[发明专利]漏洞检测方法、装置、电子设备及计算机可读存储介质

权利要求书

1.一种漏洞检测方法，其特征在于，所述方法包括：

在获取用于实现第一处理逻辑的代码块的情况下，获取数据访问请求；所述第一处理逻辑表示密码分组连接CBC加解密的处理逻辑，所述数据访问请求中携带有CBC加解密过程使用的初始向量IV；

在将所述IV的前n-m-1个字节的值调整为第一预设值的情况下，对所述IV的第n-m个字节到第n个字节的值进行暴力破解，n为所述IV的字节数，m取0至n-2；

在对所述IV的第n-m个字节到第n个字节的值进行暴力破解的过程中，获取所述数据访问请求的响应信息，根据所述响应信息检测漏洞是否存在。

2.根据权利要求1所述的方法，其特征在于，所述在对所述IV的第n-m个字节到第n个字节的值进行暴力破解的过程中，获取所述数据访问请求的响应信息，根据所述响应信息检测漏洞是否存在，包括：

在m不等于0的情况下，在对所述IV的当前字节的值进行暴力破解的过程中，获取所述数据访问请求的响应信息，所述当前字节为所述IV的第n-m个字节至第n个字节中的一个字节；

在所述响应信息不包括两种不同的错误页面的情况下，确定不存在所述漏洞；在所述响应信息包括两种不同的错误页面的情况下，判断所述当前字节是否为所述IV的第n-m个字节，得到判断结果，根据所述判断结果检测所述漏洞是否存在。

3.根据权利要求2所述的方法，其特征在于，所述根据所述判断结果检测所述漏洞是否存在，包括：

在所述当前字节不是所述IV的第n-m个字节的情况下，将当前已经破解的字节的值设置为所述IV的对应字节的值，并对所述IV的当前字节的前一字节进行破解；

在所述当前字节是所述IV的第n-m个字节，且所述响应信息不包括两种不同的错误页面的情况下，确定不存在所述漏洞；在所述当前字节是所述IV的第n-m个字节，且所述响应信息包括两种不同的错误页面的情况下，确定存在所述漏洞。

4.根据权利要求1所述的方法，其特征在于，所述在对所述IV的第n-m个字节到第n个字节的值进行暴力破解的过程中，获取所述数据访问请求的响应信息，根据所述响应信息检测漏洞是否存在，包括：

在m等于0的情况下，在对所述IV的第n个字节的值进行暴力破解的过程中，获取所述数据访问请求的响应信息；

在所述响应信息不包括两种不同的错误页面的情况下，确定不存在所述漏洞；在所述响应信息包括两种不同的错误页面的情况下，确定存在所述漏洞。

5.根据权利要求2至4任一项所述的方法，其特征在于，所述两种不同的错误页面分别是基于第一填充序列和第二填充序列生成的，所述第一填充序列表示解密后明文的错误填充序列，所述第二填充序列表示解密后明文的正确填充序列，所述解密后明文表示基于暴力破解的所述IV的字节进行解密得到包括填充序列的明文。

6.根据权利要求2至4任一项所述的方法，其特征在于，所述两种不同的错误页面为表示不同错误消息的页面。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在获取所述数据访问请求后，确定所述数据访问请求中的参数与CBC加密块的特征匹配时，将所述IV的前n-m-1个字节的值调整为第一预设值。

8.根据权利要求7所述的方法，其特征在于，所述CBC加密块的特征包括长度和/或格式。

9.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取应用程序对应的处理逻辑的代码块；

对获取的所述代码块行语法分析，得到语法分析结果，所述语法分析结果包括解密处理部分；

在所述解密处理部分包括不同的三种分支处理逻辑的情况下，确定获取的所述代码块为所述第一处理逻辑的代码块。