一种基于中间件安全漏洞检查方法和系统与流程

1.本发明涉及web应用安全领域，尤其涉及一种基于中间件安全漏洞检查方法和系统。


背景技术：

2.随着互联网的快速发展，web应用程序已深入到人们的日常生活中。web 应用程序便捷了人们的日常生活，但也同时存在着很多安全隐患，如果设计和开发不重视安全问题，不法人员会利用系统的安全漏洞窃取或篡改一些信息，造成信息泄露或者财产损失。
3.截止目前发现的安全漏洞类型有很多，比如sql注入、xss、敏感信息泄露、暴力破解、中间件泄露等，目前大多数的漏洞，都需要靠人工手工去验证。在人工渗透的链接不全，且耗时较长。


技术实现要素：

4.本发明所要解决的技术问题是针对现有技术的不足，提供一种基于中间件安全漏洞检查方法和系统。
5.本发明解决上述技术问题的技术方案如下：
6.一种基于中间件安全漏洞检查方法，包括：
7.通过爬虫工具获得多个待查链接；
8.根据每个待查链接分别向服务器发送请求，获得每个待查链接对应的请求结果；
9.对任一请求结果进行分析，获得所述任一请求结果中的第一返回值；
10.当所述第一返回值满足预设条件时，则对应的待查链接发生中间件泄露。
11.本发明解决上述技术问题的另一种技术方案如下：
12.一种基于中间件安全漏洞检查系统，包括：链接获取模块、请求模块、分析模块和判断模块；
13.所述链接获取模块用于通过爬虫工具获得多个待查链接；
14.所述请求模块用于根据每个待查链接分别向服务器发送请求，获得每个待查链接对应的请求结果；
15.所述分析模块用于对任一请求结果进行分析，获得所述任一请求结果中的第一返回值；
16.所述判断模块用于当所述第一返回值满足预设条件时，则对应的待查链接发生中间件泄露。
17.本方案通过根据每个待查链接向服务器发送请求，获得请求结果；对请求结果进行分析，获得请求结果中的第一返回值；对第一返回值进行预设条件的判断，相比较现有的人工验证中间件泄露，本方案渗透的链接全面，安全漏检查耗时短，效率高。
18.本发明附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明实践了解到。
附图说明
19.图1为本发明的实施例提供的一种基于中间件安全漏洞检查方法的流程示意图；
20.图2为本发明的实施例提供的一种基于中间件安全漏洞检查系统的结构框图；
21.图3为本发明的其他实施例提供的中间件泄露的信息的示意图；
22.图4为本发明的其他实施例提供的请求和请求答复结果的记录日志示意图。
具体实施方式
23.以下结合附图对本发明的原理和特征进行描述，所举实施例只用于解释本发明，并非用于限定本发明的范围。
24.如图1所示，为本发明实施例提供的一种基于中间件安全漏洞检查方法，包括：
25.s1，通过爬虫工具获得多个待查链接；其中，爬虫工具可以是针对web 系统进行5层级的深度爬虫，例如，工具burpsuite。
26.s2，根据每个待查链接分别向服务器发送请求，获得每个待查链接对应的请求结果；在某一实施例中，对爬虫出的链接向服务器发送请求，返回的请求结果可以包括：headers：返回码、server、date、content-type、connection、vary、accept-encoding、location_gray、x-xss-protection、referrer-policy，出参。将请求和请求答复结果记录到日志中，如图4所示
27.s3，对任一请求结果进行分析，获得所述任一请求结果中的第一返回值；其中，第一返回值可以是
″
server
″
返回值。
28.在另一实施例中，对请求结果进行分析可以包括：
29.1.检查responses中是否存在
″
server：
″
返回值。如果有返回值则表示有发生中间件泄露，没有则表示没有发生中间件泄露，即
″
server：
″
返回值为不为空则有发生中间件泄露，返回值为空则没有中间件泄露。
30.2.
″
server：
″
返回值是否包含版本号，如果泄露，返回值中会有中间件版本号和中间件名称，特别是包含中间件版本号。
31.结合1和2的判断结果，截取responses中有中间件版本号泄露的请求链接、中间件、版本号；其中，根据server结果来判断，server值即为中间件及版本号。分析后有中间件泄露的信息的表格如图3所示。在另一实施例中，可以将分析构成做出脚本对日志内容进行深度分析
32.s4，当所述第一返回值满足预设条件时，则对应的待查链接发生中间件泄露。
33.本方案通过根据每个待查链接向服务器发送请求，获得请求结果；对请求结果进行分析，获得请求结果中的第一返回值；对第一返回值进行预设条件的判断，相比较现有的人工验证中间件泄露，本方案渗透的链接全面，安全漏检查耗时短，效率高。
34.优选地，在上述任意实施例中，所述预设条件包括：第一预设条件和第二预设条件；
35.所述第一返回值满足预设条件具体包括：
36.所述第一返回值同时满足第一预设条件和第二预设条件；
37.所述第一预设条件包括：所述第一返回值不为空；
38.所述第二预设条件包括：所述第一返回值包括：中间件名称和中间件版本号。
39.优选地，在上述任意实施例中，满足所述第二预设条件的判断过程包括：
40.对所述第一返回值进行分解；
41.分解出中间件版本号所在位置的字段；
42.对所述字段进行判断，当所述字段具有中间件版本号，则第一返回值满足第二预设条件。
43.优选地，在上述任意实施例中，当所述第一返回值不满足预设条件时，判断对应的待查链接安全。
44.优选地，在上述任意实施例中，所述第一返回值不满足预设条件具体包括：
45.所述第一返回值不满足所述第一预设条件和所述第二预设条件中至少一个。
46.在某一实施例中，如图2所示，一种基于中间件安全漏洞检查系统，包括：链接获取模块1101、请求模块1102、分析模块1103和判断模块1104；
47.所述链接获取模块1101用于通过爬虫工具获得多个待查链接；
48.所述请求模块1102用于根据每个待查链接向服务器发送请求，获得每个待查链接对应的请求结果；
49.所述分析模块1103用于对任一请求结果进行分析，获得所述任一请求结果中的第一返回值；
50.所述判断模块1104用于当所述第一返回值满足预设条件时，则对应的待查链接发生中间件泄露。
51.本方案通过根据每个待查链接向服务器发送请求，获得请求结果；对请求结果进行分析，获得请求结果中的第一返回值；对第一返回值进行预设条件的判断，相比较现有的人工验证中间件泄露，本方案渗透的链接全面，安全漏检查耗时短，效率高。
52.优选地，在上述任意实施例中，所述预设条件包括：第一预设条件和第二预设条件；
53.所述第一返回值满足预设条件具体包括：
54.所述第一返回值同时满足第一预设条件和第二预设条件；
55.所述第一预设条件包括：所述第一返回值不为空；
56.所述第二预设条件包括：所述第一返回值包括：中间件名称和中间件版本号。
57.优选地，在上述任意实施例中，所述判断模块1104具体用于对所述第一返回值进行分解；
58.分解出中间件版本号所在位置的字段；
59.对所述字段进行判断，当所述字段具有中间件版本号，则第一返回值满足第二预设条件。
60.优选地，在上述任意实施例中，所述判断模块1104还用于当所述第一返回值不满足预设条件时，判断对应的待查链接安全。
61.优选地，在上述任意实施例中，所述第一返回值不满足预设条件具体包括：
62.所述第一返回值不满足所述第一预设条件和所述第二预设条件中至少一个。
63.可以理解，在一些实施例中，可以包含如上述各实施例中的部分或全部可选实施方式。
64.需要说明的是，上述各实施例是与在先方法实施例对应的产品实施例，对于产品
实施例中各可选实施方式的说明可以参考上述各方法实施例中的对应说明，在此不再赘述。
65.读者应理解，在本说明书的描述中，参考术语
″
一个实施例
″
、
″
一些实施例
″
、
″
示例
″
、
″
具体示例”、或
″
一些示例
″
等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
66.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的方法实施例仅仅是示意性的，例如，步骤的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个步骤可以结合或者可以集成到另一个步骤，或一些特征可以忽略，或不执行。
67.上述方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom， read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
68.以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。