(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111433369.8 (22)申请日 2021.11.29 (71)申请人 西安四叶草信息技 术有限公司 地址 710075 陕西省西安市高新区鱼化 街 办软件新城天谷八路156号云汇谷C2 楼1701室 (72)发明人 陆泳吉　 (74)专利代理 机构 北京挺立专利事务所(普通 合伙) 11265 代理人 韩畅 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 缓存中毒漏洞检测方法、 装置、 电子设备及 存储介质 (57)摘要 本公开提供一种缓存中毒漏洞检测方法装 置、 电子设备及存储介质， 涉及网络安全 领域， 具 体技术方案为： 将指示信息插入用于获取第一缓 存资源文件的第一请求数据包， 生成第二请求数 据包， 指示信息用于指示修改第一缓存文件的目 标内容； 将第二请求数据包发送至后台服务器并 获取后台服务器根据第二请求数据包返回的第 二缓存资源文件； 修改第一请求数据包中的指定 信息， 生成第三请求数据包； 将第三请求数据包 发送至后台服务器并获取所述后台服务器根据 述第三请求数据包返回的第三 缓存资源文件； 若 第三缓存资源文件与第二缓存资源文件的目标 内容一致， 则确定后台服务器存在缓存中毒漏 洞。 本发明用于进行缓存中毒漏洞检测。 权利要求书2页 说明书7页 附图3页 CN 114244581 A 2022.03.25 CN 114244581 A 1.一种缓存中毒漏洞检测方法， 其特 征在于， 包括： 将指示信息插入用于获取第一缓存资源文件的第一请求数据包， 生成第二请求数据 包， 所述第一请求数据包括所述第一缓存资源文件的第一标识信息以及后台服务器的第二 标识信息， 所述指示信息用于指示 修改所述第一缓存文件的目标内容； 根据所述第二标识信息将所述第二请求数据包发送至所述后台服务器并获取所述后 台服务器根据所述第二请求数据包返回的第二缓存资源文件， 所述第二缓存资源文件是所 述后台服 务器根据所述指示信息对所述第一缓存资源文件的目标内容进行修改后生成的； 修改所述第一请求数据包中的指定信息， 生成第三请求数据包； 将所述第三请求数据包发送至所述后台服务器并获取所述后台服务器根据所述第三 请求数据包返回的第三缓存资源文件； 若所述第三缓存资源文件与 所述第二缓存资源文件的目标内容一致， 则确定所述后台 服务器存在缓存中毒漏洞。 2.根据权利要求1所述的方法， 其特征在于， 所述指示信 息包括所述目标内容待修改至 的目标信息， 所述 修改所述第一请求数据包中的指定信息包括： 若所述第二缓存资源文件的目标内容为所述目标信 息， 则修改所述第 一请求数据包中 的指定信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述目标内容为所述缓存资源文件的a标 签， 所述指示信息包括所述a标签待修改至的目标标签， 所述确定所述后台服务器存在缓存 中毒漏洞包括： 若所述第三缓存资源文件与所述第二缓存资源文件的a标签均为目标标签， 则确定所 述后台服 务器存在缓存中毒漏洞。 4.根据权利要求1所述的方法， 其特征在于， 所述第 一请求数据包还至少包括语言模式 信息、 文件压缩模式信息、 设备属 性信息， 所述指定信息包括所述语言模式信息、 所述文件 压缩模式信息、 所述设备属性信息中的至少一个。 5.根据权利要求1所述的方法， 其特征在于， 所述确定所述后台服务器存在缓存中毒漏 洞后， 所述方法还 包括： 向用户展示提示信息， 所述提示信息用于提示用户所述后台服务器存在缓存中毒漏 洞。 6.根据权利要求1所述的方法， 其特征在于， 所述将指示信 息插入所述用于获取目标缓 存资源文件的第一请求数据包前， 所述方法还 包括： 获取所述第一请求数据包。 7.一种缓存中毒漏洞检测装置， 其特 征在于， 包括： 第二请求数据包生成模块， 用于将指示信 息插入用于获取第 一缓存资源文件的第 一请 求数据包， 生成第二请求数据包， 所述第一请求数据包括所述第一缓存资源文件的第一标 识信息以及后台服务器的第二标识信息， 所述指示信息用于指示修改所述第一缓存文件的 目标内容； 第二缓存资源文件获取模块， 用于根据所述第 二标识信 息将所述第 二请求数据包发送 至所述后台服务器并获取所述后台服务器根据所述第二请求数据包返回的第二缓存资源 文件， 所述第二缓存资源文件是所述后台服务器根据所述指示信息对所述第一缓存资源文权　利　要　求　书 1/2 页 2 CN 114244581 A 2件的目标内容进行修改后生成的； 第三请求数据包生成模块， 用于修改所述第一请求数据包中的指定信息， 生成第三请 求数据包； 第三缓存资源文件获取模块， 用于将所述第 三请求数据包发送至所述后台服务器并获 取所述后台服 务器根据所述第三请求数据包返回的第三缓存资源文件； 缓存中毒漏洞确定模块， 用于若所述第 三缓存资源文件与所述第 二缓存资源文件的目 标内容一致， 则确定所述后台服 务器存在缓存中毒漏洞。 8.根据权利要求7所述的装置， 其特征在于， 所述指示信 息包括所述目标内容待修改至 的目标信息， 所述第三请求数据包生成模块用于： 若所述第二缓存资源文件的目标内容为所述目标信 息， 则修改所述第 一请求数据包中 的指定信息 。 9.一种电子设备， 其特征在于， 所述电子设备包括处理器和存储器， 所述存储器中存储 有至少一条计算机指 令， 所述指 令由所述处理器加载并执行以实现权利要求 1至权利要求6 任一项所述的缓存中毒漏洞检测方法中所 执行的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质中存储有至少一条计算机指 令， 所述指令由处理器加载并执行以实现权利要求1至权利要求6任一项 所述的缓存中毒漏 洞检测方法中所 执行的步骤。权　利　要　求　书 2/2 页 3 CN 114244581 A 3