(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210079183.5 (22)申请日 2022.01.24 (71)申请人 北京华云安信息技 术有限公司 地址 100094 北京市海淀区丰豪东路9号院 2号楼10层4单 元1001 (72)发明人 付孟泽　白兴伟　王闰婷　徐艺庭　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 张文娥 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) G06F 16/951(2019.01) (54)发明名称 一种验证应用服务器的方法、 装置、 计算机 设备和介质 (57)摘要 本申请提供了一种验证应用服务器的方法、 装置、 计算机设备和介质， 包括： 针对所述动态网 址链接集合中的每条动态网址链接， 根据注入测 试语句库中的每种测试语句， 从该条动态网址链 接中的全部的访问请求参数中确定该条动态网 址链接中存在的注入点参数集合； 针对每条动态 网址链接中存在的注入点参数集合中的每个注 入点参数， 利用该注入点参数访问应用服务器， 并在该注入点参数中注入数据库执行指令； 若能 在预设访问要求范围内接收到数据库集合中任 一数据库返回的数据后， 则响应利用该注入点参 数访问应用服务器时发起的访问请求， 对访问请 求进行安全验证。 从大量存在的注入点参数中排 查可以利用的注入点参数， 提高了验证的准确 率。 权利要求书3页 说明书15页 附图6页 CN 114500033 A 2022.05.13 CN 114500033 A 1.一种验证 应用服务器的方法， 其特 征在于， 包括： 利用爬虫进程池中的每 个爬虫进程获取 预设网址列表中的每条网址链接； 针对获取到的每条所述网址链接， 根据利用该条网址链接访问应用服务器时生成的访 问请求数据的数据格式进行解析的解析 结果生成动态网址链接集 合； 针对所述动态网址链接集合中的每条所述动态网址链接， 根据注入测试语句库中的每 种注入测试语句， 从该条动态网址链接中的全部的访问请求参数中确定该条动态网址链接 中存在的注入点 参数集合； 针对每条所述动态网址链接中存在的注入点参数集合中的每个注入点参数， 利用该注 入点参数访问应用服 务器， 并在该注入点 参数中注入数据库执 行指令； 若能在预设访问要求范围内接收到所述数据库集合中任一数据库返回的数据后， 则响 应利用该注入点参数访问所述应用服务器时发起的访问请求， 对所述访问请求进 行安全验 证。 2.根据权利要求1所述的方法， 其特征在于， 所述针对所述动态网址链接集合中的每条 所述动态网址链接， 根据注入测试语句库中的每种注入测试语句， 从该条动态网址链接中 的全部的访问请求 参数中确定该 条动态网址链接中存在的注入点 参数集合， 包括： 针对所述动态网址链接集合中每条所述动态网址链接 中的每个访问请求参数， 将所述 注入测试语句库中的每种注入测试语句的拼接内容分别拼接至该访问请求参数中， 得到每 种注入测试语句各自对应的拼接后的访问请求 参数； 确定该访问请求参数对应的第 一请求处理结果， 以及确定每种拼接后的访问请求参数 各自对应的第二请求处理结果； 其中， 第一请求处理结果为利用每条所述动态网址链接中 每个访问请求参数访问应用服务器后返回的结果； 第二请求处理结果为利用每种拼接后的 访问请求 参数访问应用服 务器后返回的结果； 若该访问请求参数对应的第一请求处理结果分别与每种拼接后的访问请求参数各自 对应的第二请求处理结果之间的比较结果中任意一比较结果符合预设的第一测试结果规 则， 则确定该访问请求 参数为注入点 参数； 针对所述动态网址链接集合中的每条动态网址链接， 根据 该条动态网址链接中存在的 每个注入点 参数生成该 条动态网址链接中的存在的注入点 参数集合。 3.根据权利要求2所述的方法， 其特征在于， 在确定该访问请求参数对应的第 一请求处 理结果， 以及确定每种拼接后的访问请求 参数各自对应的第二请求处 理结果之后， 还 包括： 若所述第二请求处理结果符合预设的第 二测试结果规则， 则确定该访问请求参数为注 入点参数。 4.根据权利要求2或3所述的方法， 其特征在于， 所述注入测试语句中拼接 内容包括： 正 常拼接内容和异常拼接内容， 则利用注入测试语句对应的拼接后的访问请求参数包括： 正 常拼接后的访问请求参数和异常拼接后的访问请求参数； 所述若 该访问请求参数对应的第 一请求处理结果分别与每种拼接后的访问请求参数各自对应的第二请求处理结果之间的 比较结果中任意一比较结果符合预设的第一测试结果规则， 则确定该访问请求参数为注入 点参数， 包括： 确定该访问请求参数对应的第 一处理请求结果， 以及确定每种正常拼接后的访问请求 参数对应的第二正常请求处理结果、 每种异常拼接后的访问请求参数对应的第二异常请求权　利　要　求　书 1/3 页 2 CN 114500033 A 2处理结果； 其中第一请求处理结果为利用每条所述动态网址链接中每个访问请求参数访问 应用服务器后返回的结果； 第二正常请求处理结果为利用每种正常拼接后的访问请求参数 访问应用服务器后返回的结果； 第二异常请求处理结果为利用每种异常拼接后的访问请求 参数访问应用服 务器后返回的结果； 若该访问请求参数对应的第一请求处理结果分别与每种正常拼接后的访问请求参数 对应的第二正常请求处理结果、 每种异常拼接后的访问请求参数对应的第二异常请求处理 结果进行对比， 生成所述第一请求处理结果与利用该种注入测试语句拼接后的访问请求参 数对应的第二请求处 理结果的对比结果 集合； 若所述对比结果集合中的每条对比结果都符合预设的第 一测试结果规则， 则将与 所述 对比结果 集合匹配的该访问请求 参数作为该 条动态网址链接中存在的注入点 参数。 5.根据权利要求3所述的方法， 其特征在于， 所述注入测试语句中拼接内容为函数值， 则利用注入测试语句对应的拼接后的访问请求参数为函数值拼接后的访问请求参数； 所述 若所述第二请求处理结果符合预设的第二测试结果规则， 则确定该访问请求参数为注入点 参数， 包括： 确定函数值拼接后的访 问请求参数对应的第二请求处理结果， 其中， 第二请求处理结 果为利用函数值 拼接后访问请求 参数访问应用服 务器后返回的结果； 若利用函数值拼接后的访问请求参数对应的第二请求处理结果中符合预设的第二测 试结果规则时， 则将该访问请求 参数作为该 条动态网址链接在存在的注入点 参数。 6.根据权利要求1所述的方法， 其特征在于， 所述若能在预设访问要求范围内接收到所 述数据库集合中任一数据库返回的数据后， 则响应利用该注入点参数访问应用服务器时发 起的访问请求， 对所述访问请求进行安全 验证， 包括： 当所述访问请求未通过安全 验证时， 则对所述访问请求进行拦截； 当所述访问请求 通过安全 验证时， 则响应所述访问请求。 7.一种验证 应用服务器的装置， 其特 征在于， 包括: 获取模块， 用于利用爬虫进程池中的每个爬虫进程获取预设网址列表中的每条网址链 接； 生成模块， 用于针对获取到的每条所述网址链接， 根据利用该条网址链接访 问应用服 务器时生成的访问请求数据的数据格式进行解析的解析 结果生成动态网址链接集 合； 确定模块， 用于针对所述动态网址链接集合中的每条所述动态网址链接， 根据注入测 试语句库中的每种注入测试语句， 从该条动态网址链接中的全部的访问请求参数中确定该 条动态网址链接中存在的注入点 参数集合； 指令注入模块， 用于针对每条所述动态网址链接中存在的注入点参数集合中的每个注 入点参数， 利用该注入点 参数访问应用服 务器， 并在该注入点 参数中注入数据库执 行指令； 验证模块， 用于若能在预设访问要求范围内接收到所述数据库集合中任一数据库返回 的数据后， 则 响应利用该注入点参数访问所述应用服务器时发起的访问请求， 对所述访问 请求进行安全 验证。 8.根据权利要求7 所述的装置， 其特 征在于， 所述确定模块， 包括： 第一拼接单元， 用于针对所述动态网址链接集合中每条所述动态网址链接 中的每个访 问请求参数， 将所述注入测试语句库中的每种注入测试语句的拼接内容分别拼接至该访问权　利　要　求　书 2/3 页 3 CN 114500033 A 3