CN109768945A - 一种任意文件下载漏洞的检测装置及发现方法 - Google Patents
一种任意文件下载漏洞的检测装置及发现方法 Download PDFInfo
- Publication number
- CN109768945A CN109768945A CN201711095196.7A CN201711095196A CN109768945A CN 109768945 A CN109768945 A CN 109768945A CN 201711095196 A CN201711095196 A CN 201711095196A CN 109768945 A CN109768945 A CN 109768945A
- Authority
- CN
- China
- Prior art keywords
- file download
- loophole
- file
- http
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例一种任意文件下载漏洞的检测装置及发现方法。所述方法包括:首先通过http透明代理方式获取http网络流量,过滤分析出http流量中的文件下载流量,然后对文件下载流量中下载的文件进行替换和变异,根据返回结果中是否有敏感的关键字来实现对任意文件下载漏洞的深入检测、以及潜在漏洞的挖掘。
Description
技术领域
本发明实施例涉及计算机网络安全技术领域,具体涉及一种任意文件下载漏洞的检测装置及发现方法。
背景技术
随着网络技术的快速发展,越来越多的web应用件被用于Internet中。对于Web应用软件而言,是一种借助Internet技术加以连接的客户/服务器软件,并且可以传输数据。在市场需求的不断推动下,Web应用软件的种类与数量也不断增加,软件的复杂程度也不断增加,软件的质量与安全问题已成为人们越来越关注的问题。对于该软件的服务而言,包括邮件服务、电子公告牌、网上商店以及数据库管理工具。对于这些服务的提供,使得***在运行过程中暴露出越来越多的弱点,这也意味着web应用软件将面临着较为严重的安全隐患。为此,在今后的工作过程中,应对Web应用软件的安全现状进行分析,并提出有针对性的应对措施,以提升Web应用软件的运作安全水平。
近年来,一些网站由于业务需求,都会提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。
一般的漏洞扫描器发现此类漏洞会对网站进行爬虫,进而增加网站的运行压力并且针对需要登录之后的才能发现的任意文件下载漏洞就无能为力,因此通过分析网络流量进而发现任意文件下载漏洞的装置及方法就十分必要。
发明内容
本发明实施例的一个目的是解决现有的漏洞检测技术依赖于网络爬虫并且无法发现登录之后的任意文件下载漏洞的问题。
本发明实施例提出了一种任意文件下载漏洞挖掘方法,包括:
获取http网络流量;
根据http网络流量提取下载文件数据;
替换下载文件数据中的关键参数,并根据返回的结果判定网站是否存在任意文件下载漏洞
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明一实施例提供的一种任意文件下载漏洞挖掘方法的流程示意图;
图2示出了本发明另一实施例提供的一种获取http数据流量中任意下载文件数据的流程示意图;
图3示出了本发明另一实施例提供的一种根据http流量发现任意文件下载漏洞的流程示意图;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1出示了本发明一实施例提供的一种任意文件下载漏洞挖掘方法的流程示意图。首先通过http代理获取http网络流量,过滤分析出http流量中的文件下载流量,然后对文件下载流量中下载的文件进行替换和变异,根据返回结果中是否有敏感的关键字来判断是否存在文件下载漏洞。
图2出示了本发明一实施例提供的一种获取http数据流量中任意下载文件数据的流程示意图。针对获取的http协议数据,分析判断http响应头中的关键字,以此来分析出任意文件下载流量。过滤出的文件下载流量也会经过去重整合,提高任意文件下载漏洞的分析效率。
图3出示了本发明一实施例提供的一种根据http流量发现任意文件下载漏洞。过滤出http文件下载流量中的http请求信息中的文件参数,然后替响应的文件参数为***敏感文件路径,如/etc/passwd、C:\boot.ini等文件,重放替换变异之后的http请求数据,如果在对应的响应数据中包含了***关键字,就可以判定存在任意文件下载漏洞。
Claims (1)
1.一种任意文件下载漏洞的检测装置及发现方法,其特征在于,包括:
能在windows以及Linux操作***下,采用http透明代理的方式,通过分析客户端传回的http流量,发现任意文件下载请求以及响应数据。
根据过滤出来的文件下载请求数据进行参数变异和替换。
重放替换变异后的文件下载请求,能够根据响应结果分析判断是否存在漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711095196.7A CN109768945A (zh) | 2017-11-09 | 2017-11-09 | 一种任意文件下载漏洞的检测装置及发现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711095196.7A CN109768945A (zh) | 2017-11-09 | 2017-11-09 | 一种任意文件下载漏洞的检测装置及发现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109768945A true CN109768945A (zh) | 2019-05-17 |
Family
ID=66449254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711095196.7A Pending CN109768945A (zh) | 2017-11-09 | 2017-11-09 | 一种任意文件下载漏洞的检测装置及发现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109768945A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8296848B1 (en) * | 2007-06-20 | 2012-10-23 | Symantec Corporation | Control flow redirection and analysis for detecting vulnerability exploitation |
| CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及*** |
| CN104063309A (zh) * | 2013-03-22 | 2014-09-24 | 南京理工大学常熟研究院有限公司 | 基于模拟攻击的Web应用程序漏洞检测方法 |
| US20160267278A1 (en) * | 2013-11-08 | 2016-09-15 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus, terminal and media for detecting document object model-based cross-site scripting attack vulnerability |
| CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
-
2017
- 2017-11-09 CN CN201711095196.7A patent/CN109768945A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8296848B1 (en) * | 2007-06-20 | 2012-10-23 | Symantec Corporation | Control flow redirection and analysis for detecting vulnerability exploitation |
| CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及*** |
| CN104063309A (zh) * | 2013-03-22 | 2014-09-24 | 南京理工大学常熟研究院有限公司 | 基于模拟攻击的Web应用程序漏洞检测方法 |
| US20160267278A1 (en) * | 2013-11-08 | 2016-09-15 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus, terminal and media for detecting document object model-based cross-site scripting attack vulnerability |
| CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 李亚威、刘梓溪、丁士俊: "基于风险数据追踪的存储型XSS漏洞检测技术", 《计算机科学》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11798028B2 (en) | Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit | |
| US10397279B2 (en) | Directing audited data traffic to specific repositories | |
| US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
| US20200012785A1 (en) | Self-adaptive application programming interface level security monitoring | |
| US9591007B2 (en) | Detection of beaconing behavior in network traffic | |
| US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
| US10270805B2 (en) | System and method thereof for identifying and responding to security incidents based on preemptive forensics | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及*** | |
| JP6039826B2 (ja) | 不正アクセスの検知方法および検知システム | |
| JP2019536158A (ja) | 検知結果が有効であるかないかを検証する方法およびシステム | |
| KR101658456B1 (ko) | 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 | |
| KR101658450B1 (ko) | 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치. | |
| Englehardt | Automated discovery of privacy violations on the web | |
| KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| Dhivya et al. | Evaluation of web security mechanisms using vulnerability & Sql attack injection | |
| KR101650475B1 (ko) | 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 | |
| CN109768945A (zh) | 一种任意文件下载漏洞的检测装置及发现方法 | |
| KR101567967B1 (ko) | 악성코드 유포지 실시간 탐지/수집 장치 및 방법 | |
| KR20090075524A (ko) | 차단 대상 사이트에 대한 우회 접근을 차단하는 방법 및시스템 | |
| US10810302B2 (en) | Database access monitoring with selective session information retrieval | |
| KR102491184B1 (ko) | 전용 브라우저를 통한 네트워크 보안시스템 | |
| CN110768832B (zh) | 一种监测工业控制***信息安全域的方法 | |
| 小出駿 | A Study on Analyzing Cyber Attacks through Active and Passive Observation | |
| Bottazzi et al. | A New Scalable Botnet Detection Method in the Frequency Domain | |
| Zhao et al. | A Multi-view Graph Learning Approach for Host-Based Malicious Behavior Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190517 |
|
| WD01 | Invention patent application deemed withdrawn after publication |