[发明专利]系统命令注入漏洞检测方法和装置、设备及存储介质

说明书

本申请公开了一种系统命令注入漏洞检测方法，该方法通过构造payload，将payload插入到HTTP请求中并记录payload和HTTP请求参数，将HTTP请求发送给目标操作系统，由使目标操作系统执行payload进行DNS查询，从自建DNS服务器中获取DNS查询记录，若DNS查询记录中包括特定字符串，依据HTTP请求参数确定漏洞位置，通过基于DNS通道的系统命令注入漏洞检测能够对系统命令注入漏洞进行快速检测，对目标应用程序不要求是否有回显，适用的目标更加广泛，且能够快速对漏洞进行检测减少了漏洞检测时间，提高了扫描效率，并且正确性上有稳步提高，减少了误报率和漏报率。

技术领域

本公开涉及计算机安全领域，尤其涉及一种系统命令注入漏洞检测方法和装置、设备及存储介质。

背景技术

系统命令为了方便应用程序的使用者处理相关应用场景的功能，各种常见的语言都提供了命令执行相关类函数，同时调用的变量未考虑安全因素，就会执行恶意的命令调用，被攻击利用。应用中，因为是由程序拼凑命令行(包括参数)来实现调用外部程序的，因此用户也能够通过小计量来突破限制，实现调用其他外部程序。系统命令注入即能够在服务器上执行任意命令，利用系统命令注入漏洞可以根据远程攻击者的指令执行命令来对系统进行远程控制。

现有技术中，系统命令注入检测是常见的漏洞检测方式之一，按照判断漏洞的方法，系统命令注入漏洞检测方法包括基于页面响应有回显的系统命令注入检测，基于时间盲注的系统命令注入漏洞检测。

基于页面响应有回显的系统命令注入漏洞检测通过构造带有合适payload的请求包使当前应用程序输出特定的字符串，根据判断这个预定于的字符串来判断漏洞是否存在。当应用程序执行了系统命令不改变页面回显时，根据前面的检测方法将会判断系统命令注入漏洞不存在，导致系统命令注入漏洞的漏报。

基于时间盲注的系统命令注入漏洞检测通过构造带有合适payload的请求包使当前应用程序响应时间发生改变，通过多次请求来判断页面响应耗时与带有预定于的payload请求包是否匹配来判断是否存在系统命令注入漏洞。基于时间盲注的系统命令注入漏洞检测可以不依赖响应内容来检测无回显的情况下发生的漏洞。但在实际过程中，由于网络波动造成的网络延迟将不可避免，导致采用基于时间盲注的系统命令注入漏洞检测方法也比较容易产生误报，另一方面在检测耗时上也比较多，检测效率不高。

发明内容

有鉴于此，本公开提出了一种系统命令注入漏洞检测方法，用于检测目标操作系统中的漏洞，包括：

构造payload；其中，所述payload包含特定字符串；

将所述payload插入到HTTP请求中并记录所述payload和HTTP请求参数；

将所述HTTP请求发送给所述目标操作系统，由使所述目标操作系统执行所述payload进行DNS查询；

从自建DNS服务器中获取DNS查询记录，若所述DNS查询记录中包括所述特定字符串，依据所述HTTP请求参数确定漏洞位置；

其中，所述DNS查询记录包含所述目标操作系统进行DNS查询时得到的信息。

在一种可能的实现方式中，所述构造payload包括：

随机生成一组所述特定字符串；

将所述特定字符串与预设域名进行拼接得到域名串；

将所述域名串填充到命令中得到所述payload。

在一种可能的实现方式中，将所述payload插入到HTTP请求中并记录所述payload和HTTP请求参数包括：

将所述payload插入到所述HTTP请求中对应的参数中；

记录所述特定字符串和所述HTTP请求参数；