CN104519070A - 网站权限漏洞检测方法和系统 - Google Patents
网站权限漏洞检测方法和系统 Download PDFInfo
- Publication number
- CN104519070A CN104519070A CN201410854508.8A CN201410854508A CN104519070A CN 104519070 A CN104519070 A CN 104519070A CN 201410854508 A CN201410854508 A CN 201410854508A CN 104519070 A CN104519070 A CN 104519070A
- Authority
- CN
- China
- Prior art keywords
- access
- parameter
- link
- website
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000012360 testing method Methods 0.000 claims abstract description 75
- 230000008859 change Effects 0.000 claims description 36
- 230000004044 response Effects 0.000 claims description 24
- 238000004422 calculation algorithm Methods 0.000 claims description 20
- 238000001514 detection method Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 8
- 230000006854 communication Effects 0.000 description 8
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种网站权限漏洞检测方法和系统,该方法包括:获取待检测网站中有权访问链接;识别所述有权访问链接中的参数的值;根据预设规则更改所述参数的值形成测试访问链接;判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。通过本发明的技术方案,能够根据网站链接,准确地检测网站是否存在权限漏洞,从而进行准确地提示,避免用户个人信息泄露。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网站权限漏洞检测方法和一种网站权限漏洞检测系统。
背景技术
在网络日益发达的今天,网络安全问题层出不穷,已经成为了网站管理者和用户的重要关注点。
网站一般存在一些访问入口,用户可以通过输入访问信息,例如账号和密码,或者访问代码等访问网站。但是为了保障用户利益,避免用户个人数据泄露,每个用户都有相应的访问权限,例如在一些购物网站中,某个用户在其账号下,只能查看属于该账号的购物信息,这种方式在一定程度上保证了用户的个人信息安全。
但是,在某些网站中,这种根据权限访问的方式却存在着安全隐患,因为通过浏览器访问网站,除了可以通过在登陆界面输入访问信息的方式进行访问,还可以直接输入与某用户页面相对应的链接来访问该用户的页面,不同的用户页面在链接中的区别,仅体现在链接的参数上,而在这些网站并未对这种通过链接访问的方式设置权限的情况下,攻击者就可以通过更改链接中的参数来尝试查看其他用户的信息,导致其他用户的信息泄露。
例如在快递网站中,攻击者可以在查询某个快递单号时,先针对一个单号获取显示单号信息的页面对应的链接,然后更改链接中与单号相关的参数的值,从而访问其他用户的单号信息,这就造成了其他用户的个人信息泄露。
发明内容
本发明所要解决的技术问题是,如何针对网站的访问权限进行漏洞检测,以避免用户个人信息泄露。
为此目的,本发明提出了一种网站权限漏洞检测方法,包括:
获取待检测网站中有权访问链接;
识别所述有权访问链接中的参数的值;
根据预设规则更改所述参数的值形成测试访问链接;
判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。
优选地,所述根据预设规则更改所述参数的值形成测试访问链接包括:
在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,
以及所述方法还包括:
根据更改的参数的值生成提示信息。
优选地,所述识别所述有权访问链接中的参数的值包括:
识别所述有权访问链接中的参数;
查询所述参数的值域,
所述根据预设规则更改所述参数的值形成测试访问链接包括:
生成更改算法;
根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。
优选地,所述判断是否能够访问所述测试访问链接包括:
根据所述测试访问链接发送访问请求,根据响应信息确定是否能够访问所述测试访问链接。
优选地,所述获取待检测网站中有权访问链接包括:
通过旁路侦听获取所述待检测网站的访问请求,并获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。
本发明还提出了一种网站权限漏洞检测系统,包括:
获取单元,用于获取待检测网站中有权访问链接;
识别单元,用于识别所述有权访问链接中的参数的值;
更改单元,用于根据预设规则更改所述参数的值形成测试访问链接;
判断单元,用于判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。
优选地,所述更改单元在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,
以及所述系统还包括:
提示单元,用于根据更改的参数的值生成提示信息。
优选地,所述识别单元包括:
参数识别子单元,用于识别所述有权访问链接中的参数;
值域查询子单元,用于查询所述参数的值域,
所述更改单元包括:
算法生成子单元,用于生成更改算法;
参数遍历子单元,用于根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。
优选地,所述判断单元包括:
请求发送子单元,用于根据所述测试访问链接发送访问请求;
响应确定子单元,根据响应信息确定是否能够访问所述测试访问链接。
优选地,所述获取单元包括:
旁路侦听子单元,用于通过旁路侦听获取所述待检测网站的访问请求;
响应获取子单元,用于获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。
根据上述技术方案,至少可以实现以下技术效果:
1、能够根据网站链接,准确地检测网站是否存在权限漏洞;
2、能够根据网站链接中的参数进行漏洞检测,准确地判断网站中权限漏洞所处的位置,从而进行准确地提示;
3、能够通过旁路侦听方式获取请求包,实现了灵活且全面地获取访问请求。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了根据本发明一个实施例的网站权限漏洞检测方法的示意流程图;
图2示出了根据本发明一个实施例的测试访问链接的生成示意流程图;
图3示出了根据本发明一个实施例的网站权限漏洞检测系统的示意框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(PersonalCommunications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile InternetDevice,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本技术领域技术人员可以理解,这里所使用的服务器、云端、远端网络设备等概念,具有等同效果,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通信方式实现通信,包括但不限于,基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。
本领域技术人员应当理解,本发明所称的“应用”、“应用程序”、“应用软件”以及类似表述的概念,是业内技术人员所公知的相同概念,是指由一系列计算机指令及相关数据资源有机构造的适于电子运行的计算机软件。除非特别指定,这种命名本身不受编程语言种类、级别,也不受其赖以运行的操作系统或平台所限制。理所当然地,此类概念也不受任何形式的终端所限制。
如图1所示,根据本发明一个实施例的网站权限漏洞检测方法,包括:
S1,获取待检测网站中有权访问链接;
获取链接的操作可以通过位于终端或服务器上图形用户界面进行,具体地,可以在图形用户界面中访问待检测网站,在登陆界面中输入账号和密码,以访问该账号对应的页面,然后获取该页面对应的链接作为有权访问链接。当然,也可以通过其他方式获取有权访问链接,例如在搜索网站或导航网站中输入访问信息,即可显示相应的页面,从而获取该页面对应的链接作为有权访问链接,具体地,可以在搜索网站中输入快递单号,即可显示该单号的相关页面,从而获取该页面对应的链接。
S2,识别有权访问链接中的参数的值;
S3,根据预设规则更改参数的值形成测试访问链接;
链接中参数的值与该链接相关的页面所属的用户是相关的,通过更改有权访问链接中的参数的值,使得参数的值对应于其他用户,形成的测试访问链接相关的页面也就对应于其他用户。
S4,判断是否能够访问测试访问链接,若能够访问,则确定待检测网站存在权限漏洞。
由于测试访问链接相关的页面对应于其他用户,当能够访问该测试访问链接,就说明可以获取存在于相关页面中的其他用户的个人信息,则可以确定待检测网站并没有对通过链接访问的方式设置权限,该网站存在权限漏洞。
需要说明的是,获取的有权访问链接可以包含多种形式,例如,针对快递单号查询,可以访问快递公司的网站,然后在快递公司的查询系统中输入单号,查询相关单号信息,那么显示该单号信息的网页所对应的链接是一种形式。例如在圆通快递的官方网站上查询快递单号12345678,那么显示该单号信息的网页对应的链接(以下简称第一链接)可以为
http://trace.yto.net.cn:8022/Trace.aspx/odd?12345678
其中仅包含圆通快递的相关域名。
还可以在导航网站或搜索网站中输入单号,然后由导航网站或搜索网站显示与该单号对应的单号信息,例如邮件何时出仓、何时转运等信息,那么显示该单号信息的网页所对应的链接是另一种形式。例如在快递单号的查询门户网站“快递100”上查询圆通单号12345678的单号信息,那么显示该单号信息的网页对应的链接(以下简称第二链接)可以为
http://www.kuaidi100.com/orderIndex.source?yto&odd?12345678
其中包含“快递100”的相关域名,而圆通公司的相关信息则以参数体现。
其中,每种形式的链接实质上都是针对同一单号的,而同一单号对应于同一用户,可以根据实际需要选择需要获取的链接形式。
相应地,形成的测试访问链接与有权访问链接的形式是相同的,从而保证针对一个确定的网站进行检测。例如针对圆通快递的官网进行测试,那么就需要修改第一链接中参数的值,例如修改为
http://trace.yto.net.cn:8022/Trace.aspx/odd?87654321
以判断圆通快递的官网是否存在权限漏洞。相应地,若针对“快递100”的网站进行测试则修改第二链接中参数的值。
优选地,根据预设规则更改参数的值形成测试访问链接(S3)包括:
在有权访问链接中包括多个参数时,根据预设规则,更改多个参数中的一个或多个参数的值,以形成测试访问链接,
以及所述方法还包括:
根据更改的参数的值生成提示信息。
网站的链接可以存在多个参数,例如某个用户甲的QQ空间相册中第二个相册页面的链接,其中可以包括与账号对应的参数ID,例如QQ号为12345,那么参数ID的值可以为12345,与相册文件对应的参数doc,例如相册文件对应的参数为14,那么参数doc的值可以为14,以及与相册标识对应的参数number,例如第二相册的标识为2,那么参数number的值可以为2。
当有权访问链接中包含参数ID、参数app和参数doc,其值分别为12345、6和14,例如有权访问链接为
http://qzone.qq.com/ID?12345&doc?14&number&2
则通过该有权访问链接可以访问用户甲的QQ号12345的相册文件中的第二个相册,但是每个参数对应内容的访问权限是不同的,例如所有人都有权限访问用户甲的QQ号12345的相册文件中的第二个相册,但是仅好友可以访问用户甲的QQ号12345的相册文件中的第三个相册,其中,第三个相册对应的参数number的值为3,当通过网页访问时,需要通过好友验证才能查看用户甲的QQ号12345的相册文件中的第三个相册,但是当构造测试访问链接
http://qzone.qq.com/ID?12345&doc?14&number&3
通过该链接依然能够访问用户甲的QQ号12345的相册文件中的第三个相册时,说明QQ空间网站存在权限漏洞,则提示在文件标识验证层存在权限漏洞。可见,针对不同参数进行检测,可以准确地确定漏洞在网站中的具体位置,从而进行精准地提示。
上述测试方式是在仅修改多个参数值中一个参数的情况下进行的测试,在链接的参数较多时,如果对每个参数逐个测试,耗时较多,浪费测试资源,所以可以采用预先检测的方式或同时对多个参数进行测试的方式以提高测试效率。
例如某链接中存在8个参数A、B、C、D、E、F、G、H,一种测试方式是,可以先获取其中每个参数的置信度,置信度较高的参数,其对应的层存在漏洞概率较低,则可以先忽略掉置信度较高的参数,对其他置信度较低的参数进行修改测试。例如参数A、B、C、D、E的置信度较高,参数F、G、H的置信度较低,则优先对参数F、G、H进行分别测试,若检测到存在权限漏洞即进行提示,若未检测到权限漏洞,则进一步对参数F、G、H进行测试。由于参数F、G、H的置信度较低,所以其相对于参数A、B、C、D、E有更大的概率存在漏洞,因此通过优先对参数F、G、H进行分别测试可以快速确定链接对应的网站是否存在漏洞。
在对多个参数同时进行测试的情况下,可以通过特定的算法进行测试,例如对于8个参数A、B、C、D、E、F、G、H,先对其中一半的参数进行测试,例如对于A、B、C、D进行测试,当检测到权限漏洞时,则可进行提示,当没检测到漏洞时,则对另一半参数E、F、G、H进行测试,从而快速确定链接对应的网站是否存在漏洞。
进一步地,当对于A、B、C、D进行测试,检测到权限漏洞时,为了确定漏洞具体对应的参数,可以对A、B、C、D中的一半参数A、B进行测试,当检测到权限漏洞更近一步地分别对A和B进行测试,以判定漏洞存在的具体位置。
当然,上述参数的测试方式仅是本发明的一种优选示例,实际对多个参数进行测试时,无需严格获取一半参数进行测试,只需获取所有参数中的一部分进行测试即可,在测试到一部分参数不存在漏洞时,针对另一部分参数进行测试。
根据本实施可见,通过对多个参数进行同时测试,可以在不要求精确确定漏洞位置时,快速确定是否存在漏洞,也可以在要求精确确定漏洞位置时,进一步进行精确的漏洞检测,用户可以根据需要选择具体的测试方式,具有很高的灵活性。
如图2所示,优选地,识别有权访问链接中的参数的值(S2)包括:
S21,识别有权访问链接中的参数;
S22,查询参数的值域,
根据预设规则更改参数的值形成测试访问链接(S3)包括:
S31,生成更改算法;优选地,可以根据接收到得指令生成更改算法,即用户可以通过图形用户界面输入更改算法。
S32,根据更改算法在值域内遍历参数的值,以形成多个测试访问链接。
某个参数的权限漏洞,可能是针对该参数的所有值都存在的,也可能是仅针对部分值存在,
例如有权访问链接为
http://qzone.qq.com/ID?12345&doc?14&number&2
针对参数number,其值域为1至9,通过更改算法对参数的每个值进行修改,并分别形成测试访问链接进行测试,
例如可以访问测试链接,
http://qzone.qq.com/ID?12345&doc?14&number&1
http://qzone.qq.com/ID?12345&doc?14&number&3
http://qzone.qq.com/ID?12345&doc?14&number&5
http://qzone.qq.com/ID?12345&doc?14&number&6
http://qzone.qq.com/ID?12345&doc?14&number&7
http://qzone.qq.com/ID?12345&doc?14&number&8
http://qzone.qq.com/ID?12345&doc?14&number&9
但是无法访问测试链接
http://qzone.qq.com/ID?12345&doc?14&number&4
说明书参数number的值为4时,链接对应的网页存在权限验证,而对于值域内的其他值则存在权限漏洞,即可根据其他值对应的链接生成提示,从而准确地进行提示。
优选地,判断是否能够访问测试访问链接(S4)包括:
根据测试访问链接发送访问请求,根据响应信息确定是否能够访问测试访问链接。
优选地,获取待检测网站中有权访问链(S1)包括:
通过旁路侦听获取待检测网站的访问请求,并获取针对访问请求的响应信息,根据响应信息确定有权访问链接。
优选地,可以通过旁路侦听从交换机获取请求包。
通过旁路侦听的方式,从网站接收交换机的数据,可以借助交换机获取接入该交换机的架设有已知特定网站的服务器即将收到的请求包,无论是通过本机侦听网卡而获取所述的请求包,还是由其他设备侦听网卡获取所述的请求包后汇聚到本机,均能对这些请求包进行集中的后续处理,实现了灵活且全面地获取访问请求。
如图2所示,根据本发明一个实施例的网站权限漏洞检测系统20包括:
获取单元21,用于获取待检测网站中有权访问链接;
识别单元22,用于识别有权访问链接中的参数的值;
更改单元23,用于根据预设规则更改参数的值形成测试访问链接;
判断单元24,用于判断是否能够访问测试访问链接,若能够访问,则确定待检测网站存在权限漏洞。
优选地,更改单元23在有权访问链接中包括多个参数时,根据预设规则,更改多个参数中的一个或多个参数的值,以形成测试访问链接,
以及系统20还包括:
提示单元24,用于根据更改的参数的值生成提示信息。
优选地,识别单元22包括:
参数识别子单元221,用于识别有权访问链接中的参数;
值域查询子单元222,用于查询参数的值域,
更改单元23包括:
算法生成子单元231,用于生成更改算法;
参数遍历子单元232,用于根据更改算法在值域内遍历参数的值,以形成多个测试访问链接。
优选地,判断单元25包括:
请求发送子单元251,用于根据测试访问链接发送访问请求;
响应确定子单元252,根据响应信息确定是否能够访问测试访问链接。
优选地,获取单元21包括:
旁路侦听子单元211,用于通过旁路侦听获取待检测网站的访问请求;
响应获取子单元212,用于获取针对访问请求的响应信息,根据响应信息确定有权访问链接。
综上所述,通过本发明的技术方案,能够根据网站链接,准确地检测网站是否存在权限漏洞,并且能够根据网站链接中的参数进行漏洞检测,准确地判断网站中权限漏洞所处的位置,从而进行准确地提示,避免用户信息泄露。
应当注意,在此提供的算法和公式不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解本发明各个方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法和装置解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网站安全检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网站权限漏洞检测方法,其特征在于,包括:
获取待检测网站中有权访问链接;
识别所述有权访问链接中的参数的值;
根据预设规则更改所述参数的值形成测试访问链接;
判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。
2.根据权利要求1所述网站权限漏洞检测方法,其特征在于,所述根据预设规则更改所述参数的值形成测试访问链接包括:
在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,
以及所述方法还包括:
根据更改的参数的值生成提示信息。
3.根据权利要求1所述网站权限漏洞检测方法,其特征在于,所述识别所述有权访问链接中的参数的值包括:
识别所述有权访问链接中的参数;
查询所述参数的值域,
所述根据预设规则更改所述参数的值形成测试访问链接包括:
生成更改算法;
根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。
4.根据权利要求3所述网站权限漏洞检测方法,其特征在于,所述判断是否能够访问所述测试访问链接包括:
根据所述测试访问链接发送访问请求,根据响应信息确定是否能够访问所述测试访问链接。
5.根据权利要求1至4中任一项所述网站权限漏洞检测方法,其特征在于,所述获取待检测网站中有权访问链接包括:
通过旁路侦听获取所述待检测网站的访问请求,并获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。
6.一种网站权限漏洞检测系统,其特征在于,包括:
获取单元,用于获取待检测网站中有权访问链接;
识别单元,用于识别所述有权访问链接中的参数的值;
更改单元,用于根据预设规则更改所述参数的值形成测试访问链接;
判断单元,用于判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。
7.根据权利要求6所述网站权限漏洞检测系统,其特征在于,所述更改单元在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,
以及所述系统还包括:
提示单元,用于根据更改的参数的值生成提示信息。
8.根据权利要求6所述网站权限漏洞检测系统,其特征在于,所述识别单元包括:
参数识别子单元,用于识别所述有权访问链接中的参数;
值域查询子单元,用于查询所述参数的值域,
所述更改单元包括:
算法生成子单元,用于生成更改算法;
参数遍历子单元,用于根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。
9.根据权利要求8所述网站权限漏洞检测系统,其特征在于,所述判断单元包括:
请求发送子单元,用于根据所述测试访问链接发送访问请求;
响应确定子单元,根据响应信息确定是否能够访问所述测试访问链接。
10.根据权利要求6至9中任一项所述网站权限漏洞检测系统,其特征在于,所述获取单元包括:
旁路侦听子单元,用于通过旁路侦听获取所述待检测网站的访问请求;
响应获取子单元,用于获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854508.8A CN104519070B (zh) | 2014-12-31 | 2014-12-31 | 网站权限漏洞检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854508.8A CN104519070B (zh) | 2014-12-31 | 2014-12-31 | 网站权限漏洞检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104519070A true CN104519070A (zh) | 2015-04-15 |
| CN104519070B CN104519070B (zh) | 2018-03-13 |
Family
ID=52793792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410854508.8A Active CN104519070B (zh) | 2014-12-31 | 2014-12-31 | 网站权限漏洞检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104519070B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
| CN106027528A (zh) * | 2016-05-24 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
| CN106101082A (zh) * | 2016-05-31 | 2016-11-09 | 乐视控股(北京)有限公司 | 权限漏洞检测方法及装置 |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN106470132A (zh) * | 2015-08-19 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 水平权限测试方法及装置 |
| CN106548075A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
| CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
| CN107220262A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 信息处理方法和装置 |
| CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
| WO2018188558A1 (zh) * | 2017-04-11 | 2018-10-18 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
| CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
| CN110798385A (zh) * | 2019-11-07 | 2020-02-14 | 中天宽带技术有限公司 | 广域网访问设置功能的测试方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | Xss检测方法和设备 |
| US20130074151A1 (en) * | 2010-06-10 | 2013-03-21 | Alibaba Group Holding Limited | Online Business Method, System and Apparatus Based on Open Application Programming Interface |
| CN103324890A (zh) * | 2013-07-03 | 2013-09-25 | 百度在线网络技术(北京)有限公司 | 对链接进行本地文件包含漏洞的检测方法和装置 |
-
2014
- 2014-12-31 CN CN201410854508.8A patent/CN104519070B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | Xss检测方法和设备 |
| US20130074151A1 (en) * | 2010-06-10 | 2013-03-21 | Alibaba Group Holding Limited | Online Business Method, System and Apparatus Based on Open Application Programming Interface |
| CN103324890A (zh) * | 2013-07-03 | 2013-09-25 | 百度在线网络技术(北京)有限公司 | 对链接进行本地文件包含漏洞的检测方法和装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN106470132A (zh) * | 2015-08-19 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 水平权限测试方法及装置 |
| CN106548075A (zh) * | 2015-09-22 | 2017-03-29 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
| CN105357195B (zh) * | 2015-10-30 | 2019-06-14 | 深信服科技股份有限公司 | web访问的越权漏洞检测方法及装置 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
| CN107220262A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 信息处理方法和装置 |
| CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
| CN106027528A (zh) * | 2016-05-24 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
| CN106027528B (zh) * | 2016-05-24 | 2019-07-12 | 微梦创科网络科技(中国)有限公司 | 一种web水平权限自动化识别的方法及装置 |
| CN106101082A (zh) * | 2016-05-31 | 2016-11-09 | 乐视控股(北京)有限公司 | 权限漏洞检测方法及装置 |
| CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
| CN106713347B (zh) * | 2017-01-18 | 2019-06-11 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
| WO2018188558A1 (zh) * | 2017-04-11 | 2018-10-18 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
| CN108696490A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
| CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
| CN110798385A (zh) * | 2019-11-07 | 2020-02-14 | 中天宽带技术有限公司 | 广域网访问设置功能的测试方法、装置、设备及介质 |
| CN110798385B (zh) * | 2019-11-07 | 2023-03-03 | 中天宽带技术有限公司 | 广域网访问设置功能的测试方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104519070B (zh) | 2018-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104519070A (zh) | 网站权限漏洞检测方法和系统 | |
| CN106101145B (zh) | 一种网站漏洞检测方法及装置 | |
| JP6533871B2 (ja) | ウェブアプリケーションへのサインオンを制御するためのシステムおよび方法 | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
| CN104580203A (zh) | 网站恶意程序检测方法及装置 | |
| CN113342639B (zh) | 小程序安全风险评估方法和电子设备 | |
| CN104539605B (zh) | 网站xss漏洞检测方法和设备 | |
| CN105516916B (zh) | 一种移动设备的报警方法和系统 | |
| CN101360102A (zh) | 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法 | |
| CN104579830B (zh) | 服务监控方法及装置 | |
| CN105592011A (zh) | 一种账号登录方法及装置 | |
| US20150169749A1 (en) | Multi-step search result retrieval | |
| CN102710646A (zh) | 一种钓鱼网站的收集方法和系统 | |
| CN103399871B (zh) | 获取一个主域名相关联的二级域名信息的设备和方法 | |
| CN106126707A (zh) | 信息识别方法和信息识别装置 | |
| CN107547524A (zh) | 一种网页检测方法、装置和设备 | |
| CN105141709A (zh) | 确定应用程序内页面跳转的方法及装置 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN104683327A (zh) | 一种Android软件用户登录界面安全性检测方法 | |
| CN104363252A (zh) | 网站安全检测方法与装置 | |
| CN104537305A (zh) | 网站漏洞检测方法和系统 | |
| CN104683357A (zh) | 一种基于软件令牌的动态口令认证方法及系统 | |
| CN107318104A (zh) | 账号注册方法、装置、计算机设备和介质 | |
| CN104484609A (zh) | 网站漏洞检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161128 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201230 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: QAX Technology Group Inc. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: QAX Technology Group Inc. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: QAX Technology Group Inc. |
|
| CP01 | Change in the name or title of a patent holder |