查询请求,其中,所述漏洞查询请求中包括:待检测URL链接,与所述待检测URL链接相对应的随机字符串,公网服务器的域名;向所述待检测URL链接所对应的服务器发送所述漏洞查询请求,并在查询到所述SSRF漏洞时,得到漏洞查询结果,其中,所述漏洞查询结果记录于所述公网服务器中;向所述公网服务器的验证端口发送秘钥查询请求,以在所述公网服务器中查询是否存在所述漏洞查询结果,其中,所述秘钥查询请求根据所述随机字符串生成;如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第一预设结果,则确定所述待检测URL链接存在所述SSRF漏洞。
【技术特征摘要】
1.一种SSRF漏洞的检测方法,其特征在于,应用于用户终端,所述方法包括:获取漏洞查询请求,其中,所述漏洞查询请求中包括:待检测URL链接,与所述待检测URL链接相对应的随机字符串,公网服务器的域名;向所述待检测URL链接所对应的服务器发送所述漏洞查询请求,并在查询到所述SSRF漏洞时,得到漏洞查询结果,其中,所述漏洞查询结果记录于所述公网服务器中;向所述公网服务器的验证端口发送秘钥查询请求,以在所述公网服务器中查询是否存在所述漏洞查询结果,其中,所述秘钥查询请求根据所述随机字符串生成;如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第一预设结果,则确定所述待检测URL链接存在所述SSRF漏洞。2.根据权利要求1所述的方法,其特征在于,所述漏洞查询结果为带有用户终端网络地址和所述随机字符串的访问记录,向所述公网服务器的验证端口发送秘钥查询请求,以在所述公网服务器中查询是否存在所述漏洞查询结果:向所述公网服务器的验证端口发送所述秘钥查询请求,以在所述公网服务器中查询是否存在与所述秘钥查询请求中的所述随机字符串的信息相对应的访问记录。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第二预设结果,则确定所述待检测URL链接不存在SSRF漏洞。4.根据权利要求1所述的方法,其特征在于,获取漏洞查询请求包括:根据用户的触发操作获取所述待检测URL链接的参数键值对,其中,所述参数键值对用于表征所述待检测URL链接的关键特征;将所述参数键值对与字典白名单中的参数键进行匹配,其中,所述字典白名单中的参数键为用户或研发人员根据经验总结的出问题概率大于预设概率的参数键,所述参数键的数量为多个;如果所述参数键值对与所述字典白名单中的参数键匹配,则生成所述随机字符串;在所述待检测URL链接的参数键值对后添加目标信息,得到所述漏洞查询请求,其中,所述目标信息包括:所述随机字符串和预先搭建的所述公网服务器的域名。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:如果所述参数键值对与所述字典白名单中的参数键不匹配,则继续检测下一个待检测URL链接。6...
【专利技术属性】
技术研发人员:王晓天,范渊,黄进,莫金友,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。