技术特征:
1.一种漏洞测试方法,其特征在于,所述方法包括:通过网关设备获取终端与服务器之间传输的第一报文,所述网关设备部署于所述终端与所述服务器之间,所述第一报文包括第一字段,所述服务器用于向其他设备提供服务;根据所述第一报文包括的第一字段的内容识别所述服务器的服务描述信息,所述服务描述信息包括服务所属的应用类型、提供服务所基于的协议类型、提供服务所基于的资源路径url、或提供服务的版本标识;获取所述服务描述信息对应的测试载荷,所述测试载荷是用于测试所述服务对应的漏洞的字符串;通过所述网关设备向所述服务器发送测试报文,所述测试报文是根据所述测试载荷生成的;通过所述网关设备接收来自所述服务器的针对于所述测试报文的响应报文;如果所述响应报文包括所述测试载荷对应的预期结果,确定所述服务器存在所述漏洞,所述预期结果表示所述测试载荷执行成功。2.根据权利要求1所述的方法,其特征在于,所述根据所述第一报文包括的第一字段的内容识别所述服务器的服务描述信息,包括:根据所述第一字段的内容查询服务识别库,所述服务识别库中用于保存第一字段中的字符串与服务描述信息的对应关系;如果所述第一字段的内容与所述服务识别库中的目标字符串满足匹配条件,将所述服务识别库中所述目标字符串对应的服务描述信息确定为所述服务器的服务描述信息。3.根据权利要求1所述的方法,其特征在于,所述通过所述网关设备向所述服务器发送测试报文,包括:通过所述网关设备获取所述终端与所述服务器之间传输的第二报文;如果所述第二报文包括所述服务器的统一资源定位器url,使用所述测试载荷替换所述第二报文中指定字段的内容,从而生成所述测试报文;通过所述网关设备向所述服务器发送生成的测试报文。4.根据权利要求3所述的方法,其特征在于,所述第二报文为来自于所述终端、以所述服务器为目的方的请求报文。5.根据权利要求3所述的方法,其特征在于,所述指定字段为url字段、超文本传输协议http头字段、http体字段或者载荷字段。6.根据权利要求3所述的方法,其特征在于,所述使用所述测试载荷替换所述第二报文中指定字段的内容之前,所述方法还包括:以所述第二报文中的所述url为查询索引,查询载荷配置库,得到所述测试载荷以及说明信息,所述载荷配置库用于保存查询索引、测试载荷、说明信息之间的对应关系,所述说明信息用于指示所述测试载荷用于替换所述指定字段的内容;根据所述说明信息确定所述指定字段。7.根据权利要求1所述的方法,其特征在于,所述通过所述网关设备向所述服务器发送测试报文,包括:根据所述测试载荷、所述服务器的地址以及所述服务器的url生成测试报文,所述测试报文的载荷字段包括所述测试载荷,所述测试报文的目的地址字段包括所述服务器的地
址,所述测试报文的url字段包括所述服务器的url;通过所述网关设备向所述服务器发送生成的所述测试报文。8.根据权利要求1至7中任一项所述的方法,其特征在于,所述服务描述信息还包括提供服务所基于的容器类型、提供服务所基于的数据库类型、提供服务所基于的脚本语言中的至少一项。9.根据权利要求1至8中任一项所述的方法,其特征在于,所述第一报文为来自于所述终端、以所述服务器为目的方的请求报文,或者,所述第一报文为来自于所述服务器、以所述终端为目的方的响应报文。10.根据权利要求1至9中任一项所述的方法,其特征在于,所述第一字段包括互联网协议ip地址字段、域名字段、url字段、状态码字段、网络传输协议的标识字段、端口号字段、载荷字段中的至少一项。11.一种漏洞测试装置,其特征在于,所述漏洞测试装置包括:获取单元,用于通过网关设备获取终端与服务器之间传输的第一报文,所述网关设备部署于所述终端与所述服务器之间,所述第一报文包括第一字段,所述服务器用于向其他设备提供服务;处理单元,用于根据所述第一报文包括的第一字段的内容识别所述服务器的服务描述信息,所述服务描述信息包括服务所属的应用类型、提供服务所基于的协议类型、提供服务所基于的资源路径url、或提供服务的版本标识;所述获取单元,还用于获取所述服务描述信息对应的测试载荷,所述测试载荷是用于测试所述服务对应的漏洞的字符串;发送单元,用于通过所述网关设备向所述服务器发送测试报文,所述测试报文是根据所述测试载荷生成的;所述获取单元,还用于通过所述网关设备接收来自所述服务器的针对于所述测试报文的响应报文;所述处理单元,还用于如果所述响应报文包括所述测试载荷对应的预期结果,确定所述服务器存在所述漏洞,所述预期结果表示所述测试载荷执行成功。12.根据权利要求11所述的漏洞测试装置,其特征在于,所述处理单元,用于根据所述第一字段的内容查询服务识别库,所述服务识别库中用于保存第一字段中的字符串与服务描述信息的对应关系;如果所述第一字段的内容与所述服务识别库中的目标字符串满足匹配条件,将所述服务识别库中所述目标字符串对应的服务描述信息确定为所述服务器的服务描述信息。13.根据权利要求11所述的漏洞测试装置,其特征在于,所述获取单元,还用于通过所述网关设备获取所述终端与所述服务器之间传输的第二报文;所述处理单元,还用于如果所述第二报文包括所述服务器的统一资源定位器url,使用所述测试载荷替换所述第二报文中指定字段的内容,从而生成所述测试报文;所述发送单元,用于通过所述网关设备向所述服务器发送生成的测试报文。14.根据权利要求13所述的漏洞测试装置,其特征在于,所述处理单元,还用于以所述第二报文中的所述url为查询索引,查询载荷配置库,得到所述测试载荷以及说明信息,所述载荷配置库用于保存查询索引、测试载荷、说明信息之间的对应关系,所述说明信息用于
指示所述测试载荷用于替换所述指定字段的内容;根据所述说明信息确定所述指定字段。15.根据权利要求11所述的漏洞测试装置,其特征在于,所述处理单元,还用于根据所述测试载荷、所述服务器的地址以及所述服务器的url生成测试报文,所述测试报文的载荷字段包括所述测试载荷,所述测试报文的目的地址字段包括所述服务器的地址,所述测试报文的url字段包括所述服务器的url;所述发送单元,用于通过所述网关设备向所述服务器发送生成的所述测试报文。16.一种测试服务器,其特征在于,所述测试服务器包括处理器和通信接口,所述处理器用于执行程序代码,使得所述测试服务器执行如权利要求1至权利要求10中任一项所述的漏洞测试方法,所述通信接口用于接收或发送报文。17.一种网关设备,其特征在于,所述网关设备包括处理器和通信接口,所述处理器用于执行程序代码,使得所述网关设备执行如权利要求1至权利要求10中任一项所述的漏洞测试方法,所述通信接口用于接收或发送报文。18.一种网络系统,其特征在于,所述网络系统包括测试服务器和网关设备,所述网络系统用于执行如权利要求1至权利要求10中任一项所述的漏洞测试方法。19.一种计算机程序产品,其特征在于,所述计算机程序产品包括一个或多个计算机程序指令,当所述计算机程序指令被计算机加载并执行时,使得所述计算机执行权利要求1至10中任一项所述的漏洞测试方法。
技术总结
本申请提供了一种漏洞测试方法及装置,属于计算机领域。本申请提供了一种基于网关实现漏洞测试的方法,通过在终端与服务器进行交互的过程中,利用部署在终端与服务器之间的网关设备来获取终端与服务器交互的报文,根据报文中字段的内容自动地识别出服务器提供服务的一些具体信息,例如应用类型、协议类型、URL或者版本等,利用识别出的信息获得相应的测试载荷,利用测试载荷构造测试报文,根据服务器针对测试报文的响应报文从而发现服务器上存在的漏洞。一方面提高了漏洞测试效率,另一方面测试的目标更加精细,因此能够显著提升漏洞测试效果。试效果。试效果。
技术研发人员:杨利东
受保护的技术使用者:华为技术有限公司
技术研发日:2020.11.16
技术公布日:2022/6/4