本發明專利技術公開了一種發現Web內網代理漏洞的方法,通過網絡爬蟲技術來實現內網網絡頁面抓取,獲得全部頁面的URL。然后基于URL規范和參數值特征進行兩次過濾,篩選出可能存在內網代理漏洞的URL。在Web內網中構造特征頁面,該特征頁面包含一段MD5串。對于每一個過濾后的URL,將原來包含URL的參數內容替換為特征頁面的URL,請求替換之后的URL,如果請求回應中包含特征頁面中的MD5串,則認為該頁面URL存在內網代理漏洞,否則,則認為該頁面URL不存在內網代理漏洞。程序化的內網代理檢測方法避免了人工方法的不足,可有效并且全面地發現Web服務中存在的內網代理漏洞,提高Web安全性。
【技術實現步驟摘要】
本專利技術涉及一種發現漏洞的方法,特別涉及一種。
技術介紹
一般情況下,客戶通過公共的Web服務間接使用代理模塊提供的服務。如果開發者沒有對代理模塊的使用做任何限制,那么,客戶就可以直接訪問代理模塊,并構造合適的參數來訪問任意的內網資 源,從而使得網絡隔離策略被繞過。如果存在上述可能,那么,網站的應用邏輯就包含內網代理漏洞。目前,內網代理漏洞的檢測方法主要分為人工代碼審核與黑盒發現技術兩種。(I)人工代碼審核。通過人工對代碼中可能出現的問題進行分析,從而發現潛在的內網代理問題。人工代碼審核的漏洞發現的檢準率較高,但由于Web應用的復雜性,代碼的龐雜,造成檢全率較低。(2)黑盒發現技術。黑盒發現技術不關心具體的代碼實現,而是從Web服務接口出發,去尋找外界不可訪問的內網資源,由此從Web接口中發現潛在的內網代理問題。比如下面的URL可能存在潛在的內網代理問題http://test, web, org/proxy. php proxy=internal. web, org 上述URL包含一個proxy參數,其值是一個其他Web地址的URL,因而,從形式上可以推測該URL存在可能的內網代理問題。為了確認漏洞,測試者需要找到真實存在的,外界不可訪問的內網地址,并且通過該URL可以訪問到這個內網地址。因此,黑盒發現技術雖然不需要了解復雜的Web服務代碼,但是其過程也需要花費大量人工測試的時間。現有技術在發現內網代理漏洞上都需要人工參與。其中,代碼審核過程需要審核人精通服務器編程語言和Web邏輯,而黑盒發現技術需要測試者熟悉Web工作方式,并且有豐富的滲透測試經驗。兩種方法在技術上要求都較高,同時,由于人力因素,不可能達到較高的檢全率。
技術實現思路
本專利技術的目的是提供一種降低人工成本并提高Web安全性的。本專利技術提供的這種,在外界不能訪問的內部服務器上部署一個Web服務,并在Web服務內放置一個含有構造的簽名的簽名頁面,實現所述方法的步驟包括 步驟I,采用網絡爬蟲技術獲取網站內所有Web站點頁面的URL并保存; 步驟2,對步驟I的頁面URL進行判斷,若頁面URL中包含值符合URL規范的參數,保存該URL,否則,丟棄該頁面; 步驟3,將URL中包含URL規范參數值替換為指向簽名頁面; 步驟4,訪問替換后的URL ;步驟5,檢查訪問結果是否包含構造的簽名,若訪問結果包含構造的簽名,則認為該頁面存在內網代理漏洞,若訪問結果不包含構造的簽名,則認為該頁面URL不存在內網代理漏洞。為了提高程序的運行速度,對于步驟2得到的每一個URL,根據URL規范進行參數部分的解析,保留參數值滿足URL規范的URL ;然后對于URL中參數相同但該參數對應的值不同的URL進行過濾,只保留其中一個URL,從而獲得可能存在內網漏洞的URL并保存。本專利技術提供的這種,內網代理漏洞的自動識別技術通過程序化的方法,代替人工代碼審核,自動檢出并且判定內網代理漏洞是否存在,可為網站開發者和網站管理員快速發現并解 決內網代理漏洞問題。程序化的內網代理檢測方法不需要人工參與,操作者只需要啟動檢測過程,顯著降低了檢測難度。程序化的內網代理檢測方法避免了人工方法的不足,可有效、全面地發現Web服務中存在的內網代理漏洞,提高Web安全性。附圖說明圖I是本專利技術的內網代理頁面的展現示意圖。圖2是本專利技術的內網代理頁面的判定示意圖。圖3是本專利技術的一種優選實施例的流程圖。具體實施例方式本專利技術使用程序化的方法來發現并判定內網代理漏洞。使用時,操作者只需要啟動檢測程序即可。本專利技術以黑盒測試作為出發點,將黑盒測試過程歸結為URL發現和漏洞驗證兩部分。URL發現用于從Web應用中提取出所有的頁面。考慮到URL參數的變化,一個典型的Web應用通常包含幾萬到幾十萬條獨立的URL。對每一條URL進行獨立分析將花費大量時間。因此,基于提取結果應用過濾策略,降低分析數量,才能使分析時間變得可接受。如果不對URL進行過濾,也能實現Web內網代理漏洞的查找,只是程序的執行會耗費更多時間。在黑盒測試方法中,漏洞驗證需要測試者找到真實存在的內網頁面。該過程需要測試者有較高的測試技巧,難度較高。大部分關于內網代理漏洞的測試實際上都發生在開發者或者管理員對自己站點的安全評估過程中。因此,測試本身擁有對內網的訪問權限。從這個事實出發,本專利技術通過構造特殊的內網頁面,并通過該構造的特殊頁面來判定內網代理漏洞的真實性。本專利技術在具體實施上分為發現和判定兩個階段。(I)發現階段 首先,本專利技術應用網絡爬蟲技術,爬取網頁內容中所有的鏈接,從而發現網站所包含的所有頁面URL以及URL參數。由于對所有頁面URL進行分析存在較大的計算量,為了降低后續處理難度,這里需要對結果進行過濾。過濾分為兩個階段。第一階段,將頁面URL中參數值本身是其他URL的頁面提取出來。RFC 2396和RFC 2732定義了絕對URL和相對URL的格式要求。因此,滿足該要求的參數值被程序認為是一個有效的URL。由于所有的頁面URL都需要做上述過濾,為了保證執行效率,格式規范本身使用正則表達式描述,而匹配過程則使用確定有窮自動機技術進行處理。假設字符串長度為n,確定有窮自動機技術可以在0(n)的時間復雜度下完成匹配,因而可以達到線性的處理速度。第一階段過濾后的URL均包含一個值滿足URL格式的參數,假設這個參數是P。第二階段,將其他參數相同,僅P所包含的值不同的URL進行過濾,只保留其中一個。由于具備內網代理功能的頁面通常作為公共組件為其他頁面提供服務,因而,在頁面抓取過程中會發現大量其他頁面引用內網代理頁面的情況,這些情況在本質上屬于同一個后臺邏輯,在分析上進行一次即可。在完成爬蟲抓取和過濾之后,將得到所有可能存在內網代理問題的頁面URL。這些URL已經不可能進行進一步的處理和去重,需要逐一進行驗證分析。(2)判定階段 為了判定一個頁面是否可以成為內網資源的訪問代 理,本專利技術并不是去尋找外界不可訪問的內網資源,是通過在內網構造外界不可見也不可訪問的內網資源來實現判定的目的。程序判定的過程面臨的首要問題是誤報。如圖I所示,考慮一個內網代理頁面所展現的內容。在A部分,內網代理頁面包含標準的HTTP頭部信息,而在B和D部分,內網代理頁面包含與實現相關的其他內容,C部分包含內網代理頁面訪問到的內網資源部分。網頁展現通過標準的HTML語言來實現。HTML語言通過標簽描述了一個樹形結構,這被稱為DOM樹。和Web邏輯實現相關,C部分可能簡單地包含內網頁面body標簽內的HTML代碼,也可能將內網頁面內容包含在div標簽中,或者其他可能的方式。通過DOM遍歷的方式可以定位到內網資源在內網代理頁面中的位置,但是由于Web邏輯本身的多樣性,其過程及其復雜。本專利技術將DOM查找的過程簡化為字符串查找的過程。如圖2所示,首先,在外界不能訪問的內部服務器上部署一個Web服務,并在Web服務內放置一個特殊的頁面X。頁面X包含一段文本的MD5串(見圖2中斜體字)。其次,對于每一個需要判定是否包含內網代理的頁面URL,將原來包含URL的參數內容替換為X的URL (見圖2中斜體字)。最后,請求替換之后的URL,如果請求回應中包含頁面X中的MD5串,那么,則認為頁本文檔來自技高網...
【技術保護點】
一種發現Web內網代理漏洞的方法,其特征在于,在外界不能訪問的內部服務器上部署一個Web服務,并在Web服務內放置一個含有構造的簽名的簽名頁面,實現所述方法的步驟包括:步驟1,采用網絡爬蟲技術獲取網站內所有Web站點頁面的URL并保存;步驟2,對步驟1的頁面URL進行判斷,若頁面URL中包含值符合URL規范的參數,保存該URL,否則,丟棄該頁面;?步驟3,將URL中包含URL規范參數值替換為指向簽名頁面;步驟4,訪問替換后的URL;步驟5,檢查訪問結果是否包含構造的簽名,若訪問結果包含構造的簽名,則認為該頁面存在內網代理漏洞,若訪問結果不包含構造的簽名,則認為該頁面URL不存在內網代理漏洞。
【技術特征摘要】
【專利技術屬性】
技術研發人員:周耕輝,
申請(專利權)人:周耕輝,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。