[发明专利]漏洞验证方法及装置

权利要求书

1.一种漏洞验证方法，其特征在于，包括：

发送待验证链接给服务器，所述待验证链接或所述待验证链接的页面中包括用于验证指定漏洞的预设信息；所述预设信息具有对应的预设执行结果；

得到针对所述待验证链接的响应结果后，若所述响应结果中存在所述预设信息的所述预设执行结果，则确定存在所述指定漏洞；

若所述响应结果中不存在所述预设信息的所述预设执行结果，则确定所述预设信息在所述响应结果中的位置；

在所述响应结果中从确定的位置开始之前的指定字符区间段内，查找是否存在指定的触发事件标识；

若存在，则触发所述触发事件，并得到所述触发事件的事件响应结果；

若所述事件响应结果中存在所述预设信息的所述预设执行结果，则确定存在所述指定漏洞。

2.根据权利要求1所述的方法，其特征在于，所述触发所述触发事件之前，所述方法还包括：

若所述触发事件对应的操作对象的显示属性为隐性，则为所述操作对象配置触发所述触发事件的快捷键；

所述触发所述触发事件，具体包括：通过所述快捷键触发所述触发事件。

3.根据权利要求1所述的方法，其特征在于，所述触发所述触发事件之前，所述方法还包括：

若所述指定漏洞为反射型跨站脚本攻击漏洞，则从所述响应结果中注入所述预设信息的位置开始，检测该位置之前的标签引号是否闭合；

若未闭合，则将所述标签引号闭合，并将所述响应结果中的所述预设信息修改为与所述预设信息对应的能够被执行的指定信息。

4.根据权利要求1-3中任一所述的方法，其特征在于，

若所述指定漏洞为反射型跨站脚本攻击漏洞或多个前缀参数远程命令执行漏洞，则所述预设信息包括预设的可执行语句；

若所述指定漏洞为框架注入漏洞、链接注入漏洞、基于参数的URL跳转漏洞中的一种，则所述预设信息包括预设不可达或不存在的路径。

5.一种漏洞验证装置，其特征在于，包括：

发送模块，用于发送待验证链接给服务器，所述待验证链接或所述待验证链接的页面中包括用于验证指定漏洞的预设信息；所述预设信息具有对应的预设执行结果；

第一验证模块，用于得到针对所述待验证链接的响应结果后，若所述响应结果中存在所述预设信息的所述预设执行结果，则确定存在所述指定漏洞；

位置确定模块，用于若所述响应结果中不存在所述预设信息的所述预设执行结果，则确定所述预设信息在所述响应结果中的位置；

触发事件查找模块，用于在所述响应结果中从确定的位置开始之前的指定字符区间段内，查找是否存在指定的触发事件标识；

触发模块，用于若存在，则触发所述触发事件，并得到所述触发事件的事件响应结果；

第二验证模块，用于若所述事件响应结果中存在所述预设信息的所述预设执行结果，则确定存在所述指定漏洞。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

属性添加模块，用于在所述触发模块触发所述触发事件之前，若所述触发事件对应的操作对象的显示属性为隐性，则为所述操作对象配置触发所述触发事件的快捷键；

所述触发模块，具体用于通过所述快捷键触发所述触发事件。

7.根据权利要求5所述的装置，其特征在于，所述装置还包括：

标签引号检查模块，用于在所述触发模块触发所述触发事件之前，若所述指定漏洞为反射型跨站脚本攻击漏洞，则从所述响应结果中注入所述预设信息的位置开始，检测该位置之前的标签引号是否闭合；

标签引号闭合模块，用于若未闭合，则将所述标签引号闭合，并将所述响应结果中的所述预设信息修改为与所述预设信息对应的能够被执行的指定信息。

8.根据权利要求5-7中任一所述的装置，其特征在于，

若所述指定漏洞为反射型跨站脚本攻击漏洞或多个前缀参数远程命令执行漏洞，则所述预设信息包括预设的可执行语句；

若所述指定漏洞为框架注入漏洞、链接注入漏洞、基于参数的URL跳转漏洞中的一种，则所述预设信息包括预设不可达或不存在的路径。