SSRF漏洞的检测方法及装置制造方法及图纸

本发明专利技术提供了一种SSRF漏洞的检测方法及装置，该检测方法包括：获取漏洞查询请求；向待检测URL链接所对应的服务器发送漏洞查询请求，并在查询到SSRF漏洞时，得到漏洞查询结果；向公网服务器的验证端口发送秘钥查询请求，以在公网服务器中查询是否存在漏洞查询结果；如果公网服务器根据秘钥查询请求返回的返回结果为第一预设结果，则确定待检测URL链接存在SSRF漏洞。本发明专利技术中提出了一种SSRF漏洞的检测方法，该方法能够检测出待检测URL链接是否存在SSRF漏洞，缓解了现有技术中无法对SSRF漏洞进行检测的技术问题。

SSRF vulnerability detection method and device

The present invention provides a method and a device for detecting SSRF vulnerabilities, including the detection method: obtain vulnerability query; query request to the server to be detected vulnerabilities URL link corresponding to SSRF, and loopholes in the query and get the query results to the public network service vulnerability; the verification key port to send a query request to in the public network server to query whether there are loopholes in the query results; if the public key server according to the query request return return results as the first default result, is determined to be detected URL link SSRF vulnerability. The invention proposes a detection method of SSRF vulnerability, which can detect whether the URL link to be detected has SSRF vulnerability, and alleviates the technical problems that the existing technology can not detect the SSRF vulnerability.

【技术实现步骤摘要】
SSRF漏洞的检测方法及装置
本专利技术涉及网页安全检测的
，尤其是涉及一种SSRF漏洞的检测方法及装置。
技术介绍
SSRF(服务器端请求伪造)漏洞是一种新型的web应用漏洞，与CSRF(跨站请求伪造)漏洞不同，它是利用服务端向其他内外网服务器发送请求。这种漏洞发生在有些web应用需要通过客户端指定url从其他服务器获取数据，比如通过url地址分享网页内容、远程图片加载或下载、转码服务、在线翻译等功能。当web应用提供的这些功能未对提交的url参数值做严格的限制，如请求协议限制、内外访问限制等，攻击者很可能会利用web应用这种缺陷，突破外网无法访问内网的限制，探测内网架构、进而攻击内网脆弱系统等。目前公开的相关技术中，还没有一种能够对SSRF漏洞进行检测的方法，也就是无法获知待检测网页入口(即，待检测URL链接)是否存在SSRF漏洞。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种SSRF漏洞的检测方法及装置，以缓解现有技术中无法对SSRF漏洞进行检测的技术问题。第一方面，本专利技术实施例提供了一种SSRF漏洞的检测方法，应用于用户终端，所述方法包括：获取漏洞查询请求，其中，所述漏洞查询请求中包括：待检测URL链接，与所述待检测URL链接相对应的随机字符串，公网服务器的域名；向所述待检测URL链接所对应的服务器发送所述漏洞查询请求，并在查询到所述SSRF漏洞时，得到漏洞查询结果，其中，所述漏洞查询结果记录于所述公网服务器中；向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果，其中，所述秘钥查询请求根据所述随机字符串生成；如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第一预设结果，则确定所述待检测URL链接存在所述SSRF漏洞。结合第一方面，本专利技术实施例提供了第一方面的第一种可能的实施方式，其中，所述漏洞查询结果为带有用户终端网络地址和所述随机字符串的访问记录，向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果：向所述公网服务器的验证端口发送所述秘钥查询请求，以在所述公网服务器中查询是否存在与所述秘钥查询请求中的所述随机字符串的信息相对应的访问记录。结合第一方面，本专利技术实施例提供了第一方面的第二种可能的实施方式，其中，所述方法还包括：如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第二预设结果，则确定所述待检测URL链接不存在SSRF漏洞。结合第一方面，本专利技术实施例提供了第一方面的第三种可能的实施方式，其中，获取漏洞查询请求包括：根据用户的触发操作获取所述待检测URL链接的参数键值对，其中，所述参数键值对用于表征所述待检测URL链接的关键特征；将所述参数键值对与字典白名单中的参数键进行匹配，其中，所述字典白名单中的参数键为用户或研发人员根据经验总结的出问题概率大于预设概率的参数键，所述参数键的数量为多个；如果所述参数键值对与所述字典白名单中的参数键匹配，则生成所述随机字符串；在所述待检测URL链接的参数键值对后添加目标信息，得到所述漏洞查询请求，其中，所述目标信息包括：所述随机字符串和预先搭建的所述公网服务器的域名。结合第一方面，本专利技术实施例提供了第一方面的第四种可能的实施方式，其中，所述方法还包括：如果所述参数键值对与所述字典白名单中的参数键不匹配，则继续检测下一个待检测URL链接。结合第一方面，本专利技术实施例提供了第一方面的第五种可能的实施方式，其中，根据用户的触发操作获取所述待检测URL链接的参数键值对包括：根据用户的触发操作获取所述待检测URL链接；对所述待检测URL链接进行解析，得到待处理的参数键值对；对所述待处理的参数键值对进行转化处理，得到所述待检测URL链接的参数键值对，其中，所述转化处理为将所述待处理的参数键值对中的大写字母转换为小写字母。结合第一方面，本专利技术实施例提供了第一方面的第六种可能的实施方式，其中，在向所述公网服务器的验证端口发送秘钥查询请求之前，所述方法还包括：对所述随机字符串拼接预设秘钥，得到初始查询秘钥；对所述初始查询秘钥进行MD5加密处理，得到加密查询秘钥；将所述加密查询秘钥置于http请求头信息中，以得到所述秘钥查询请求。第二方面，本专利技术实施例还提供了一种SSRF漏洞的检测装置，应用于用户终端，所述装置包括：获取模块，用于获取漏洞查询请求，其中，所述漏洞查询请求中包括：待检测URL链接，与所述待检测URL链接相对应的随机字符串，公网服务器的域名；第一发送模块，用于向所述待检测URL链接所对应的服务器发送所述漏洞查询请求，并在查询到所述SSRF漏洞时，得到漏洞查询结果，其中，所述漏洞查询结果记录于所述公网服务器中；第二发送模块，用于向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果，其中，所述秘钥查询请求根据所述随机字符串生成；第一确定模块，如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第一预设结果，则确定所述待检测URL链接存在所述SSRF漏洞。结合第二方面，本专利技术实施例提供了第二方面的第一种可能的实施方式，其中，所述漏洞查询结果为带有用户终端网络地址和所述随机字符串的访问记录，向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果：向所述公网服务器的验证端口发送所述秘钥查询请求，以在所述公网服务器中查询是否存在与所述秘钥查询请求中的所述随机字符串的信息相对应的访问记录。结合第二方面，本专利技术实施例提供了第二方面的第二种可能的实施方式，其中，所述装置还包括：第二确定模块，如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第二预设结果，则确定所述待检测URL链接不存在SSRF漏洞。本专利技术实施例带来了以下有益效果：本专利技术实施例提供了一种SSRF漏洞的检测方法及装置，该检测方法包括：获取漏洞查询请求，其中，漏洞查询请求中包括：待检测URL链接，与待检测URL链接相对应的随机字符串，公网服务器的域名；向待检测URL链接所对应的服务器发送漏洞查询请求，并在查询到SSRF漏洞时，得到漏洞查询结果，其中，漏洞查询结果记录于公网服务器中；向公网服务器的验证端口发送秘钥查询请求，以在公网服务器中查询是否存在漏洞查询结果，其中，秘钥查询请求根据随机字符串生成；如果公网服务器根据秘钥查询请求返回的返回结果为第一预设结果，则确定待检测URL链接存在SSRF漏洞。在现有的相关技术中，还没有一种能够对SSRF漏洞进行检测的方法，用户无法获知网页入口是否存在SSRF漏洞。在本专利技术的SSRF漏洞的检测方法中，先获取漏洞查询请求，该漏洞查询请求中包括：待检测URL链接，与待检测URL链接相对应的随机字符串和公网服务器的域名，然后，向待检测URL链接所对应的服务器发送该漏洞查询请求，当查询到SSRF漏洞时，将漏洞查询结果记录于公网服务器中，进而，向公网服务器的验证端口发送秘钥查询请求，以在公网服务器中查询是否存在漏洞查询结果，如果返回的返回结果为第一预设结果，则确定待检测URL链接存在SSRF漏洞。本专利技术中提出了一种SSRF漏洞的检测方法，该方法能够检测出待检测URL链接是否存在SSRF漏洞，缓解了现有技术本文档来自技高网...

【技术保护点】
一种SSRF漏洞的检测方法，其特征在于，应用于用户终端，所述方法包括：获取漏洞查询请求，其中，所述漏洞查询请求中包括：待检测URL链接，与所述待检测URL链接相对应的随机字符串，公网服务器的域名；向所述待检测URL链接所对应的服务器发送所述漏洞查询请求，并在查询到所述SSRF漏洞时，得到漏洞查询结果，其中，所述漏洞查询结果记录于所述公网服务器中；向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果，其中，所述秘钥查询请求根据所述随机字符串生成；如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第一预设结果，则确定所述待检测URL链接存在所述SSRF漏洞。

【技术特征摘要】
1.一种SSRF漏洞的检测方法，其特征在于，应用于用户终端，所述方法包括：获取漏洞查询请求，其中，所述漏洞查询请求中包括：待检测URL链接，与所述待检测URL链接相对应的随机字符串，公网服务器的域名；向所述待检测URL链接所对应的服务器发送所述漏洞查询请求，并在查询到所述SSRF漏洞时，得到漏洞查询结果，其中，所述漏洞查询结果记录于所述公网服务器中；向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果，其中，所述秘钥查询请求根据所述随机字符串生成；如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第一预设结果，则确定所述待检测URL链接存在所述SSRF漏洞。2.根据权利要求1所述的方法，其特征在于，所述漏洞查询结果为带有用户终端网络地址和所述随机字符串的访问记录，向所述公网服务器的验证端口发送秘钥查询请求，以在所述公网服务器中查询是否存在所述漏洞查询结果：向所述公网服务器的验证端口发送所述秘钥查询请求，以在所述公网服务器中查询是否存在与所述秘钥查询请求中的所述随机字符串的信息相对应的访问记录。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：如果所述公网服务器根据所述秘钥查询请求返回的返回结果为第二预设结果，则确定所述待检测URL链接不存在SSRF漏洞。4.根据权利要求1所述的方法，其特征在于，获取漏洞查询请求包括：根据用户的触发操作获取所述待检测URL链接的参数键值对，其中，所述参数键值对用于表征所述待检测URL链接的关键特征；将所述参数键值对与字典白名单中的参数键进行匹配，其中，所述字典白名单中的参数键为用户或研发人员根据经验总结的出问题概率大于预设概率的参数键，所述参数键的数量为多个；如果所述参数键值对与所述字典白名单中的参数键匹配，则生成所述随机字符串；在所述待检测URL链接的参数键值对后添加目标信息，得到所述漏洞查询请求，其中，所述目标信息包括：所述随机字符串和预先搭建的所述公网服务器的域名。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：如果所述参数键值对与所述字典白名单中的参数键不匹配，则继续检测下一个待检测URL链接。6...

【专利技术属性】
技术研发人员：王晓天，范渊，黄进，莫金友，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33