一种web框架注入漏洞检测方法及装置与流程

技术特征：

1.一种web框架注入漏洞检测方法，其特征在于，所述方法包括：

向全球广域网web应用发送第一探测请求，所述第一探测请求中包括触发异常响应的随机字符串；当从所述web应用接收的第一响应内容中包括所述触发异常响应的随机字符串时，确定所述web应用的潜在框架注入漏洞注入点；

根据所述触发异常响应的随机字符串在所述第一响应内容中出现的位置和所述第一响应内容，生成待闭合的标签组；

根据所述待闭合的标签组生成探测代码，将所述探测代码注入到所述潜在框架注入漏洞注入点后，向所述web应用发送包括所述探测代码的第二探测请求；获取与所述第二探测请求对应的第二响应内容，根据所述第二响应内容确定所述web应用的数据处理特点集合；

根据所述数据处理特点集合和所述待闭合的标签组生成框架代码；将所述框架代码注入到所述潜在框架注入漏洞注入点后，向所述web应用发送包括所述框架代码的第三探测请求；获取与所述第三探测请求对应的第三响应内容，当从所述第三响应内容中确定所述框架代码被执行时，确定所述web应用存在框架注入漏洞。

2.根据权利要求1所述的方法，其特征在于，所述触发异常响应的随机字符串为普通随机字符串、触发异常响应字符串的组合；

所述根据所述触发异常响应的随机字符串在所述第一响应内容中出现的位置和所述第一响应内容，生成待闭合的标签组，包括：

对所述第一响应内容进行字符串分割，确定所述触发异常响应的随机字符串在所述第一响应内容中出现位置之后的n-1个字符串；

根据所述n-1个字符串，生成所述待闭合的标签组。

3.根据权利要求2所述的方法，其特征在于，所述根据所述n-1个字符串，生成所述待闭合的标签组，包括：

针对所述n-1个字符串中的第一字符串，所述第一字符串为所述n-1个字符串中的任意一个；获取所述第一字符串对应的m个初始超级文本标记语言html标签，将m个初始html标签进行前向相同相消，得到去重后的第一标签集合；

对所述n-1个字符串对应的n-1个第一标签集合进行消重后，与预设标签集合取交集，得到所述待闭合的标签组。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述根据所述数据处理特点集合和所述待闭合的标签组生成框架代码，包括：

根据所述数据处理特点集合填充框架注入漏洞探测规则模板中的标签，生成框架注入漏洞探测规则；其中，所述框架注入漏洞探测规则模板包括协议标识、框架标识、随机域名、符号标识；

根据所述框架注入漏洞探测规则、所述待闭合的标签组和所述触发异常响应字符串生成所述框架代码。

5.根据权利要求1至3任一项所述的方法，其特征在于，所述根据所述待闭合的标签组生成探测代码，包括：

根据所述待闭合的标签组和所述触发异常响应字符串、多组随机数，以及探测web应用对输入数据处理特点的规则组，生成探测代码；所述规则组用于探测至少一个web应用对输入数据处理的特点。

6.根据权利要求5所述的方法，其特征在于，由所述多组随机数和所述规则组组成的拼接字符串的长度不超过所述框架代码中漏洞探测规则的最大长度。

7.根据权利要求1至3任一项所述的方法，其特征在于，所述根据所述第二响应内容确定所述web应用的数据处理特点集合，包括：

从所述第二响应内容中获取所述多组随机数和所述探测web应用对输入数据处理特点的规则组对应的响应内容；

根据所述多组随机数和所述探测web应用对输入数据处理特点的规则组，得到所述数据处理特点集合。

8.一种web框架注入漏洞检测装置，其特征在于，所述装置包括：

发送单元，用于向web应用发送第一探测请求，所述第一探测请求中包括触发异常响应的随机字符串；

处理单元，用于当从所述web应用接收的第一响应内容中包括所述触发异常响应的随机字符串时，确定所述web应用的潜在框架注入漏洞注入点；

所述处理单元，还用于根据所述触发异常响应的随机字符串在所述第一响应内容中出现的位置和所述第一响应内容，生成待闭合的标签组；

所述处理单元，还用于根据所述待闭合的标签组、web应用对输入数据处理特点探测规则组和触发异常响应字符串生成探测代码；

所述发送单元，还用于将所述探测代码注入到所述潜在框架注入漏洞注入点后，向所述web应用发送包括所述探测代码的第二探测请求；

接收单元，用于获取与所述第二探测请求对应的第二响应内容；

所述处理单元，还用于根据所述第二响应内容确定所述web应用的数据处理特点集合；

所述处理单元，还用于所述根据所述数据处理特点集合、所述框架注入漏洞探测规则模板、所述待闭合的标签组和所述触发异常响应字符串生成框架代码；

所述发送单元，还用于将所述框架代码注入到所述潜在框架注入漏洞注入点后，向所述web应用发送包括所述框架代码的第三探测请求；

所述接收单元，还用于获取与第三探测请求对应的第三响应内容；

所述处理单元，还用于当从所述第三响应内容中确定所述框架代码被执行时，确定所述web应用存在框架注入漏洞。

9.一种计算设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于调用所述存储器中存储的程序，按照获得的程序执行如权利要求1至7中任一项所述的方法。

10.一种计算机存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行程序，所述计算机可执行程序用于使所述计算机执行如权利要求1至7中任一项所述的方法。

技术总结
本申请公开了一种web框架注入漏洞检测方法及装置，方法包括：客户端向web应用发送包括触发异常响应的随机字符串的第一探测请求，当第一响应内容中包括上述触发异常响应的随机字符串时，客户端确定出web应用的潜在框架注入漏洞注入点并生成待闭合的标签组，再结合web应用对输入数据处理特点探测规则组、触发异常响应字符串生成探测代码并注入到潜在框架注入漏洞注入点后，向web应用发送对应的第二探测请求，获取第二响应内容。接着生成框架代码并注入到潜在框架注入漏洞注入点并发送对应第三探测请求，获取第三响应内容。当确定注入框架代码被执行时，确定该web应用存在框架注入漏洞，用以解决现有技术中无法高效、全面地检测出web框架注入漏洞的问题。

技术研发人员：田杰;张鑫;符春辉;吴骁
受保护的技术使用者：绿盟科技集团股份有限公司;北京神州绿盟科技有限公司
技术研发日：2020.06.24
技术公布日：2020.10.13