LDAP注入漏洞检测方法和装置与流程 专利技术说明

电子通信装置的制造及其应用技术ldap注入漏洞检测方法和装置技术领域1.本公开涉及网络安全技术领域，尤其涉及一种ldap注入漏洞检测方法和装置。背景技术：2.随着互联网的广泛应用，web应用的数量呈爆炸式增长，网站安全性正在不断受到挑战。ldap注入漏洞是其中一种web应用中安全性漏洞，现有技术方案通过爬虫技术检测ldap注入漏洞，首先进行url可用性检测，并对可用的url进行二次注入漏洞载荷，然后再对其进行检测，根据检测结果判断是否存在ldap注入漏洞。3.这种技术手段不仅时效性低，无法实时检测注入漏洞并对漏洞进行检测告警，而且检测效率也很低，对一个系统所有的url进行多次漏洞载荷注入检测降低了检测效率。技术实现要素：4.本公开提供了一种ldap注入漏洞检测的方法、装置、设备以及存储介质。5.根据本公开的第一方面，提供了一种ldap注入漏洞检测方法。该方法包括：6.对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测；7.根据参数检测结果，判断是否允许继续执行ldap查询。8.在第一方面的一些可实现方式中，对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测包括：9.由ldap注入漏洞检测组件对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测；10.ldap注入漏洞检测组件安装运行在ldap服务的终端设备上。在第一方面的一些可实现方式中，检测的参数包括：&、|、*关键字，内置特征，注入类型。11.在第一方面的一些可实现方式中，根据参数检测结果，判断是否允许继续执行ldap查询，包括：12.对不含&、|、*关键字的ldap查询语法，允许执行ldap查询操作；13.对含&、|、*关键字的ldap查询语法，判断是否存在注入攻击；若存在，则将ldap查询操作中断，并记录日志。14.在第一方面的一些可实现方式中，判断是否存在注入攻击，包括：15.对包含&操作的ldap查询语法，判断是否存在同时包含用户名和密码内置的特征与and注入攻击；16.对包含|操作的ldap查询语法，判断是否存在同时包含用户名和密码内置的特征与or注入攻击；17.对包含*操作的ldap查询语法，首先判断是否存在同时包含用户名和密码内置的特征与and注入攻击，其次判断是否存在同时包含用户名和密码内置的特征与or注入攻击，最后判断是否存在同时包含用户名和密码内置的特征、and注入攻击和or注入攻击。18.在第一方面的一些可实现方式中，该方法还包括：19.ldap注入漏洞检测组件对盲注攻击采用限流和/或请求频率的方法进行检测，在请求次数或请求频率过高的情况下直接中断客户端请求响应，不允许继续执行ldap查询。20.在第一方面的一些可实现方式中，该方法还包括：21.若存在注入攻击，则根据配置情况是否需要向客户端发送告警。22.根据本公开的第二方面，提供了一种ldap注入漏洞检测装置。该装置包括：23.参数检测模块，用于对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测；24.判别模块，用于根据参数检测结果，判断是否允许继续执行ldap查询。25.根据本公开的第三方面，提供了一种电子设备。该电子设备包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如上所述的方法。26.根据本公开的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，计算机指令用于使计算机执行如上所述的方法。27.根据本公开的第五方面，本公开实施例提供了一种计算机程序产品，该计算机程序产品包括计算机程序，计算机程序在被处理器执行时实现如以上所述的方法。28.在本公开中，由ldap注入漏洞检测组件对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测，并根据参数检测结果，判断是否允许继续执行ldap查询，对于盲注攻击，检测组件采用限流和/或请求频率的方法进行检测，从而可以快速实时高效的检测ldap注入漏洞。29.应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。附图说明30.结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案，不构成对本公开的限定在附图中，相同或相似的附图标记表示相同或相似的元素，其中：31.图1示出了本公开实施例提供的一种ldap注入漏洞检测方法的流程图；32.图2示出了本公开实施例提供的一种ldap注入漏洞检测装置的结构图；33.图3示出了能够实施本公开的实施例的示例性电子设备的结构图。具体实施方式34.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。35.另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。36.针对背景技术中出现的问题，本公开实施例提供了一种ldap注入漏洞检测方法和装置。具体地，由ldap注入漏洞检测组件对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测，并根据参数检测结果，判断是否允许继续执行ldap查询，对于盲注攻击，检测组件采用限流和/或请求频率的方法进行检测，从而可以快速实时高效的检测ldap注入漏洞。37.下面结合附图，通过具体的实施例对本公开实施例提供的ldap注入漏洞检测方法和装置进行详细地说明。38.图1示出了本公开实施例提供的一种ldap注入漏洞检测方法的流程图，检测方法100包括以下步骤：39.s110，对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测。40.在一些实施例中，ldap注入漏洞检测组件安装运行在ldap服务的终端设备上，当客户端通过web页面进行ldap查询操作时，检测组件对其传递的参数进行实时检测，因此本公开的ldap注入漏洞检测方法具有时效性，其中，检测的参数包括：&、|、*关键字，内置特征，注入类型。41.s120，根据参数检测结果，判断是否允许继续执行ldap查询。42.在一些实施例中，判断所述参数检测结果中是否含有预设关键字，若是，则判断是否存在注入攻击；若否，则允许继续执行ldap查询。43.具体地，对不含&、|、*关键字的ldap查询语法，允许执行查询；对含&、|、*关键字的ldap查询语法，判断是否存在注入攻击；若存在，则将ldap查询操作中断，并记录日志。44.进一步地，判断是否存在注入攻击包括：对包含&操作的ldap查询语法，判断是否存在同时包含用户名和密码内置的特征与and注入攻击；对包含|操作的ldap查询语法，判断是否存在同时包含用户名和密码内置的特征与or注入攻击；对包含*操作的ldap查询语法，首先判断是否存在同时包含用户名和密码内置的特征与and注入攻击，其次判断是否存在同时包含用户名和密码内置的特征与or注入攻击，最后判断是否存在同时包含用户名和密码内置的特征、and注入攻击和or注入攻击。45.进一步地，若存在注入攻击，则根据配置情况是否需要向客户端发送告警。46.在一些实施例中，检测方法100还包括：47.对于盲注攻击，ldap注入漏洞检测组件采用限流和/或限制请求频率的方法进行检测，在客户端请求次数或请求频率过高的情况下直接中断客户端请求响应，不允许继续执行ldap查询。48.根据本公开实施例，由ldap注入漏洞检测组件对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测，并根据参数检测结果，判断是否允许继续执行ldap查询，对于盲注攻击，检测组件采用限流和/或请求频率的方法进行检测，从而可以快速实时高效的检测ldap注入漏洞。49.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。50.以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。51.图2示出了本公开实施例提供的一种ldap注入漏洞检测装置的结构图，检测装置200包括：52.参数检测模块210，用于对客户端通过web页面进行ldap查询操作时所传递的参数进行实时检测；53.判别模块220，用于根据参数检测结果，判断是否允许继续执行ldap查询。54.在一些实施例中，参数检测模块210具体用于：55.当客户端通过web页面进行ldap查询操作时，安装在ldap服务的终端设备上的ldap注入漏洞检测组件对其传递的参数进行实时检测，其中，检测的参数包括：&、|、*关键字，内置特征，注入类型。56.在一些实施例中，判别模块220具体用于：57.判断所述参数检测结果中是否含有预设关键字，若是，则判断是否存在注入攻击；若否，则允许继续执行ldap查询。58.具体地，对不含&、|、*关键字的ldap查询语法，允许执行查询；59.对含&、|、*关键字的ldap查询语法，判断是否存在注入攻击；若存在，则将ldap查询操作中断，并记录日志。60.其中，判断是否存在注入攻击包括：61.对包含&操作的ldap查询语法，判断是否存在同时包含用户名和密码内置的特征与and注入攻击；62.对包含|操作的ldap查询语法，判断是否存在同时包含用户名和密码内置的特征与or注入攻击；63.对包含*操作的ldap查询语法，首先判断是否存在同时包含用户名和密码内置的特征与and注入攻击，其次判断是否存在同时包含用户名和密码内置的特征与or注入攻击，最后判断是否存在同时包含用户名和密码内置的特征、and注入攻击和or注入攻击。64.在一些实施例中，判别模块220还用于：65.若存在注入攻击，则根据配置情况是否需要向客户端发送告警。66.在一些实施例中，检测装置200还包括：67.盲注检测判别模块，用于ldap注入漏洞检测组件通过限流和/或请求频率的方法对盲注攻击进行检测，在客户端请求次数或请求频率过高的情况下直接中断客户端请求响应，不允许继续执行ldap查询。68.可以理解的是，图2所示检测装置200中的各个模块/单元具有实现本公开实施例提供的检测方法100中的各个步骤的功能，并能达到其相应的技术效果，为了简洁，在此不再赘述。69.本公开的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相关法律法规的规定，且不违背公序良俗。70.图3示出了一种能够实施本公开的实施例的示例性电子设备的结构图。电子设备300旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备300还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。71.如图3所示，电子设备300包括计算单元301，其可以根据存储在只读存储器(rom)302中的计算机程序或者从存储单元308加载到随机访问存储器(ram)303中的计算机程序，来执行各种适当的动作和处理。在ram303中，还可存储电子设备300操作所需的各种程序和数据。计算单元301、rom302以及ram303通过总线304彼此相连。i/o接口305也连接至总线304。72.电子设备300中的多个部件连接至i/o接口305，包括：输入单元306，例如键盘、鼠标等；输出单元307，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许电子设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。73.计算单元301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元301的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元301执行上文所描述的各个方法和处理，例如方法100。例如，在一些实施例中，方法100可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由rom302和/或通信单元309而被载入和/或安装到电子设备300上。当计算机程序加载到ram303并由计算单元301执行时，可以执行上文描述的方法100的一个或多个步骤。备选地，在其他实施例中，计算单元301可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法100。74.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。75.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。76.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。77.需要注意的是，本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行方法100，并达到本公开实施例执行其方法达到的相应技术效果，为简洁描述，在此不再赘述。78.另外，本公开还提供了一种计算机程序产品，该计算机程序产品包括计算机程序，计算机程序在被处理器执行时实现方法100。79.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。80.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。81.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。82.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。83.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!