[发明专利]一种网页端的文件上传漏洞检测方法和装置

说明书

本发明公开了一种网页端的文件上传漏洞检测方法和装置，方法包括：获取符合文件上传接口要求的第一文件扩展名；生成具有第一文件扩展名的文件以使用页面自动化工具将文件上传到文件上传接口，并使用抓包工具截获文件上传接口的文件上传请求；加载常用文件名扩展库并从中选取不同于第一文件扩展名的第二文件扩展名来替换文件上传请求中的第一文件扩展名，重新上传经过修改的文件上传请求；响应于接收到文件上传请求的成功响应信息而基于文件上传接口所对应的默认文件路径发送文件执行请求，并响应于接收到文件执行请求的执行特征信息而判定存在文件上传漏洞。本发明能够大大提高安全测评工作效率和文件上传接口的覆盖度。

技术领域

本发明涉及安全领域，更具体地，特别是指一种网页端的文件上传漏洞检测方法和装置。

背景技术

随着大数据、云计算和人工智能技术的发展，各大互联网企业研发的Web(网页端)应用经过不断的升级更新，功能不断完善。文件上传功能作为Web端的一个正常的业务需求和最基本的功能，也越来越多的用于Web应用的用户交互接口。然而文件上传功能一直以来都存在许多安全风险，通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传恶意文件获取服务器权限，因此文件上传漏洞带来的危害常常是毁灭性的。文件上传漏洞的利用是有限制条件的，首先当然是要能够成功上传恶意文件，其次上传文件必须能够被执行。

传统的文件上传漏洞检测方法检测率低，无法覆盖至所有的Web应用的文件上传接口，并且有的文件上传接口在页面上明确说明没有对所上传的文件进行类型限制。

针对现有技术中漏洞检测率低、文件上传接口覆盖少的问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种网页端的文件上传漏洞检测方法和装置，能够遍历所有文件上传接口自动化检验，大大提高安全测评工作效率和文件上传接口的覆盖度。

基于上述目的，本发明实施例的第一方面提供了一种网页端的文件上传漏洞检测方法，包括执行以下步骤：

基于网页端的提示信息使用页面自动化工具确定需要执行文件扩展名校验的文件上传接口，并获取符合文件上传接口要求的第一文件扩展名；

生成具有第一文件扩展名的文件以使用页面自动化工具将文件上传到文件上传接口，并使用抓包工具截获文件上传接口的文件上传请求；

加载常用文件名扩展库并从中选取不同于第一文件扩展名的第二文件扩展名来替换文件上传请求中的第一文件扩展名，重新上传经过修改的文件上传请求；

响应于接收到文件上传请求的成功响应信息而基于文件上传接口所对应的默认文件路径发送文件执行请求，并响应于接收到文件执行请求的执行特征信息而判定存在文件上传漏洞。

在一些实施方式中，获取符合文件上传接口要求的第一文件扩展名包括：获取符合文件上传接口要求的文件类型，并基于文件类型确定一个或多个第一文件扩展名。

在一些实施方式中，从常用文件名扩展库中选取不同于第一文件扩展名的第二文件扩展名包括：从常用文件名扩展库中移除一个或多个第一文件扩展名，并从剩余的扩展名中每次选定一个作为第二文件扩展名。

在一些实施方式中，使用第二文件扩展名来替换文件上传请求中的第一文件扩展名，重新上传经过修改的文件上传请求包括：分别以每次选定的第二文件扩展名替换文件上传请求中的第一文件扩展名，并分别针对每次选定的第二文件扩展名重新上传经过修改的文件上传请求，直到选定过的第二文件扩展名已经遍历剩余的扩展名为止。

在一些实施方式中，生成具有第一文件扩展名的文件包括：基于随机数发生器生成唯一标识信息，并将唯一标识信息写入文件；接收到文件执行请求的执行特征信息包括：接收到文件执行请求的执行响应信息，并且在执行响应信息中执行字符匹配获得了作为文件的执行特征的唯一标识信息。