CN107294919A - 一种水平权限漏洞的检测方法及装置 - Google Patents
一种水平权限漏洞的检测方法及装置 Download PDFInfo
- Publication number
- CN107294919A CN107294919A CN201610201649.9A CN201610201649A CN107294919A CN 107294919 A CN107294919 A CN 107294919A CN 201610201649 A CN201610201649 A CN 201610201649A CN 107294919 A CN107294919 A CN 107294919A
- Authority
- CN
- China
- Prior art keywords
- request message
- target request
- analyzed
- data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 48
- 230000004044 response Effects 0.000 claims abstract description 53
- 238000012360 testing method Methods 0.000 claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 26
- 235000014510 cooky Nutrition 0.000 description 14
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及计算机技术,特别涉及一种水平权限漏洞的检测方法及装置,用以提高水平权限漏洞的检测准确率,以及提高检测效率。该方法为:将目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息,再基于目标请求消息携带的测试用户身份信息访问相应的目标地址,以及根据接收的响应消息是否包含有原始用户身份信息对应的敏感信息来判定目标请求消息是否对应的业务功能存在水平权限漏洞。这样,不会给系统造成额外的运行处理负担,保障了漏洞检测效率,同时,本实施例中是于水平权限漏洞运行时的本质进行漏洞检测,因而,保证了检测结果的准确性和可信程度。降低了误检率和漏报率,有效提升了检测性能。
Description
技术领域
本申请涉及计算机技术,特别涉及一种水平权限漏洞的检测方法及装置。
背景技术
现在越来越多的公司的业务都以浏览器/服务器(Browser/Server,B/S)的形式展示给互联网的用户,这些用户都有一些私有的敏感数据,包括个人信息(身份证、手机、住址)等。而不法用户,可以利用B/S网站的水平权限漏洞导致用户的私有的敏感数据泄露。
所谓水平权限漏洞即是指:出现在B/S应用层网站,在呈现与用户关联的敏感数据时,未经用户归属校验便可以从一个用户访问另外一个用户的敏感数据的安全漏洞。
水平权限漏洞检测一直是业界比较难以解决的问题,目前,业界针对水平权限漏洞的检测方式有以下几种:
1、白盒扫描法。
采用白盒扫描法需要基于已知特征进行水平权限漏洞扫描,因此,只能扫描一些B/S应用层的通用水平权限漏洞,对于需要进行代码分析才能确定的水平权限漏洞则无计可施,因此,存在漏报的困扰。
2、黑盒检测法。
采用黑盒测试法,需要测试B/S应用程序所有的功能,并且对于部分需要进行代码分析才能确定的水平权限漏洞亦无计可施,因此,存在执行效率低的问题,以及存在漏报的困扰。
3、人工代码审计法。
采用人工代码审计法,需要通过人工来阅读代码发现水平权限漏洞问题,存在执行效率低下的问题。
有鉴于此,需要设计一种新的水平权限漏洞的检测方法,克服上述缺陷。
发明内容
本申请实施例提供一种特别涉及一种水平权限漏洞的检测方法及装置,用以提高水平权限漏洞的检测准确率,以及提高检测效率。
本申请实施例提供的具体技术方案如下:
一种水平权限漏洞的检测方法,包括:
获取待分析数据,从待分析数据中提取出目标请求消息集合;
分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息;
分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址,并接收相应的响应消息;以及,
在确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
可选的,获取待分析数据,从待分析数据中提取出目标请求消息集合,包括:
收集中间件或/和WEB服务器中的系统日志进行集中存储,并将存储的系统日志作为待分析数据,以及对待分析数据进行代码分析,提取出所有请求体组成目标请求消息集合。
可选的,获取待分析数据,从待分析数据中提取出目标请求消息集合,进一步包括:
通过流量镜像的方式从数据流中提取出所有请求体,将提取出的请求体作为待分析数据,直接组成目标请求消息集合。
可选的,在提取出所有请求体后,在组成目标请求消息集合之前,进一步包括:
对获得的所有请求体进行去重处理。
可选的,确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞,包括:
检测所述任意一个目标请求消息对应的响应消息的大小,确定所述响应消息的大小属于预设的取值范围时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞;或者,
对所述任意一个目标请求消息对应的响应消息进行格式分析,确定所述响应消息的格式符合预定义格式时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
可选的,进一步包括:
将检测到的水平权限漏洞进行上报,并根据指令对检测到的水平权限漏洞进行跟踪处理。
一种水平权限漏洞的检测装置,包括:
提取单元,用于获取待分析数据,从待分析数据中提取出目标请求消息集合;
替换单元,用于分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息;
处理单元,用于分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址,并接收相应的响应消息;以及,
在确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
可选的,获取待分析数据,从待分析数据中提取出目标请求消息集合时,所述提取单元用于:
收集中间件或/和WEB服务器中的系统日志进行集中存储,并将存储的系统日志作为待分析数据,以及对待分析数据进行代码分析,提取出所有请求体组成目标请求消息集合;
可选的,获取待分析数据,从待分析数据中提取出目标请求消息集合时,所述提取单元进一步用于:
通过流量镜像的方式从数据流中提取出所有请求体,将提取出的请求体作为待分析数据,直接组成目标请求消息集合。
可选的,在提取出所有请求体后,在组成目标请求消息集合之前,所述提取单元进一步用于:
对获得的所有请求体进行去重处理。
可选的,确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞时,所述处理单元用于:
检测所述任意一个目标请求消息对应的响应消息的大小,确定所述响应消息的大小属于预设的取值范围时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞;或者,
对所述任意一个目标请求消息对应的响应消息进行格式分析,确定所述响应消息的格式符合预定义格式时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
可选的,所述处理单元进一步用于:
将检测到的水平权限漏洞进行上报,并根据指令对检测到的水平权限漏洞进行跟踪处理。
本申请实施例中,将目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息,再基于目标请求消息携带的测试用户身份信息访问相应的目标地址,以及根据接收的响应消息是否包含有原始用户身份信息对应的敏感信息来判定目标请求消息对应的业务功能是否存在水平权限漏洞。这样,无需根据漏洞特征进行扫描,免去了维护特征库的前期开发工作量和后期维护工作量,并且由于是基于测试用户身份信息重新访问目标请求消息对应的地址,因此,不会给系统造成额外的运行处理负担,保障了漏洞检测效率,同时,本实施例中是基于水平权限漏洞运行时的本质进行漏洞检测,因而,保证了检测结果的准确性和可信程度,降低了误检率和漏报率,有效提升了检测性能。
附图说明
图1为本申请实施例中水平权限漏洞检测流程图;
图2为本申请实施例中检测装置功能结构示意图。
具体实施方式
为了提高水平权限漏洞的检测准确率,以及提高检测效率,本申请实施例中,设计了一种新的水平权限漏洞的检测方法,该方法为:针对B/S应用层的水平权限漏洞进行,对扫描到的统一资源定位符(Uniform Resource Locator,URL)中的指定参数采用预设规则进行替换测试,并且根据返回结果来判断是否存在水平权限漏洞。
下面结合附图对本申请优选的实施例作出进一步详细说明。
本申请实施例中,用于进行水平权限漏洞检测的检测装置,可以是集中式的专门用于测试的服务器,也可以是采用分布式架构搭建的服务器集群,只要是能够实现本申请实施例技术方案的装置均可采纳,后续实施例中,以检测装置采用分布式架构搭建为例进行说明。
参阅图1所示,本申请实施例中,检测装置进行水平权限漏洞检测的详细流程如下:
步骤100:获取待分析数据。
具体的,检测装置主要是从网络服务器(如,Web服务器)获取系统日志,并将这些系统日志作为待分析数据。
本申请实施例中,获取大量的系统日志时,可以采用但不限于以下两种方法:
方案1、检测装置通过分布式设置在B/S应用层的功能模块,可以收集中间件中的系统日志进行集中存储,也可以收集WEB服务器中的系统日志进行集中存储,还可以同时收集中间件中的系统日志和WEB服务器中的系统日志进行集中存储,并将存储的系统日志作为待分析数据。当然,这些系统日志中也记录了超文本传送协议(Hyper Text Transport Protocol,Http)请求体,在方案1中,这些Http请求体是以全文件的形式存储的。
所谓的请求体,又称请求头,即是指客户端程序(如,浏览器)向服务器发送请求消息时,指明请求类型的部分(如,GET请求或者POST请求)。当然,实际应用中,客户端程序还可以选择发送其他类型的请求体,本实施例中,仅以Http请求体为例进行说明。
进一步地,采用方案1可以采集到通过GET请求提交的系统日志,但并不能采集到通过POST请求提交的系统日志,因此,进一步地,还需要采用方案2以配合方案1使用。
方案2、检测装置通过分布式设置在B/S应用层的功能模块,通过流量镜像的方式从数据流中提取出Http请求体,然后将提取出的Http请求体作为待分析数据。
在采用方案2时,检测装置可以根据自定义规则抓取数据流中指定字节数的数据包,这样,可以从通过POST请求提交的系统日志中提取出Http请求。
步骤110:从待分析数据中提取出目标请求消息集合。
对于方案1,则需要对以全文件形式存储的系统日志进行代码分析,从而提取出Http请求体组成目标请求消息集合;对于方案2,则可以直接提取出Http请求体组成目标请求消息集合,在此不再赘述。
可选的,本实施例中,在提取出所有Http请求体后,在组成目标请求消息集合之前,需要对获得的所有Http请求体进行去重处理,例如,可以通过URL去重算法整理出包含唯一的URL的Http请求列表。这样,可以降低后续的工作量,提高检测效率,当然,如果获得的Http请求体总数量并不多,且重复率不高,则也可以不进行去重处理,在此不再赘述。
通常,一个Http请求体对应一个目标请求消息,一个目标请求消息中通常携带有一个原始用户身份信息,用于在访问目的地址时,有权限使用相应的敏感信息(如,身份证号码、手机号码,家庭住址等等)。
步骤120:分别将每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息。
所谓的用户身份信息即是可以表征用户身份的标识信息,如,Cookie等等。使用用户身份信息登录目标请求消息指向的目的地址时,可以读取相关联的敏感信息。
本实施例中,以Cookie为例,检测装置分别将目标请求消息集合中的每一个目标请求消息携带的原始Cookie替换为相应的测试Cookie,不同目标请求消息之间使用的测试Cookie可以相同也可以不同。
例如,假设一条Http请求的代码如下:
GET Http://order.example.com/orderDetail.html?orderId=1024HTTP/1.1
Host:order.example.com
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent:Mozilla/5.0(Macintosh;Intel Mac OS X 10_10_5)AppleWebKit/537.36(KHTML,like Gecko)Chrome/47.0.2526.80Safari/537.36
Accept-Encoding:gzip,deflate
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie:auth=testuser1cookie
其中,原始Cookie:auth=testuser1cookie为用户的唯一身份标识,用于在登录时标明用户的身份,而检测装置可以将原始Cookie:auth=testuser1cookie替换成测试Cookie:auth=testsecuritycookie。
由于Cookie发生了改变,因此,原则上使用测试Cookie登录目标请求消息对应的目标地址后,无法读取原始Cookie关联的敏感信息,但如果可以读取到原始cookie关联的敏感,则说明目标请求消息对应的业务功能存在水平权限漏洞,即原始cookie和使用权限未绑定,存在敏感信息泄漏的风险。
步骤130:分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址,并接收相应的响应消息、
本申请实施例中,检测装置将每一个目标请求消息中携带的原始用户身份信息替换为测试用户身份信息后,需要分别对每一个目标请求消息进行重放,所谓重放,即是指基于每一个目标请求消息携带的测试用户身份信息重新登录访问相应的目标地址。实际上,采用测试用户身份标识对目标请求消息进行重放还解决了另外一个问题,有些原始用户身份标识是有定期失效的,因此,采用测试用户身份标识对目标请求消息进行重放实现了二次登陆操作,避免了因用户身份标识失效无法登陆造成的测试结果不准确。
步骤140:在确定任意一个目标请求消息对应的响应消息中包含有该任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定该任意一个目标请求消息对应的业务功能存在水平权限漏洞。
进一步地,以任意一个目标请求消息(以下称为目标请求消息X)为例,在进行水平权限漏洞检测时,可以采用但不限于以下方式:
方式1:检测目标请求消息X对应的响应消息(以下称为响应消息X)的大小,确定响应消息X的大小属于预设的取值范围时,判定目标请求消息X对应的业务功能存在水平权限漏洞。
实际应用中,由于响应消息中会包含有用户的敏感信息,因此,响应消息的大小是可预估的,假设系统侧根据各个用户的敏感信息的数据大小,预先估算并设置了取值范围[A,B],那么,检测装置在接收到目标请求消息X对应的响应消息X后,计算响应消息X的大小,并判断其是否属于[A,B],若是,则可以初步确定响应消息X中可能会包含有原始用户的敏感信息,亦可以初步判定目标请求消息X对应的业务功能存在水平权限漏洞;否则,则可以初步排除目标请求消息X对应的业务功能存在水平权限漏洞的可能。
当然,采用方式1,可能会存在一定的误报率和漏检率,但是可以节省检测时间,提高检测效率,尤其是针对存在海量目标请求消息需要检测的情况,采用方式1可以高效地实现初步筛选。
若对检测结果精确度要求不高,则可以直接使用采用方式1获得的检测结果,而若对检测结果精确度要求高,则可以进一步使用方式2,当然,方式2也可以单独使用,本实施例仅以连续使用方式1和方式2为例进行说明。
方式2:对目标请求消息X对应的响应消息X进行格式分析,确定响应消息X的格式符合预定义格式时,判定目标请求消息X对应的业务功能存在水平权限漏洞。
实际应用中,系统侧针对目标请求消息的响应内容整理了一套模型,这套模型包含与业务相关的各类属性定义,例如,定义了敏感信息泄漏的内容格式(如,手机号格式、身份证格式、订单格式等等),根据预定义的格式即可以检测出响应消息X中是否包含了敏感信息。
采用方式2,可以保障检测精确度,无论是单独使用,还是结合方式1使用,均可以迅速检测出可疑的目标请求消息。
步骤150:将测试结果输出,并进行后续跟踪处理。
具体的,即是可以将存在水平权限漏洞的目标请求消息进行上报,由管理人员针对这些目标请求消息对应的业务功能进行修复处理。
基于上述实施例,参阅图2所示,本申请实施例中,检测装置至少包括提取单元20、替换单元21和处理单元22,其中,
提取单元20,用于获取待分析数据,从待分析数据中提取出目标请求消息集合;
替换单元21,用于分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息;
处理单元22,用于分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址,并接收相应的响应信息;以及,
在确定任意一个目标请求消息对应的响应信息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
可选的,获取待分析数据,从待分析数据中提取出目标请求消息集合时,提取单元20用于:
收集中间件或/和WEB服务器中的系统日志进行集中存储,并将存储的系统日志作为待分析数据,以及对待分析数据进行代码分析,提取出所有请求体组成目标请求消息集合;
可选的,获取待分析数据,从待分析数据中提取出目标请求消息集合时,提取单元20进一步用于:
通过流量镜像的方式从数据流中提取出所有请求体,将提取出的请求体作为待分析数据,直接组成目标请求消息集合。
可选的,在提取出所有请求体后,在组成目标请求消息集合之前,提取单元20进一步用于:
对获得的所有请求体进行去重处理。
可选的,确定任意一个目标请求消息对应的响应信息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞时,处理单元20用于:
检测所述任意一个目标请求消息对应的响应信息的大小,确定所述响应信息的大小属于预设的取值范围时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞;或者,
对所述任意一个目标请求消息对应的响应信息进行格式分析,确定所述响应信息的格式符合预定义格式时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
可选的,处理单元22进一步用于:
将检测到的水平权限漏洞进行上报,并根据指令对检测到的水平权限漏洞进行跟踪处理。
综上所述,本申请实施例中,将目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息,再基于目标请求消息携带的测试用户身份信息访问相应的目标地址,以及根据接收的响应消息是否包含有原始用户身份信息对应的敏感信息来判定目标请求消息对应的业务功能是否存在水平权限漏洞。这样,无需根据漏洞特征进行扫描,免去了维护特征库的前期开发工作量和后期维护工作量,并且由于是基于测试用户身份信息重新访问目标请求消息对应的地址,因此,不会给系统造成额外的运行处理负担,保障了漏洞检测效率,同时,本实施例中是基于水平权限漏洞运行时的本质进行漏洞检测,因而,保证了检测结果的准确性和可信程度,降低了误检率和漏报率,有效提升了检测性能。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种水平权限漏洞的检测方法,其特征在于,包括:
获取待分析数据,从待分析数据中提取出目标请求消息集合;
分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息;
分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址,并接收相应的响应消息;以及,
在确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
2.如权利要求1所述的方法,其特征在于,获取待分析数据,从待分析数据中提取出目标请求消息集合,包括:
收集中间件或/和WEB服务器中的系统日志进行集中存储,并将存储的系统日志作为待分析数据,以及对待分析数据进行代码分析,提取出所有请求体组成目标请求消息集合。
3.如权利要求2所述的方法,其特征在于,进一步包括:
通过流量镜像的方式从数据流中提取出所有请求体,将提取出的请求体作为待分析数据,直接组成目标请求消息集合。
4.如权利要求2或3所述的方法,其特征在于,在提取出所有请求体后,在组成目标请求消息集合之前,进一步包括:
对获得的所有请求体进行去重处理。
5.如权利要求1至4任一项所述的方法,其特征在于,确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞,包括:
检测所述任意一个目标请求消息对应的响应消息的大小,确定所述响应消息的大小属于预设的取值范围时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞;或者,
对所述任意一个目标请求消息对应的响应消息进行格式分析,确定所述响应消息的格式符合预定义格式时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
6.如权利要求5所述的方法,其特征在于,进一步包括:
将检测到的水平权限漏洞进行上报,并根据指令对检测到的水平权限漏洞进行跟踪处理。
7.一种水平权限漏洞的检测装置,其特征在于,包括:
提取单元,用于获取待分析数据,从待分析数据中提取出目标请求消息集合;
替换单元,用于分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息;
处理单元,用于分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址,并接收相应的响应消息;以及,
在确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
8.如权利要求7所述的装置,其特征在于,获取待分析数据,从待分析数据中提取出目标请求消息集合时,所述提取单元用于:
收集中间件或/和WEB服务器中的系统日志进行集中存储,并将存储的系统日志作为待分析数据,以及对待分析数据进行代码分析,提取出所有请求体组成目标请求消息集合。
9.如权利要求8所述的装置,其特征在于,获取待分析数据,从待分析数据中提取出目标请求消息集合时,所述提取单元进一步用于:
通过流量镜像的方式从数据流中提取出所有请求体,将提取出的请求体作为待分析数据,直接组成目标请求消息集合。
10.如权利要求8或9所述的装置,其特征在于,在提取出所有请求体后,在组成目标请求消息集合之前,所述提取单元进一步用于:
对获得的所有请求体进行去重处理。
11.如权利要求7-10任一项所述的装置,其特征在于,确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞时,所述处理单元用于:
检测所述任意一个目标请求消息对应的响应消息的大小,确定所述响应消息的大小属于预设的取值范围时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞;或者,
对所述任意一个目标请求消息对应的响应消息进行格式分析,确定所述响应消息的格式符合预定义格式时,判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。
12.如权利要求11所述的装置,其特征在于,所述处理单元进一步用于:
将检测到的水平权限漏洞进行上报,并根据指令对检测到的水平权限漏洞进行跟踪处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610201649.9A CN107294919A (zh) | 2016-03-31 | 2016-03-31 | 一种水平权限漏洞的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610201649.9A CN107294919A (zh) | 2016-03-31 | 2016-03-31 | 一种水平权限漏洞的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107294919A true CN107294919A (zh) | 2017-10-24 |
Family
ID=60087904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610201649.9A Pending CN107294919A (zh) | 2016-03-31 | 2016-03-31 | 一种水平权限漏洞的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107294919A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108932426A (zh) * | 2018-06-27 | 2018-12-04 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN109768945A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种任意文件下载漏洞的检测装置及发现方法 |
| CN110489966A (zh) * | 2019-08-12 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
| CN111104675A (zh) * | 2019-11-15 | 2020-05-05 | 泰康保险集团股份有限公司 | 系统安全漏洞的检测方法和装置 |
| CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
| CN111404937A (zh) * | 2020-03-16 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
| CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
| CN111475783A (zh) * | 2019-01-24 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 数据检测方法、系统及设备 |
| CN111740992A (zh) * | 2020-06-19 | 2020-10-02 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
| CN112464250A (zh) * | 2020-12-15 | 2021-03-09 | 光通天下网络科技股份有限公司 | 越权漏洞自动检测方法、设备及介质 |
| CN112464247A (zh) * | 2020-12-03 | 2021-03-09 | 国网黑龙江省电力有限公司电力科学研究院 | 一种被动检查xxe漏洞的方法 |
| CN113242257A (zh) * | 2021-05-26 | 2021-08-10 | 中国银行股份有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
| CN113411333A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种越权访问漏洞检测方法、装置、系统和存储介质 |
| CN115037531A (zh) * | 2022-05-25 | 2022-09-09 | 杭州默安科技有限公司 | 一种未授权访问漏洞检测方法、设备、系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103679018A (zh) * | 2012-09-06 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 一种检测csrf漏洞的方法和装置 |
| US8893270B1 (en) * | 2008-01-29 | 2014-11-18 | Trend Micro Incorporated | Detection of cross-site request forgery attacks |
| US9003540B1 (en) * | 2009-10-07 | 2015-04-07 | Amazon Technologies, Inc. | Mitigating forgery for active content |
| CN104519070A (zh) * | 2014-12-31 | 2015-04-15 | 北京奇虎科技有限公司 | 网站权限漏洞检测方法和系统 |
| CN104573486A (zh) * | 2013-10-16 | 2015-04-29 | 深圳市腾讯计算机系统有限公司 | 漏洞检测方法和装置 |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
-
2016
- 2016-03-31 CN CN201610201649.9A patent/CN107294919A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893270B1 (en) * | 2008-01-29 | 2014-11-18 | Trend Micro Incorporated | Detection of cross-site request forgery attacks |
| US9003540B1 (en) * | 2009-10-07 | 2015-04-07 | Amazon Technologies, Inc. | Mitigating forgery for active content |
| CN103679018A (zh) * | 2012-09-06 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 一种检测csrf漏洞的方法和装置 |
| CN104573486A (zh) * | 2013-10-16 | 2015-04-29 | 深圳市腾讯计算机系统有限公司 | 漏洞检测方法和装置 |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN104519070A (zh) * | 2014-12-31 | 2015-04-15 | 北京奇虎科技有限公司 | 网站权限漏洞检测方法和系统 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 净山: "基于渗透测试的Web应用漏洞检测技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768945A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种任意文件下载漏洞的检测装置及发现方法 |
| CN108932426B (zh) * | 2018-06-27 | 2022-05-03 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN108932426A (zh) * | 2018-06-27 | 2018-12-04 | 平安科技(深圳)有限公司 | 越权漏洞检测方法和装置 |
| CN111475783A (zh) * | 2019-01-24 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 数据检测方法、系统及设备 |
| CN111475783B (zh) * | 2019-01-24 | 2024-02-27 | 阿里巴巴集团控股有限公司 | 数据检测方法、系统及设备 |
| CN110489966A (zh) * | 2019-08-12 | 2019-11-22 | 腾讯科技(深圳)有限公司 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
| CN111104675A (zh) * | 2019-11-15 | 2020-05-05 | 泰康保险集团股份有限公司 | 系统安全漏洞的检测方法和装置 |
| CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
| CN111125713B (zh) * | 2019-12-18 | 2022-04-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
| CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
| CN111404937A (zh) * | 2020-03-16 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
| CN111416811B (zh) * | 2020-03-16 | 2022-07-22 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
| CN111404937B (zh) * | 2020-03-16 | 2021-12-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
| CN111740992A (zh) * | 2020-06-19 | 2020-10-02 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
| CN112464247A (zh) * | 2020-12-03 | 2021-03-09 | 国网黑龙江省电力有限公司电力科学研究院 | 一种被动检查xxe漏洞的方法 |
| CN112464250A (zh) * | 2020-12-15 | 2021-03-09 | 光通天下网络科技股份有限公司 | 越权漏洞自动检测方法、设备及介质 |
| CN113242257A (zh) * | 2021-05-26 | 2021-08-10 | 中国银行股份有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
| CN113411333A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种越权访问漏洞检测方法、装置、系统和存储介质 |
| CN115037531A (zh) * | 2022-05-25 | 2022-09-09 | 杭州默安科技有限公司 | 一种未授权访问漏洞检测方法、设备、系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107294919A (zh) | 一种水平权限漏洞的检测方法及装置 | |
| CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
| US9954886B2 (en) | Method and apparatus for detecting website security | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US9507870B2 (en) | System, method and computer readable medium for binding authored content to the events used to generate the content | |
| CN103685308B (zh) | 一种钓鱼网页的检测方法及系统、客户端、服务器 | |
| CN109194671B (zh) | 一种异常访问行为的识别方法及服务器 | |
| CN111159514B (zh) | 网络爬虫的任务有效性检测方法、装置和设备及存储介质 | |
| CN104050178A (zh) | 一种互联网监测反作弊方法和装置 | |
| CN107085549B (zh) | 故障信息生成的方法和装置 | |
| CN107508809B (zh) | 识别网址类型的方法及装置 | |
| CN103268328B (zh) | 二维码的验证方法及搜索引擎服务器 | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
| CN103428249B (zh) | 一种http请求包的收集及处理方法、系统和服务器 | |
| CN111612085B (zh) | 一种对等组中异常点的检测方法及装置 | |
| CN111625837A (zh) | 识别系统漏洞的方法、装置和服务器 | |
| CN104050257A (zh) | 钓鱼网页的检测方法和装置 | |
| CN113779571B (zh) | WebShell检测装置、WebShell检测方法及计算机可读存储介质 | |
| CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
| CN111131236A (zh) | 一种web指纹检测装置、方法、设备及介质 | |
| White et al. | A method for the automated detection phishing websites through both site characteristics and image analysis | |
| CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN113364784B (zh) | 检测参数生成方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171024 |
|
| RJ01 | Rejection of invention patent application after publication |