[发明专利]一种基于WEB应用的文件上传漏洞检测方法及系统

权利要求书

1.一种基于WEB应用的文件上传漏洞检测方法，其特征在于，包括以下步骤：

步骤1，遍历网站或应用中的文件上传请求并记录所述文件上传请求；

步骤2，预先对文件上传漏洞进行全面分析以生成兼容式的漏洞攻击用例列表，以及从所述兼容式的漏洞攻击用例列表中选择与所述文件上传请求相对应的漏洞攻击用例；

步骤3，基于所述漏洞攻击用例和所述文件上传请求生成用于检测所述网站或应用的文件上传漏洞的多个攻击载荷；

步骤4，上传所述多个攻击载荷至WEB服务器并进行攻击测试，以及根据所述多个攻击载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞。

2.根据权利要求1所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

步骤1具体包括：

步骤101，加载所述网站或应用的统一资源定位器的地址；

步骤102，对所述网站或应用进行分析以识别被检测网站或应用所使用的系统、语言和中间件；

步骤103，遍历所述网站或应用中的文件上传请求并将所述文件上传请求一一保存至文件上传请求列表中。

3.根据权利要求2所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

步骤2包括：

预先生成的所述兼容式的漏洞攻击用例列表适应多于一种系统、语言和中间件，并包含基于多于一种系统、语言和中间件环境的漏洞攻击用例；

根据所述文件上传请求所在的系统、语言和中间件环境，从所述兼容式的漏洞攻击用例列表中选择出适应所述系统、语言和中间件的漏洞攻击用例。

4.根据权利要求3所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

步骤3具体包括：

步骤301，生成基本上传载荷；

步骤302，基于所述漏洞攻击用例对所述基本上传载荷进行修改，以形成所述多个攻击载荷。

5.根据权利要求4所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

步骤3还包括：

所述多个攻击载荷包括客户端验证载荷、内容类型验证载荷、文件头检测载荷和黑名单检测载荷。

6.根据权利要求5所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

所述客户端验证载荷的生成方式是修改待上传文件的文件扩展名；

所述内容类型验证载荷的生成方式是修改待上传文件中的内容类型字段。

7.根据权利要求6所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

使用Burp Suite集成平台对上传文件的文件扩展名或上传文件的内容类型字段进行修改，以生成客户端验证载荷和内容类型验证载荷。

8.根据权利要求5所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于：

所述文件头检测载荷的生成方式是将欺骗式文件头加入所述基本载荷中；

所述黑名单检测载荷的生成方式是根据黑名单列表修改待上传文件的文件名。

9.根据权利要求4所述的一种基于WEB应用的文件上传漏洞检测方法，其特征在于，步骤4具体包括：

步骤401，上传客户端验证载荷至WEB服务器并进行攻击测试，以及根据所述客户端验证载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞；

步骤402，上传内容类型验证载荷至WEB服务器并进行攻击测试，以及根据所述内容类型验证载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞；

步骤403，上传所述文件头检测载荷至WEB服务器并进行攻击测试，以及根据所述文件头检测载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞；

步骤404，上传黑名单检测载荷至WEB服务器并进行攻击测试，以及根据所述黑名单检测载荷的上传情况信息确定WEB服务器中是否存在文件上传漏洞。