云API的漏洞检测方法、装置、计算机设备和存储介质与流程

本申请涉及云计算和云安全，特别是涉及一种云api的漏洞检测方法、装置、计算机设备和存储介质。

背景技术：

1、随着云平台技术的发展，云平台的数据安全凸显的更高重要。云平台通过云api向购买者提供服务，对于api，若存在ssrf漏洞风险，则攻击者通过调用存在漏洞的接口使服务器向未预期的地址发出http请求，并获得响应。因此，及时发现存在ssrf等漏洞的云api至关重要。

2、传统的漏洞检测方法，通过爬虫获取网站、web应用的接口，再通过批量使用poc替换接口中与发起请求相关的参数(或遍历替换所有参数)来进行漏洞发现。整个检测过程长，检测效率低。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够检测效率的云api的漏洞检测方法、装置、计算机设备和存储介质。

2、一种云api的漏洞检测方法，包括：

3、获取待测云api的请求参数结构；

4、解析所述请求参数结构，获取所述请求参数结构的特征；

5、若根据所述请求参数结构的特征确定所述待测云api具有漏洞风险，则根据所述请求参数结构对所述待测云api进行漏洞验证，得到所述待测云api的漏洞检测结果。

6、一种云api的漏洞检测装置，包括：

7、获取模块，用于获取待测云api的请求参数结构；

8、解析模块，用于解析所述请求参数结构，获取所述请求参数结构的特征；

9、验证模块，用于若根据所述请求参数结构的特征确定所述待测云api具有漏洞风险，则根据所述请求参数结构对所述待测云api进行漏洞验证，得到所述待测云api的漏洞检测结果。

10、一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

11、获取待测云api的请求参数结构；

12、解析所述请求参数结构，获取所述请求参数结构的特征；

13、若根据所述请求参数结构的特征确定所述待测云api具有漏洞风险，则根据所述请求参数结构对所述待测云api进行漏洞验证，得到所述待测云api的漏洞检测结果。

14、一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

15、获取待测云api的请求参数结构；

16、解析所述请求参数结构，获取所述请求参数结构的特征；

17、若根据所述请求参数结构的特征确定所述待测云api具有漏洞风险，则根据所述请求参数结构对所述待测云api进行漏洞验证，得到所述待测云api的漏洞检测结果。

18、一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

19、获取待测云api的请求参数结构；

20、解析所述请求参数结构，获取所述请求参数结构的特征；

21、若根据所述请求参数结构的特征确定所述待测云api具有漏洞风险，则根据所述请求参数结构对所述待测云api进行漏洞验证，得到所述待测云api的漏洞检测结果。

22、上述云api的漏洞检测方法、装置、计算机设备、存储介质和计算机程序产品，在根据云api的请求参数，获取请求参数结构的特征，若根据请求参数结构的特征确定待测云api具有漏洞风险，则进一步对云api进行漏洞验证。由于先根据请求参数结构的特征确定待测云api是否具有漏洞风险，只对具有漏洞风险的云api进行漏洞验证，能够提高云api的漏洞检测效率。

技术特征：

1.一种云api的漏洞检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，获取云平台的待测云api的请求参数结构，包括：

3.根据权利要求1所述的方法，其特征在于，解析所述请求参数结构，获取所述请求参数结构的特征，包括：解析所述请求参数结构，获取请求参数结构中目标类型参数的参数键值。

4.根据权利要求1或3所述的方法，其特征在于，根据所述请求参数结构的特征确定所述待测云api是否具有漏洞风险的方式，包括：

5.根据权利要求4所述的方法，其特征在于，所述风险特征包括：具有ssrf漏洞风险的云api在目标类型参数维度所具有的预设关键词；

6.根据权利要求3所述的方法，其特征在于，若所述目标类型参数为请求数据类型时，解析所述请求参数结构，获取所述请求参数结构中目标类型参数的参数键值，包括：

7.根据权利要求1或5所述的方法，其特征在于，根据所述请求参数结构对所述云api进行漏洞验证，得到所述待测云api的漏洞检测结果，包括：

8.一种云api的漏洞检测装置，其特征在于，包括：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

11.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

技术总结
本申请涉及一种云API的漏洞检测方法、装置、计算机设备和存储介质，可应用于云技术、人工智能、智慧交通、辅助驾驶等各种场景。该方法包括：获取待测云API的请求参数结构；解析请求参数结构，获取请求参数结构的特征；若根据请求参数结构的特征确定待测云API具有漏洞风险，则根据请求参数结构对待测云API进行漏洞验证，得到待测云API的漏洞检测结果。由于先根据请求参数结构的特征确定待测云API是否具有漏洞风险，只对具有漏洞风险的云API进行漏洞验证，能够提高云API的漏洞检测效率。

技术研发人员：耿明旭,张祖优,董志强
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：
技术公布日：2024/1/14