CN106101082A - 权限漏洞检测方法及装置 - Google Patents
权限漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN106101082A CN106101082A CN201610379616.3A CN201610379616A CN106101082A CN 106101082 A CN106101082 A CN 106101082A CN 201610379616 A CN201610379616 A CN 201610379616A CN 106101082 A CN106101082 A CN 106101082A
- Authority
- CN
- China
- Prior art keywords
- account
- access
- personal information
- url
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息处理技术领域,公开了一种权限漏洞检测方法及装置。该权限漏洞检测方法,通过确定系统中的多个账户分别对应的个人信息;接着,多个账户之间彼此交叉访问对方的个人信息;然后,根据所述交叉访问的访问结果来确定所述系统是否存在权限漏洞(如水平权限漏洞)。本发明中,可以实现自动化地检测系统是否在存权限漏洞(如水平权限漏洞),以提高检测效率。
Description
技术领域
本发明涉及信息处理技术领域,特别涉及一种权限漏洞检测方法及装置。
背景技术
随着现代社会信息技术的不断发展、电子商务环境的改善及其具备的巨大优势,电子商务正以惊人的速度发展并逐渐渗透到社会生活中的每一个行业领域。在此背景下,随着网上购物平台的不断发展完善,越来越多的人群加入到网络购物行列当中。
在网络购物中,用户在正常登录状态下,在“选定产品--->购物车--->下单--->支付”这一网络购物过程中会存在一些安全问题,例如SQL(Structured Query Language,结构化查询语言)注入、XSS(跨站点脚本)、水平权限等问题。其中,水平权限是指同等用户之间不能查看相互的个人信息,例如对于购物系统中的两个注册用户,他们彼此之间不能查看对方的购物车信息、订单信息等。但是系统在构建后,现在的很多测试工具都是基于产品需求的功能测试,并未对其中存在的安全问题进行检测,即只是检测用户是否登录,如果正常登录则是否可以进行正常购物或者查询订单信息,系统能否自动根据查询的订单号把订单详情信息显示出来,而并不判断该用户是否有权限查看此订单信息(此属于安全问题),这样就存在该用户可能查看其它用户订单信息的权限漏洞问题。而且一般的自动化安全检测工具并不知道用户业务逻辑上的设计,无法对权限问题进行有效检测,尤其是前述提及的水平权限漏洞问题。目前虽然有权限漏洞的检测,但都是基于人工的检测,不仅工作量很大、效率低下而且极耗费人力、物力等。
发明内容
本发明的目的在于提供一种权限漏洞检测方法及装置,能够自动地对权限漏洞问题进行检测,从而提高检测效率,节约检测成本。
为解决上述技术问题,本发明的实施方式提供了一种权限漏洞检测方法,包含:确定系统中的多个账户分别对应的个人信息;多个账户之间彼此交叉访问对方的个人信息;以及根据所述交叉访问的访问结果来确定所述系统是否存在权限漏洞。
本发明的实施方式还提供了一种权限漏洞检测装置,包含:个人信息确定模块,用于确定系统中的多个账户分别对应的个人信息;交叉访问模块,用于控制多个账户之间彼此交叉访问对方的个人信息;以及漏洞确定模块,用于根据所述交叉访问的访问结果来确定所述系统是否存在权限漏洞。
本发明实施方式相对于现有技术而言,通过确定各个账户的个人信息,然后各个账户之间交叉访问相互之间的个人信息,并根据账户是否能够访问其他账户的个人信息,来对权限漏洞(如水平权限漏洞)进行检测。此实施方式的检测流程,可以完全实现自动化,以提高检测效率。并且此检测方式无需过多的人工参与,从而可以节约检测中人力和物力的投入,从而节约检测成本。
另外,确定所述系统中的所述第一账户或所述第二账户在所述系统中的个人信息可以包括:在所述第一账户或所述第二账户登录所述系统的状态下,对所述系统中的多个信息进行访问,并记录访问所产生的第一访问记录;在所述第一账户或所述第二账户退出所述系统的状态下,进行与所述第一账户或所述第二账户登录所述系统的状态下相同的访问,并记录访问产生的第二访问记录;根据所述第一访问记录和所述第二访问记录,确定所述系统中的所述第一账户或所述第二账户在所述系统中的个人信息。
利用账户在登录状态和非登录状态下能够访问的系统中的信息的差别,确定出属于该账户的个人信息。此种检测方式易于由计算机实现,从而可以自动化且高效地对个人信息进行识别。
另外,当利用所述第一账户能够访问所述第二账户的个人信息中的至少部分,或利用所述第二账户能够访问所述第一账户的个人信息中的至少部分时,则确定所述系统存在权限漏洞。此处,若其中一个账户能够访问另一个账户的个人信息,则说明此系统存在权限漏洞,需要修复。
附图说明
图1是根据本发明第一实施方式的权限漏洞检测方法的流程图;
图2是图1中的步骤11的实施例的流程示意图;
图3是根据本发明第二实施方式的权限漏洞检测装置的结构示意图;
图4是图3中的个人信息确定模块的实施例的流程示意图;
图5根据本发明第三实施方式的测试器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。
本发明的第一实施方式涉及一种权限漏洞检测方法。具体流程如图1所示。其包括:
步骤11:确定系统中的多个账户分别对应的个人信息。
步骤12:多个账户之间彼此交叉访问对方的个人信息。即,利用多个账户中的各个账户分别对多个账户中的其他账户的在系统中对应的个人信息进行交叉访问。
步骤13:根据交叉访问的访问结果来确定系统是否存在权限漏洞。
其中,权限漏洞可以是指水平权限漏洞。水平权限漏洞一般可以是指同等用户之间能够访问彼此的个人信息(即非公开的信息)。一般而言,只要检测到系统中的一个用户能够访问其他同等用户的个人信息,则说明系统存在水平权限漏洞,需要修复此漏洞。其中,以购物系统而言,水平权限漏洞一般可以是指不同用户之间能够查看彼此的个人订单(如借助于一些开发工具)等信息。其中,个人订单中一般含有用户的收货地址、联系方式等信息,从而会造成用户个人信息泄漏。
具体地说,在步骤11及本文其他部分中提及的个人信息例如可以系统中记录了用户隐私(如联系地址、联系方式等)等信息的网页,该网页可称为URL(Uniform ResourceLocator,统一资源定位符)。例如用户访问订单页面,实际上就是对URL的访问,如果能够正常访问该URL,则能够显示用户的个人信息。因此,本文中提及的系统的信息也可以是指URL,只是系统中的信息有些是公开的,如购物系统的首页,而有些是属于用户的,只有相应的用户才能访问,其他用户禁止访问。相应地,本文中提及的系统也可以是指网页服务器。
其中,在步骤12中涉及对用户的个人信息的交叉访问,在步骤11确定好了各用户的个人信息之后,可以控制用户间交叉访问对方的个人信息,然后根据交叉访问的访问结果,来确定系统是否存在权限漏洞(即步骤13)。如前文对水平权限漏洞的解释,如果用户间在交叉访问时,能够访问到其他用户的个人信息,即其他用户的个人URL的页面能够正常显示,则表明系统存在水平权限漏洞,需要对系统进行修复;例如账户1对其订单1的URL进行访问时得到的响应页面与账户2对账户1的订单1的URL进行访问得到的响应页面相同,则说明系统存在水平权限漏洞。如果所有用户间彼此交叉访问时,都不能访问对方的个人信息,则说明在当前测试方法下,系统不存在水平权限漏洞。
本实施方式的权限漏洞检测流程,可以完全实现自动化,以提高检测效率。并且此检测方式需要人工的参与面少,从而可以节约检测中人力和物力的投入,从而节约检测成本。
在本实施方式中,一般使用两个账户进行检测即可,如果由两个账户彼此交叉测试没有发现水平权限漏洞,则可以视为该系统不存在水平权限漏洞。并且,使用两个账户进行测试,具有简化测试流程、提高测试速度等优势,在后续的实施例中,也主要是以两个账户为例来说明本发明的水平权限漏洞检测。但是,可以理解的是,下述以两个账户为例进行的说明,同样可以适用于多于两个账户时的检测,例如3个账户或者更多。
其中,本发明第一实施方式中步骤11的详细说明可以参考图2所示,并且包括:
步骤21:在账户登录系统的状态下,利用该账户对系统中的多个信息进行访问,并记录访问所产生的第一访问记录。
步骤22:在该账户退出系统的状态下,进行与该账户在登录系统的状态下相同的访问,并记录访问产生的第二访问记录。以及
步骤23:根据两次访问记录之间的差异,确定该账户的个人信息。
其中,在本实施方式中,首先利用一帐户(账户1)来登录系统进行访问,同时将该帐户的访问记录进行后台信息采集,其中一条访问记录包括:一个访问请求,以及该访问请求所对应的一个访问响应(或返回结果)。然后退出该帐户并进行与登录状态完全相同的访问请求,同时后台也对这些访问记录进行信息采集,最后根据后台两次采集的信息来判断哪些是公开信息哪些是个人信息。例如,当账户1登录前后,均能访问的信息为公开信息,账户1登录时能访问而登出时不能访问的信息为该账户对应的个人信息。其中,对系统的访问可以是指访问系统各个页面,如主面、如商品介绍页面、如帮助页面、如个人订单页面,等等。
需要说明的是,上述步骤21中,该账户对系统中的多个信息进行访问,一般是对该系统中的所有URL页面进行访问,由于本实施方式可以完全自动执行,因此即使访问所有的URL页面,其访问效率依旧十分地高。但是,在测试之前,实际上能够排除某些页面,必然是公开页面(即不涉及用户个人信息),如主页。因此,上述步骤21中,该账户对系统中的多个信息进行访问可以不是指对该系统中的所有URL页面进行访问,例如访问的URL页面中不包括已确认为公开信息的页面(如主页)。
另外,利用另一账户重复上述的步骤21~步骤23可以得到该另一账户的个人信息。如此反复多次,则可以得到多个账户的个人信息。然后可以利用图1中步骤12所示的方法,进行交叉测试,以此来检测系统是否存在水平权限漏洞。
例如,假定账户1在登录状态时访问了80个URL,在退出账户1后再访问同样的80个URL,发现此时只能访问其中的60个URL,这说明其余的20个URL为账户1的敏感(个人)信息。同样地,账户2登录状态时也访问了80个URL,在退出账户2后再访问同样的80个URL,发现此时只能访问其中的50个URL,这说明其余的30个URL为账户2的敏感(个人)信息。对账户1的20个URL(个人信息)与账户2的30个URL(个人信息)进行交叉测试,即登录账户1去访问账户2的30个URL(个人信息),以及登录账户2去访问账户1的20个URL(个人信息),如果服务器不允许账户1去访问账户2的30个URL(个人信息),也不不允许账户2去访问账户1的20个URL(个人信息),即这种交叉访问被阻止,则说明当前的系统(或服务器)克服了水平权限漏洞问题。而如果服务器允许账户1去访问账户2的30个URL(个人信息)中的至少部分,或者允许账户2去访问账户1的20个URL(个人信息)中的至少部分,即说明这种交叉访问被允许,则系统存在水平权限问题。
本实施方式,提供了一种适应用于自动化实现的账户的个人信息的确定方式,以为后续的交叉测试做好准备。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包含相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明的第二实施方式涉及一种权限漏洞检测装置3。如图3所示。其包括:
个人信息确定模块31,用于确定系统中的多个账户分别对应的个人信息。
交叉访问模块32,用于控制多个账户之间彼此交叉访问对方的个人信息。以及
漏洞确定模块33,用于根据交叉访问的访问结果来确定系统是否存在权限漏洞。
其中,权限漏洞可以是指水平权限漏洞。水平权限漏洞一般可以是指同等用户之间能够访问彼此的个人信息(即非公开的信息)。一般而言,只要检测到系统中的一个用户能够访问其他同等用户的个人信息,则说明系统存在水平权限漏洞,需要修复此漏洞。其中,以购物系统而言,水平权限漏洞一般可以是指不同用户之间能够查看彼此的个人订单(如借助于一些开发工具)等信息。其中,个人订单中一般含有用户的收货地址、联系方式等信息,从而会造成用户个人信息泄漏。
具体地说,在个人信息确定模块31中及本文其他部分中提及的个人信息例如可以系统中记录了用户隐私(如联系地址、联系方式等)等信息的网页,该网页可称为URL。例如用户访问订单页面,实际上就是对URL的访问,如果能够正常访问该URL,则能够显示用户的个人信息。因此,本文中提及的系统的信息也可以是指URL,只是系统中的信息有些是公开的,如购物系统的首页,而有些是属于用户的,只有相应的用户才能访问,其他用户禁止访问。相应地,本文中提及的系统也可以是指网页服务器。
其中,交叉访问模块32涉及对用户的个人信息的交叉访问,在个人信息确定模块31确定好了各用户的个人信息之后,可以控制用户间交叉访问对方的个人信息,然后由漏洞确定模块33根据交叉访问的访问结果,来确定系统是否存在水平权限漏洞。如前文对水平权限漏洞的解释,如果用户间在交叉访问时,能够访问到其他用户的个人信息,即其他用户的个人URL的页面能够正常显示,则表明系统存在水平权限漏洞,需要对系统进行修复;例如账户1对其订单1的URL进行访问时得到的响应页面与账户2对账户1的订单1的URL进行访问得到的响应页面相同,则说明系统存在水平权限漏洞。如果所有用户间彼此交叉访问时,都不能访问对方的个人信息,则说明在当前测试方法下,系统不存在水平权限漏洞。
本实施方式的权限漏洞检测装置,可以实现完全的自动化检测,以提高检测效率。并且此检测方式需要人工的参与面少,从而可以节约检测中人力和物力的投入,从而节约检测成本。
在此实施方式中,一般使用两个账户进行检测即可,如果由两个账户彼此交叉测试没有发现水平权限漏洞,则可以视为该系统不存在水平权限漏洞。并且,使用两个账户进行测试,具有简化测试流程、提高测试速度等优势,在后续的实施例中,也主要是以两个账户为例来说明本发明的水平权限漏洞检测。但是,可以理解的是,下述以两个账户为例进行的说明,同样可以适用于多于两个账户时的检测,例如3个账户或者更多。
其中,本发明第二实施方式中的个人信息确定模块31的详细说明可以参考图4所示,并且包括:
第一记录单元41,用于在账户登录系统的状态下,利用该账户对系统中的多个信息进行访问,并记录访问所产生的第一访问记录。
第二记录单元42,用于在该账户退出系统的状态下,进行与该账户在登录系统的状态下相同的访问,并记录访问产生的第二访问记录。以及
个人信息确定单元43,用于根据两次访问记录之间的差异,确定该账户的个人信息。
其中,在本实施方式中,首先利用一帐户(账户1)来登录系统进行访问,同时由第一记录单元41将该帐户的访问记录进行后台信息采集,其中一条访问记录包括:一个访问请求,以及对应的一个访问响应。然后退出该帐户并进行与登录状态完全相同的访问请求,同时第二记录单元42也对这些访问记录进行信息采集,最后由个人信息确定单元43根据两次记录单元采集的信息来判断哪些是公开信息哪些是个人信息。例如,当账户1登录前后,均能访问的信息为公开信息,账户1登录时能访问而登出时不能访问的信息为该账户对应的个人信息。其中,对系统的访问可以是指访问系统各个页面,如主面、如商品介绍页面、如帮助页面、如个人订单页面,等等。
需要说明的是,上述第一记录单元41中,该账户对系统中的多个信息进行访问,一般是对该系统中的所有URL页面进行访问,由于本实施方式可以完全自动执行,因此即使访问所有的URL页面,其访问效率依旧十分地高。但是,在测试之前,实际上能够排除某些页面,必然是公开页面(即不涉及用户个人信息),如主页。因此,上述第一记录单元41中,该账户对系统中的多个信息进行访问可以不是指对该系统中的所有URL页面进行访问,例如访问的URL页面中不包括已确认为公开信息的页面(如主页)。
另外,个人信息确定模块31中的上述单元对另一账户重复上述的操作,从而可以得到该另一账户的个人信息。如此反复多次,则可以得到多个账户的个人信息。然后可以利用交叉访问模块32来进行交叉测试,以此来检测系统是否存在水平权限漏洞。
不难发现,本实施方式为与第一实施方式相对应的系统实施例,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。下面对本发明的物理单元进行说明。
本发明的第三实施方式涉及一种检测器5。如图5所示,其包括:处理器51、存储器52、显示器53和收发器54。
其中,处理器51为系统的核心,其可以CPU(中央处理器)、DSP(Digital SignalProcessor,数字信号处理器)等,在图5实施例中涉及的各模块均可以相当于处理器51的一部分。其中,存储器52可以为ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机访问存储器)、缓存或闪存等存储设备,其可以用于存储计算机可读的程序指令,该程序指令用于使得处理器实现图1实施例所示的水平漏洞检测功能。其中,显示器53主要用于显示水平漏洞检测界面,显示当前检测尽度,显示检测结果等信息,其可以用于实现人机交互。其中,收发器54主要用于该检测器与外部的通信,例如与用于提供网购服务的服务器进行通信,以对服务器是否存在水平漏洞进行测试。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种权限漏洞检测方法,其特征在于,包含:
确定系统中的多个账户分别对应的个人信息;
多个账户之间彼此交叉访问对方的个人信息;
根据所述交叉访问的访问结果来确定所述系统是否存在权限漏洞。
2.根据权利要求1所述的权限漏洞检测方法,其特征在于,所述系统为网页服务器,所述个人信息为统一资源定位符URL。
3.根据权利要求1或2所述的权限漏洞检测方法,其特征在于,所述多个账户包括:第一账户和第二账户;
所述确定系统中的多个账户分别对应的个人信息包括:
确定所述系统中的第一账户在所述系统中的个人信息;以及
确定所述系统中的第二账户在所述系统中的个人信息。
4.根据权利要求3所述的权限漏洞检测方法,其特征在于,确定所述系统中的所述第一账户或所述第二账户在所述系统中的个人信息,包括:
在所述第一账户或所述第二账户登录所述系统的状态下,对所述系统中的多个信息进行访问,并记录访问所产生的第一访问记录;
在所述第一账户或所述第二账户退出所述系统的状态下,进行与所述第一账户或所述第二账户登录所述系统的状态下相同的访问,并记录访问产生的第二访问记录;
根据所述第一访问记录和所述第二访问记录,确定所述系统中的所述第一账户或所述第二账户在所述系统中的个人信息。
5.根据权利要求4所述的权限漏洞检测方法,其特征在于,所述第一访问记录包括:多个URL访问请求以及对应的多个第一URL访问响应,其中URL访问请求与URL访问响应一一对应;
所述第二访问记录包括:所述多个URL访问请求,以及多个第二URL访问响应;
其中,所述根据所述第一访问记录和所述第二访问记录,确定所述系统中的所述第一账户或所述第二账户在所述系统中的个人信息,包括:
确定所述多个URL访问请求中的同一个URL访问请求对应的第一URL响应及对应的第二URL响应;
若所述同一个URL访问请求对应的第一URL响应及对应的第二URL响应不相同,则确定该URL访问请求对应的URL为所述第一账户或所述第二账户的个人信息。
6.根据权利要求3所述的权限漏洞检测方法,其特征在于,所述多个账户之间彼此交叉访问对方的个人信息中,具体包括:
利用所述第一账户对所述系统中的所述第二账户的个人信息进行访问,和/或利用所述第二账户对所述系统中的所述第一账户的个人信息进行访问。
7.根据权利要求6所述的权限漏洞检测方法,其特征在于,所述根据所述交叉访问的访问结果来确定所述系统是否存在权限漏洞包括:
当利用所述第一账户能够访问所述第二账户的个人信息中的至少部分信息,或利用所述第二账户能够访问所述第一账户的个人信息中的至少部分信息时,确定所述系统存在权限漏洞。
8.一种权限漏洞检测装置,其特征在于,包含:
个人信息确定模块,用于确定系统中的多个账户分别对应的个人信息;
交叉访问模块,用于控制多个账户之间彼此交叉访问对方的个人信息;以及
漏洞确定模块,用于根据所述交叉访问的访问结果来确定所述系统是否存在权限漏洞。
9.根据权利要求8所述的权限漏洞检测装置,其特征在于,所述系统为网页服务器,所述个人信息为统一资源定位符URL。
10.根据权利要求8或9所述的权限漏洞检测装置,其特征在于,所述多个账户包括:第一账户和第二账户;
所述个人信息确定模块,用于确定所述系统中的第一账户在所述系统中的个人信息;以及确定所述系统中的第二账户在所述系统中的个人信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610379616.3A CN106101082A (zh) | 2016-05-31 | 2016-05-31 | 权限漏洞检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610379616.3A CN106101082A (zh) | 2016-05-31 | 2016-05-31 | 权限漏洞检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106101082A true CN106101082A (zh) | 2016-11-09 |
Family
ID=57229741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610379616.3A Pending CN106101082A (zh) | 2016-05-31 | 2016-05-31 | 权限漏洞检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106101082A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108932426A (zh) * | 2018-06-27 | 2018-12-04 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
| CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、系统、电子设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
| CN104519070A (zh) * | 2014-12-31 | 2015-04-15 | 北京奇虎科技有限公司 | 网站权限漏洞检测方法和系统 |
| CN104537305A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 网站漏洞检测方法和系统 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
-
2016
- 2016-05-31 CN CN201610379616.3A patent/CN106101082A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
| CN104519070A (zh) * | 2014-12-31 | 2015-04-15 | 北京奇虎科技有限公司 | 网站权限漏洞检测方法和系统 |
| CN104537305A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 网站漏洞检测方法和系统 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
| CN108932426A (zh) * | 2018-06-27 | 2018-12-04 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN108932426B (zh) * | 2018-06-27 | 2022-05-03 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、系统、电子设备和介质 |
| CN110909355B (zh) * | 2018-09-17 | 2024-07-16 | 京东科技控股股份有限公司 | 越权漏洞检测方法、系统、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103927307B (zh) | 一种识别网站用户的方法和装置 | |
| CN111343173B (zh) | 数据访问的异常监测方法及装置 | |
| WO2017053245A1 (en) | Computer system for discovery of vulnerabilities in applications including guided tester paths based on application coverage measures | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN102833212A (zh) | 网页访问者身份识别方法及系统 | |
| CN106487603A (zh) | 一种响应测试方法及装置 | |
| CN103618696B (zh) | 对cookie信息进行处理的方法和服务器 | |
| CN103345439B (zh) | 一种信息系统全链路健康状态监控方法及装置 | |
| CN107241292B (zh) | 漏洞检测方法及装置 | |
| CN108769070A (zh) | 一种越权漏洞检测方法及装置 | |
| CN102651062A (zh) | 基于虚拟机架构的恶意行为跟踪系统和方法 | |
| CN107918575A (zh) | 一种页面状态的监控方法及装置 | |
| CN109783543A (zh) | 数据查询方法、装置、设备和存储介质 | |
| CN108512822B (zh) | 一种数据处理事件的风险识别方法和装置 | |
| CN104050257A (zh) | 钓鱼网页的检测方法和装置 | |
| CN106101082A (zh) | 权限漏洞检测方法及装置 | |
| CN109657434A (zh) | 应用访问方法及装置 | |
| CN109657119A (zh) | 一种基于访问日志ip分析的网络爬虫检测方法 | |
| CN104504331B (zh) | 虚拟化安全检测方法与系统 | |
| CN106330811A (zh) | 域名可信度确定的方法及装置 | |
| KR20100069147A (ko) | 웹사이트 품질 테스트 방법 및 시스템 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN103581321A (zh) | 一种refer链的创建方法、装置及安全检测方法和客户端 | |
| US20170220804A1 (en) | Determine protective measure for data that meets criteria | |
| CN110691005A (zh) | 一种网站监测系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161109 |
|
| WD01 | Invention patent application deemed withdrawn after publication |