(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111338484.7 (22)申请日 2021.11.12 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430014 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杜嘉鹏　 (74)专利代理 机构 北京维正专利代理有限公司 11508 代理人 卓凡　梁栋 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01)G06F 16/955(2019.01) (54)发明名称 一种基于HTTP连接平台的XXE漏洞的检测方 法及系统 (57)摘要 本申请涉及一种基于HTTP连接平台的XXE漏 洞的检测方法及系统， 其属于网络安全技术领 域， 其中， 一种基于HTTP连接平台的XXE漏洞的检 测方法包括， 获取注入信息并将注入信息发送至 目标服务器， 以使目标服务器访问HTTP连接平 台； 根据HTTP协议访问HTTP连接平台， 并从HTTP 连接平台中得到请求信息； 对请求信息进行检测 后得到检测结果， 并根据检测结果证明XXE漏洞 存在。 本申请具有提高了XXE漏洞检测的精确性 的效果。 权利要求书2页 说明书7页 附图1页 CN 114157452 A 2022.03.08 CN 114157452 A 1.一种基于 HTTP连接平台的X XE漏洞的检测方法， 其特 征在于， 包括： 获取注入信息并将注入信息发送至目标服务器， 以使所述目标服务器访问HTTP连接平 台； 根据HTTP协议访问所述HT TP连接平台， 并从所述HT TP连接平台 中得到请求信息； 对所述请求信息进行检测后得到检测结果， 并根据所述检测结果证明X XE漏洞存在。 2.根据权利要求1所述的基于HTTP连接平台的XXE漏洞的检测方法， 其特征在于， 所述 获取注入信息的步骤 包括： 根据HTTP连接平台得到 HTTP连接平台的IP和端口信息； 根据预设函数生成随机 字符串； 将所述IP、 端口信息和随机 字符串进行拼接后得到URL链接； 对所述URL链接进行加工构造后得到注入信息 。 3.根据权利要求1所述的基于HTTP连接平台的XXE漏洞的检测方法， 其特征在于， 所述 将注入信息发送至目标服 务器， 以使所述目标服 务器访问HT TP连接平台的步骤 包括： 对所述目标服 务器进行一次请求； 若所述目标服务器中存在XXE漏洞， 则目标服务器会根据HTTP协议主动访问URL链接， 即， 所述目标服 务器会主动访问HT TP连接平台。 4.根据权利要求3所述的基于HTTP连接平台的XXE漏洞的检测方法， 其特征在于， 在 HTTP连接平台接收到目标服 务器的访问后： 所述HTTP连接平台接收URL链接， 并对所述URL链接进行识别后得到URL链接中的随机 字符串； 所述HTTP连接平台根据随机字符串生成字符串页面， 并将此次目标服务器进行访问的 请求信息存 储在数据库中； HTTP连接平台的信息展示页面从数据库中调取并展示所述请求信息 。 5.根据权利要求4所述的基于HTTP连接平台的XXE漏洞的检测方法， 其特征在于， 所述 请求信息包括目标服 务器的IP、 请求时生成的URL链接以及 访问时间。 6.根据权利要求4所述的基于HTTP连接平台的XXE漏洞的检测方法， 其特征在于， 所述 根据HTTP协议访问所述HTTP连接平台， 并从所述HTTP连接平台中得到请求信息的步骤包 括： 根据HTTP协议访问HT TP连接平台的信息展示页面； 从所述信息展示页面中得到请求信息 。 7.根据权利要求6所述的基于HTTP连接平台的XXE漏洞的检测方法， 其特征在于， 所述 对所述请求信息进行检测后得到检测结果， 并根据所述检测结果证明XXE漏洞存在的步骤 包括： 根据字符串匹配对所述请求信息进行识别； 若识别出请求信息中包含与URL链接中相同的字符串， 则说明匹配成功， 进而证明XXE 漏洞存在。 8.一种基于 HTTP连接平台的X XE漏洞的检测系统， 其特 征在于， 包括： 获取模块 （1） ， 用于获取注入信息并将注入信 息发送至目标服务器， 以使所述目标服务 器访问HT TP连接平台；权　利　要　求　书 1/2 页 2 CN 114157452 A 2访问模块 （2） ， 用于根据HTTP协议访问所述HTTP连接平台， 并从所述HTTP连接平台中得 到请求信息； 检测模块 （3） ， 用于对所述请求信息进行检测后得到检测结果， 并根据所述检测结果证 明XXE漏洞存在。 9.一种智能终端， 其特征在于， 包括存储器和处理器， 所述存储器上存储有能够被处理 器加载并执 行如权利要求1 ‑7中任一种方法的计算机程序指令 。 10.一种计算机可读存储介质， 其特征在于， 存储有能够被处理器加载并执行如权利要 求1‑7中任一种方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 114157452 A 3