(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114157452A(43)申请公布日2022.03.08(21)申请号202111338484.7G06F16/955(2019.01)(22)申请日2021.11.12(71)申请人湖北天融信网络安全技术有限公司地址430014湖北省武汉市临空港经济技术开发区五环大道666号(21)申请人北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司(72)发明人杜嘉鹏(74)专利代理机构北京维正专利代理有限公司11508代理人卓凡梁栋(51)Int.Cl.H04L9/40(2022.01)H04L67/02(2022.01)权利要求书2页说明书7页附图1页(54)发明名称一种基于HTTP连接平台的XXE漏洞的检测方法及系统(57)摘要本申请涉及一种基于HTTP连接平台的XXE漏洞的检测方法及系统，其属于网络安全技术领域，其中，一种基于HTTP连接平台的XXE漏洞的检测方法包括，获取注入信息并将注入信息发送至目标服务器，以使目标服务器访问HTTP连接平台；根据HTTP协议访问HTTP连接平台，并从HTTP连接平台中得到请求信息；对请求信息进行检测后得到检测结果，并根据检测结果证明XXE漏洞存在。本申请具有提高了XXE漏洞检测的精确性的效果。CN114157452ACN114157452A权利要求书1/2页1.一种基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，包括：获取注入信息并将注入信息发送至目标服务器，以使所述目标服务器访问HTTP连接平台；根据HTTP协议访问所述HTTP连接平台，并从所述HTTP连接平台中得到请求信息；对所述请求信息进行检测后得到检测结果，并根据所述检测结果证明XXE漏洞存在。2.根据权利要求1所述的基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，所述获取注入信息的步骤包括：根据HTTP连接平台得到HTTP连接平台的IP和端口信息；根据预设函数生成随机字符串；将所述IP、端口信息和随机字符串进行拼接后得到URL链接；对所述URL链接进行加工构造后得到注入信息。3.根据权利要求1所述的基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，所述将注入信息发送至目标服务器，以使所述目标服务器访问HTTP连接平台的步骤包括：对所述目标服务器进行一次请求；若所述目标服务器中存在XXE漏洞，则目标服务器会根据HTTP协议主动访问URL链接，即，所述目标服务器会主动访问HTTP连接平台。4.根据权利要求3所述的基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，在HTTP连接平台接收到目标服务器的访问后：所述HTTP连接平台接收URL链接，并对所述URL链接进行识别后得到URL链接中的随机字符串；所述HTTP连接平台根据随机字符串生成字符串页面，并将此次目标服务器进行访问的请求信息存储在数据库中；HTTP连接平台的信息展示页面从数据库中调取并展示所述请求信息。5.根据权利要求4所述的基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，所述请求信息包括目标服务器的IP、请求时生成的URL链接以及访问时间。6.根据权利要求4所述的基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，所述根据HTTP协议访问所述HTTP连接平台，并从所述HTTP连接平台中得到请求信息的步骤包括：根据HTTP协议访问HTTP连接平台的信息展示页面；从所述信息展示页面中得到请求信息。7.根据权利要求6所述的基于HTTP连接平台的XXE漏洞的检测方法，其特征在于，所述对所述请求信息进行检测后得到检测结果，并根据所述检测结果证明XXE漏洞存在的步骤包括：根据字符串匹配对所述请求信息进行识别；若识别出请求信息中包含与URL链接中相同的字符串，则说明匹配成功，进而证明XXE漏洞存在。8.一种基于HTTP连接平台的XXE漏洞的检测系统，其特征在于，包括：获取模块（1），用于获取注入信息并将注入信息发送至目标服务器，以使所述目标服务器访问HTTP连接平台；2CN114157452A权利要求书2/2页访问模块（2），用于根据HTTP协议访问所述HTTP连接平台，并从所述HTTP连接平台中得到请求信息；检测模块（3），用于对所述请求信息进行检测后得到检测结果，并根据所述检测结果证明XXE漏洞存在。9.一种智能终端，其特征在于，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行如权利要求1‑7中任一种方法的计算机程序指令。10.一种计算机可读存储介质，其特征在于，存储有能够被处理器加载并执行如权利要求1‑7中任一种方法的计算机程序。3CN114157452A说明书1/7页一种基于HTTP连接平台的XXE漏洞的检测方法及系统技术领域