CN110581835A - 一种漏洞检测方法、装置及终端设备 - Google Patents
一种漏洞检测方法、装置及终端设备 Download PDFInfo
- Publication number
- CN110581835A CN110581835A CN201810596994.6A CN201810596994A CN110581835A CN 110581835 A CN110581835 A CN 110581835A CN 201810596994 A CN201810596994 A CN 201810596994A CN 110581835 A CN110581835 A CN 110581835A
- Authority
- CN
- China
- Prior art keywords
- request
- server
- response
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本申请提供一种漏洞检测方法、装置及终端设备,该方法包括:向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;接收所述服务器返回的针对所述第二请求的第二响应;根据所述第二响应检测所述服务器是否存在越权漏洞。通过本申请的技术方案,可以极大地提高越权漏洞的检测效率。
Description
技术领域
本申请涉及互联网安全领域,尤其是一种漏洞检测方法、装置及终端设备。
背景技术
目前,在互联网中普遍存在越权漏洞,如URL(Uniform Resource Locator,统一资源定位符)越权漏洞。由于web程序设计的缺陷,利用URL传入参数的可猜测性,通过变更输入参数值,就可能造成横向越权访问,拿到用户的用户隐私信息,导致用户隐私信息的泄漏,普通用户更成为信息泄露问题的受害者。
现有技术中,对越权漏洞的检测方式主要是:测试人员人工检测越权漏洞,这种方式对专业知识的依赖严重,不仅效率较低,耗费人力,而且普通用户无法检测某个网站是否存在越权漏洞,只能选择信赖自己访问的网站。
发明内容
本申请提供一种漏洞检测方法,应用于客户端,该方法包括:
向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;
利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
接收所述服务器返回的针对所述第二请求的第二响应;
根据所述第二响应检测所述服务器是否存在越权漏洞。
本申请提供一种漏洞检测装置,应用于客户端,该装置包括:
发送模块,用于向服务器发送第一请求;
接收模块,用于接收所述服务器返回的针对所述第一请求的第一响应;
构造模块,用于利用所述第一请求构造第二请求,其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
所述发送模块,还用于向所述服务器发送所述第二请求;
所述接收模块,还用于接收服务器返回的针对所述第二请求的第二响应;
检测模块,用于根据所述第二响应检测所述服务器是否存在越权漏洞。
本申请提供一种终端设备,所述终端设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器执行所述机器可执行指令时进行如下处理:
向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;
利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
接收所述服务器返回的针对所述第二请求的第二响应;
根据所述第二响应检测所述服务器是否存在越权漏洞。
基于上述技术方案,本申请实施例中,将越权漏洞检测功能普及到普通用户,使得普通用户在浏览网站时,可以发现该网站是否存在越权漏洞,继而得知存储在该网站的用户隐私信息是否安全,上述方式不需要测试人员人工检测越权漏洞,极大地提高越权漏洞的检测效率,越权漏洞的检测准确率高。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其它的附图。
图1是本申请一种实施方式中的应用场景示意图;
图2是本申请一种实施方式中的漏洞检测方法的流程图;
图3是本申请一种实施方式中的漏洞检测装置的结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例提出一种漏洞检测方法,该方法可以应用于包括终端设备(如PC(Personal Computer,个人计算机)、笔记本电脑、移动终端等)和服务器的系统。其中,终端设备上安装有用于访问服务器的客户端,该客户端可以是终端设备上的APP,也可以是终端设备上的浏览器,对此客户端的类型不做限制,所有能够访问服务器的客户端,均在本申请实施例的保护范围之内。
如图1所示,为本申请实施例的应用场景示意图,服务器用于向客户端提供相关服务,客户端可以向服务器发送请求,而服务器可以向客户端返回针对该请求的响应。其中,该请求可以是HTTP(Hypertext Transfer Protocol,超文本传输协议)类型的请求,当然,也可以是其它类型的请求,如FTP(File Transfer Protocol,文件传输协议)类型等,对此请求的类型不做限制,后续以HTTP类型的请求为例进行说明,类似的,针对该请求的响应也是HTTP类型的响应。
在一个例子中,针对客户端向服务器发送的请求,该请求可以携带用户令牌(Token)和访问信息,该访问信息可以包括但不限于URL信息和参数信息。
其中,针对请求中携带的用户令牌,其处理过程可以如下所示:
客户端在首次访问服务器时,需要用户输入身份信息(如用户名和密码等),然后生成包括该身份信息的请求(以HTTP请求为例),并将HTTP请求发送给服务器。服务器在接收到HTTP请求后,从该HTTP请求中解析出身份信息,若该身份信息合法,则允许客户端访问服务器,并为该身份信息分配用户令牌。
服务器在本地记录该身份信息与该用户令牌的对应关系,并向客户端发送针对该HTTP请求的HTTP响应,且该HTTP响应携带该用户令牌。客户端在接收到该HTTP响应后,可以从该HTTP响应中解析出该用户令牌,并将该用户令牌存储在本地空间,例如,本客户端的local_storage(本地存储)空间、cookie空间、session_storage(会话存储)空间等,对此存储位置不做详加限制。
在后续的访问过程中,客户端可以从本地空间中获取到用户令牌,并向服务器发送携带该用户令牌的HTTP请求,即该HTTP请求携带的是该用户令牌,而不是身份信息。而且,该HTTP请求还可以携带cookie,且该用户令牌可以存储在cookie中。服务器在接收到HTTP请求后,从该HTTP请求中解析出用户令牌,并可以查询到该用户令牌对应的身份信息,若该身份信息合法,则允许客户端访问服务器,并向客户端发送针对该HTTP请求的HTTP响应。
其中,针对请求中携带的访问信息,其处理过程可以如下所示:
在客户端向服务器发送的HTTP请求中,除了携带用户令牌,还可以携带访问信息,如URL信息和参数信息等访问信息。URL信息可以包括:模式(或称协议)、服务器名称(或IP地址)、路径和文件名等内容,如“协议://授权/路径?查询”,对此URL信息不做限制。此外,参数信息可以包括数据唯一标识,其用于唯一表示服务器的某个数据,例如,articleId=1,就是一个参数信息,这个参数信息是服务器中某个文章的索引,通过此参数信息可以找到这个文章,对此参数信息不做限制。综上所述,服务器在接收到HTTP请求后,通过HTTP请求中携带的URL信息和参数信息,就可以获知客户端访问的是哪个数据。
在传统方式中,针对越权漏洞检测,只能由测试人员人工检测,这种方式对专业知识的依赖严重,效率较低,耗费人力,普通用户无法检测某个网站是否存在越权漏洞。针对上述发现,本申请实施例中提出一种漏洞检测方法,将越权漏洞检测功能普及到普通用户,使得普通用户在浏览网站时,可以发现该网站是否存在越权漏洞,继而得知存储在该网站的用户隐私信息是否安全。
其中,越权漏洞是指:存储在服务器的用户数据包括用户隐私信息,如身份证号、手机号、订单、银行卡、地址数据、支付信息等,而攻击者在未经过用户授权的情况下,从服务器获取到用户隐私信息的安全漏洞,就是越权漏洞。
在一个例子中,为了实现越权漏洞检测,客户端需要在服务器注册两个身份信息,并通过这两个身份信息(后续称为第一身份信息和第二身份信息)登录到服务器。其中,在客户端通过所述第一身份信息访问服务器时,可以从服务器获得第一用户令牌,并将所述第一用户令牌存储在本客户端对应的第一空间;此外,在客户端通过所述第二身份信息访问服务器时,可以从服务器获得第二用户令牌,并将所述第二用户令牌存储在本客户端对应的第二空间。
例如,客户端向服务器注册第一身份信息(如张三+123456)和第二身份信息(如李四+987654)。在通过第一身份信息首次访问服务器时,客户端向服务器发送携带第一身份信息的HTTP请求,服务器在接收到HTTP请求后,为第一身份信息分配第一用户令牌,向客户端返回携带第一用户令牌的HTTP响应。客户端在接收到HTTP响应后,将第一用户令牌存储在本地空间,如local_storage空间、或cookie空间、或session_storage空间等。在通过第二身份信息首次访问服务器时,客户端向服务器发送携带第二身份信息的HTTP请求,服务器在收到HTTP请求后,为第二身份信息分配第二用户令牌,向客户端返回携带第二用户令牌的HTTP响应。客户端在接收到HTTP响应后,将第二用户令牌存储在本地空间,如local_storage空间、或cookie空间、或session_storage空间等。
其中,由于local_storage空间、cookie空间、session_storage空间均是客户端的本地空间,因此,为了区分第一用户令牌和第二用户令牌,可以将第一用户令牌和第二用户令牌存储在不同的空间,例如,将第一用户令牌存储在客户端的cookie空间,并将第二用户令牌存储在客户端的local_storage空间。
在一个例子中,可以为客户端安装插件,如客户端是浏览器时,可以为浏览器安装浏览器插件,在浏览器运行时,浏览器插件可以同步运行。这样,当客户端通过第一身份信息访问服务器时,可以由插件通过第二身份信息访问服务器;或者,当客户端通过第二身份信息访问服务器时,可以由插件通过第一身份信息访问服务器。当然,上述方式只是一个示例,只要客户端能够通过第一身份信息和第二身份信息同时访问服务器即可,对此实现方式不做限制。
在上述应用场景下,参见图2所示,为本申请实施例中的漏洞检测方法的流程图,该方法可以应用于客户端,该方法可以包括以下步骤:
步骤201,向服务器发送第一请求,并接收服务器返回的针对该第一请求的第一响应。例如,第一请求为第一HTTP请求,且第一响应为第一HTTP响应。
在一个例子中,客户端可以基于第一身份信息,向服务器发送第一HTTP请求,在此情况下,该第一HTTP请求可以携带第一用户令牌和访问信息。或者,客户端可以基于第二身份信息,向服务器发送第一HTTP请求,在此情况下,该第一HTTP请求可以携带第二用户令牌和访问信息。为了方便描述,后续以客户端基于第一身份信息,向服务器发送第一HTTP请求为例。
步骤202,利用该第一请求构造第二请求,并向服务器发送该第二请求;其中,该第二请求中携带的用户令牌与该第一请求中携带的用户令牌不同,且该第二请求中携带的访问信息与该第一请求中携带的访问信息相同。
在一个例子中,客户端在接收到针对第一请求的第一响应后,就可以利用该第一请求构造第二请求,并向服务器发送该第二请求。或者,客户端在接收到针对第一请求的第一响应后,可以先判断该第一响应中是否携带用户隐私信息。若该第一响应中携带用户隐私信息,则利用该第一请求构造第二请求;若该第一响应中没有携带用户隐私信息,则不会利用该第一请求构造第二请求。
在一个例子中,针对“判断该第一响应中是否携带用户隐私信息”的过程,可以包括:若该第一响应中携带与正则表达式匹配的信息,则可以将与正则表达式匹配的信息确定为该第一响应中携带的用户隐私信息;若该第一响应中没有携带与正则表达式匹配的信息,则确定该第一响应中未携带用户隐私信息。
其中,上述正则表达式是客户端配置的用于识别用户隐私信息的规则,正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、以及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。而且,上述正则表达式可以根据实际需要进行配置,只要在正则表达式中包含与用户隐私信息有关的特征,且能够基于正则表达式识别出响应中携带的用户隐私信息即可。例如,针对手机号这个用户隐私信息,则正则表达式的一个示例可以是\d{11};针对身份证号这个用户隐私信息,则正则表达式的一个示例可以是\d{17}(\d|x|y)。当然,上述只是给出了正则表达式的两个示例,正则表达式并不局限于上述示例,且针对不同的用户隐私信息,其正则表达式也不相同,本申请实施例对此正则表达式不做限制。
当然,上述正则表达式的实现方式,只是本申请的一个示例,所有能够区分出第一响应中是否携带用户隐私信息的方式,均在本申请保护范围之内。例如,客户端可以配置与用户隐私信息有关的特征,当第一响应中携带与该特征匹配的信息时,就将与该特征匹配的信息确定为该第一响应中携带的用户隐私信息,对此实现方式不做限制,后续以正则表达式的实现方式为例进行说明。
在一个例子中,针对“利用该第一请求构造第二请求”的过程,可以包括但不限于如下方式:方式一、获取第二用户令牌,并从该第一请求中获取出访问信息,然后,可以构造包括该第二用户令牌和该访问信息的第二请求。方式二、获取第二用户令牌,并将该第一请求中的第一用户令牌修改为该第二用户令牌,这样,就可以得到包括该第二用户令牌和该访问信息的第二请求。
基于上述方式,第二请求中携带的第二用户令牌与第一请求中携带的第一用户令牌不同,第二请求中携带的访问信息与第一请求中携带的访问信息相同。
在一个例子中,假设将第一用户令牌存储在客户端的cookie空间,并将第二用户令牌存储在客户端的local_storage空间,则在步骤201中,是从客户端的cookie空间中获取第一用户令牌,并向服务器发送携带第一用户令牌的第一请求。而在上述两种方式中,是从客户端的local_storage空间中获取第二用户令牌,并最终构造携带第二用户令牌的第二请求,并向服务器发送该第二请求。
步骤203,接收服务器返回的针对该第二请求的第二响应。
步骤204,根据第二响应检测服务器是否存在越权漏洞。
在一个例子中,假设第一请求携带的访问信息用于访问用户隐私信息(后续以用户隐私信息A为例进行说明),且用户隐私信息A是第一身份信息(如张三+123456)在服务器存储的用户数据。基于此,服务器在接收到第一请求之后,从第一请求中解析出第一用户令牌,然后从本地查询出与第一用户令牌匹配的第一身份信息,由于用户隐私信息A是第一身份信息在服务器存储的用户数据,因此,服务器向客户端发送的第一响应中可以携带用户隐私信息A。
在一个例子中,由于第二请求中携带的访问信息与第一请求中携带的访问信息相同,因此,第二请求携带的访问信息也用于访问用户隐私信息A。基于此,服务器在接收到第二请求之后,从第二请求中解析出第二用户令牌,然后从本地查询出与第二用户令牌匹配的第二身份信息(如李四+987654)。由于用户隐私信息A是第一身份信息在服务器存储的用户数据,而不是第二身份信息在服务器存储的用户数据,因此,若服务器不存在越权漏洞,就不会在第二响应中携带用户隐私信息A。也就是说,若服务器向客户端发送的第二响应中携带用户隐私信息A,就可以说明服务器存在越权漏洞。此外,若服务器向客户端发送的第二响应中不携带用户隐私信息A,则服务器可能越权漏洞,也可能不存在越权漏洞,本申请实施例中对这种情况不做限制。
基于上述原理,针对“根据第二响应检测服务器是否存在越权漏洞”的过程,可以包括但不限于:判断该第二响应中是否携带用户隐私信息。若该第二响应中携带用户隐私信息,则比较该第二响应中携带的用户隐私信息与上述第一响应中携带的用户隐私信息是否匹配;如果是,则确定服务器存在越权漏洞。
在另一个例子中,若该第二响应中携带的用户隐私信息与该第一响应中携带的用户隐私信息不匹配,则服务器可能越权漏洞,也可能不存在越权漏洞,本实施例中对此不做限制。或者,若该第二响应中未携带用户隐私信息,则服务器可能越权漏洞,也可能不存在越权漏洞,本实施例中对此不做限制。
在一个例子中,针对“判断该第二响应中是否携带用户隐私信息”的过程,可以包括:若该第二响应中携带与正则表达式匹配的信息,则可以将与正则表达式匹配的信息确定为该第二响应中携带的用户隐私信息。若该第二响应中没有携带与正则表达式匹配的信息,则确定该第二响应中未携带用户隐私信息。
其中,针对“判断该第二响应中是否携带用户隐私信息”的过程,与上述“判断第一响应中是否携带用户隐私信息”的过程类似,在此不再赘述。
在一个例子中,针对“比较该第二响应中携带的用户隐私信息与上述第一响应中携带的用户隐私信息是否匹配”的过程,可以包括如下情况:
情况一、若第一响应中只携带一个用户隐私信息(如用户隐私信息1),且第二响应中只携带一个用户隐私信息,则比较该第二响应中携带的用户隐私信息与用户隐私信息1是否相同。如果相同,则确定该第二响应中携带的用户隐私信息与该第一响应中携带的用户隐私信息匹配。如果不同,则确定该第二响应中携带的用户隐私信息与该第一响应中携带的用户隐私信息不匹配。
情况二、若第一响应中携带一个用户隐私信息(如用户隐私信息1),第二响应携带多个用户隐私信息,当第二响应中存在与用户隐私信息1相同的用户隐私信息时,确定第二响应中携带的用户隐私信息与第一响应携带的用户隐私信息匹配。当第二响应中的所有用户隐私信息均与用户隐私信息1不同时,确定第二响应中携带的用户隐私信息与第一响应中携带的用户隐私信息不匹配。
情况三、若第一响应中携带多个用户隐私信息,第二响应携带一个用户隐私信息(如用户隐私信息A),当用户隐私信息A与第一响应中的某个用户隐私信息相同时,确定第二响应中携带的用户隐私信息与第一响应携带的用户隐私信息匹配。若用户隐私信息A与第一响应中的所有用户隐私信息均不同,确定第二响应中携带的用户隐私信息与第一响应中携带的用户隐私信息不匹配。
情况四、若第一响应携带多个用户隐私信息,第二响应携带多个用户隐私信息,若第二响应中的某个用户隐私信息与第一响应中的某个用户隐私信息相同,确定第二响应中携带的用户隐私信息与第一响应携带的用户隐私信息匹配。若第二响应中的所有用户隐私信息与第一响应中的任一用户隐私信息均不同,确定第二响应携带的用户隐私信息与第一响应携带的用户隐私信息不匹配。
在一个例子中,若服务器存在越权漏洞,客户端还可以向用户提示服务器存在越权漏洞的信息,如将第二响应中携带的用户隐私信息显示给用户,以使用户获知这些用户隐私信息泄露。
基于上述技术方案,本申请实施例中,将越权漏洞检测功能普及到普通用户,使得普通用户在浏览网站时,可以发现该网站是否存在越权漏洞,继而得知存储在该网站的用户隐私信息是否安全,上述方式不需要测试人员人工检测越权漏洞,极大地提高越权漏洞的检测效率,越权漏洞的检测准确率高。
基于与上述方法同样的申请构思,本申请实施例还提供一种漏洞检测装置,该漏洞检测装置可以应用在客户端。如图3所示,该装置包括:
发送模块301,用于向服务器发送第一请求;接收模块302,用于接收所述服务器返回的针对所述第一请求的第一响应;构造模块303,用于利用所述第一请求构造第二请求,其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;所述发送模块301,还用于向所述服务器发送所述第二请求;所述接收模块302,还用于接收服务器返回的针对所述第二请求的第二响应;检测模块304,用于根据所述第二响应检测所述服务器是否存在越权漏洞。
所述构造模块303,具体用于在利用所述第一请求构造第二请求的过程中,若所述第一响应中携带用户隐私信息,则利用所述第一请求构造第二请求;
所述第一请求携带第一用户令牌和访问信息,所述构造模块303,具体用于在利用所述第一请求构造第二请求的过程中,获取第二用户令牌,从所述第一请求中获取出所述访问信息,构造包括所述第二用户令牌和所述访问信息的第二请求;或者,获取第二用户令牌,将所述第一请求中的第一用户令牌修改为所述第二用户令牌,以得到包括所述第二用户令牌和所述访问信息的第二请求。
在一个例子中,所述检测模块304,具体用于在根据所述第二响应检测所述服务器是否存在越权漏洞的过程中,若所述第二响应中携带用户隐私信息,则可以比较所述第二响应中携带的用户隐私信息与所述第一响应中携带的用户隐私信息是否匹配;如果是,则可以确定所述服务器存在越权漏洞。
在一个例子中,所述检测模块304,还用于当所述第一响应中携带与正则表达式匹配的信息时,则将与所述正则表达式匹配的信息确定为所述第一响应中携带的用户隐私信息;当所述第二响应中携带与所述正则表达式匹配的信息时,则将与所述正则表达式匹配的信息确定为所述第二响应中携带的用户隐私信息;其中,所述正则表达式用于识别用户隐私信息。
在一个例子中,所述漏洞检测装置还可以包括(在图中未体现):
提示模块,用于在所述检测模块304检测出所述服务器存在越权漏洞时,则向用户提示所述服务器存在越权漏洞的信息。
基于上述技术方案,本申请实施例中,将越权漏洞检测功能普及到普通用户,使得普通用户在浏览网站时,可以发现该网站是否存在越权漏洞,继而得知存储在该网站的用户隐私信息是否安全,上述方式不需要测试人员人工检测越权漏洞,极大地提高越权漏洞的检测效率,越权漏洞的检测准确率高。
基于与上述方法同样的申请构思,本申请实施例中还提供一种终端设备,该终端设备是部署有上述客户端的终端设备,所述终端设备包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器执行所述机器可执行指令时进行如下处理:
向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;
利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
接收所述服务器返回的针对所述第二请求的第二响应;
根据所述第二响应检测所述服务器是否存在越权漏洞。
在一个例子中,所述处理器利用所述第一请求构造第二请求时具体用于:若所述第一响应中携带用户隐私信息,则利用所述第一请求构造第二请求。
所述第一请求携带第一用户令牌和访问信息,所述处理器利用所述第一请求构造第二请求时具体用于:获取第二用户令牌,并从所述第一请求中获取出所述访问信息,并构造包括所述第二用户令牌和所述访问信息的第二请求;或者,获取第二用户令牌,并将所述第一请求中的第一用户令牌修改为所述第二用户令牌,以得到包括所述第二用户令牌和所述访问信息的第二请求。
在一个例子中,所述处理器执行所述机器可执行指令时还进行如下处理:在所述客户端通过第一身份信息访问所述服务器时,从所述服务器获得第一用户令牌,并将所述第一用户令牌存储在所述客户端对应的第一空间;
在所述客户端通过第二身份信息访问所述服务器时,从所述服务器获得第二用户令牌,并将所述第二用户令牌存储在所述客户端对应的第二空间。
在一个例子中,所述处理器根据所述第二响应检测所述服务器是否存在越权漏洞时具体用于:若所述第二响应中携带用户隐私信息,则比较所述第二响应中携带的用户隐私信息与所述第一响应中携带的用户隐私信息是否匹配;如果是,则确定所述服务器存在越权漏洞。
在一个例子中,所述处理器执行所述机器可执行指令时还进行如下处理:若所述第一响应中携带与正则表达式匹配的信息,则将与正则表达式匹配的信息确定为所述第一响应中携带的用户隐私信息;若所述第二响应中携带与正则表达式匹配的信息,则将与正则表达式匹配的信息确定为所述第二响应中携带的用户隐私信息;其中,所述正则表达式用于识别用户隐私信息。
在一个例子中,所述处理器执行所述机器可执行指令时还进行如下处理:若所述服务器存在越权漏洞,向用户提示所述服务器存在越权漏洞的信息。
基于与上述方法同样的申请构思,本申请实施例中还提供一种机器可读存储介质,该机器可读存储介质可以应用于终端设备,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被执行时进行如下处理:向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;接收所述服务器返回的针对所述第二请求的第二响应;根据所述第二响应检测所述服务器是否存在越权漏洞。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (13)
1.一种漏洞检测方法,其特征在于,应用于客户端,该方法包括:
向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;
利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
接收所述服务器返回的针对所述第二请求的第二响应;
根据所述第二响应检测所述服务器是否存在越权漏洞。
2.根据权利要求1所述的方法,其特征在于,
所述利用所述第一请求构造第二请求的过程,具体包括:
若所述第一响应中携带用户隐私信息,则利用所述第一请求构造第二请求。
3.根据权利要求1或2所述的方法,其特征在于,所述第一请求携带第一用户令牌和访问信息,所述利用所述第一请求构造第二请求的过程,具体包括:
获取第二用户令牌,并从所述第一请求中获取出所述访问信息,并构造包括所述第二用户令牌和所述访问信息的第二请求;或者,
获取第二用户令牌,并将所述第一请求中的第一用户令牌修改为所述第二用户令牌,以得到包括所述第二用户令牌和所述访问信息的第二请求。
4.根据权利要求3所述的方法,其特征在于,
所述获取第二用户令牌之前,所述方法还包括:
在所述客户端通过第一身份信息访问所述服务器时,从所述服务器获得第一用户令牌,并将所述第一用户令牌存储在所述客户端对应的第一空间;
在所述客户端通过第二身份信息访问所述服务器时,从所述服务器获得第二用户令牌,并将所述第二用户令牌存储在所述客户端对应的第二空间。
5.根据权利要求2所述的方法,其特征在于,所述根据所述第二响应检测所述服务器是否存在越权漏洞的过程,具体包括:
若所述第二响应中携带用户隐私信息,则比较所述第二响应中携带的用户隐私信息与所述第一响应中携带的用户隐私信息是否匹配;
如果是,则确定所述服务器存在越权漏洞。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若所述第一响应中携带与正则表达式匹配的信息,则将与正则表达式匹配的信息确定为所述第一响应中携带的用户隐私信息;
若所述第二响应中携带与正则表达式匹配的信息,则将与正则表达式匹配的信息确定为所述第二响应中携带的用户隐私信息;
其中,所述正则表达式用于识别用户隐私信息。
7.根据权利要求1或5所述的方法,其特征在于,所述方法还包括:
若所述服务器存在越权漏洞,向用户提示所述服务器存在越权漏洞的信息。
8.一种漏洞检测装置,其特征在于,应用于客户端,该装置包括:
发送模块,用于向服务器发送第一请求;
接收模块,用于接收所述服务器返回的针对所述第一请求的第一响应;
构造模块,用于利用所述第一请求构造第二请求,其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
所述发送模块,还用于向所述服务器发送所述第二请求;
所述接收模块,还用于接收服务器返回的针对所述第二请求的第二响应;
检测模块,用于根据所述第二响应检测所述服务器是否存在越权漏洞。
9.根据权利要求8所述的装置,其特征在于,
所述构造模块,具体用于在利用所述第一请求构造第二请求的过程中,若所述第一响应中携带用户隐私信息,则利用所述第一请求构造第二请求;
所述第一请求携带第一用户令牌和访问信息,所述构造模块,具体用于在利用所述第一请求构造第二请求的过程中,获取第二用户令牌,从所述第一请求中获取出所述访问信息,构造包括所述第二用户令牌和所述访问信息的第二请求;或者,获取第二用户令牌,将所述第一请求中的第一用户令牌修改为所述第二用户令牌,以得到包括所述第二用户令牌和所述访问信息的第二请求。
10.根据权利要求9所述的装置,其特征在于,
所述检测模块,具体用于在根据所述第二响应检测所述服务器是否存在越权漏洞的过程中,若所述第二响应中携带用户隐私信息,则比较所述第二响应中携带的用户隐私信息与所述第一响应中携带的用户隐私信息是否匹配;如果是,则确定所述服务器存在越权漏洞。
11.根据权利要求10所述的装置,其特征在于,所述检测模块,还用于当所述第一响应中携带与正则表达式匹配的信息时,则将与正则表达式匹配的信息确定为所述第一响应中携带的用户隐私信息;当所述第二响应中携带与正则表达式匹配的信息时,则将与正则表达式匹配的信息确定为所述第二响应中携带的用户隐私信息;其中,所述正则表达式用于识别用户隐私信息。
12.根据权利要求8或10所述的装置,其特征在于,还包括:
提示模块,用于在所述检测模块检测出所述服务器存在越权漏洞时,则向用户提示所述服务器存在越权漏洞的信息。
13.一种终端设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器执行所述机器可执行指令时进行如下处理:
向服务器发送第一请求,接收服务器返回的针对所述第一请求的第一响应;
利用所述第一请求构造第二请求,并向所述服务器发送所述第二请求;其中,所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同,且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同;
接收所述服务器返回的针对所述第二请求的第二响应;
根据所述第二响应检测所述服务器是否存在越权漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810596994.6A CN110581835B (zh) | 2018-06-11 | 2018-06-11 | 一种漏洞检测方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810596994.6A CN110581835B (zh) | 2018-06-11 | 2018-06-11 | 一种漏洞检测方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110581835A true CN110581835A (zh) | 2019-12-17 |
| CN110581835B CN110581835B (zh) | 2022-04-12 |
Family
ID=68809835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810596994.6A Active CN110581835B (zh) | 2018-06-11 | 2018-06-11 | 一种漏洞检测方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110581835B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
| CN111680303A (zh) * | 2020-06-10 | 2020-09-18 | 北京天融信网络安全技术有限公司 | 漏洞扫描方法、装置、存储介质及电子设备 |
| CN111740992A (zh) * | 2020-06-19 | 2020-10-02 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
| CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN107154930A (zh) * | 2017-03-31 | 2017-09-12 | 武汉斗鱼网络科技有限公司 | 一种测试漏洞的方法和系统 |
| CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
| US9923918B2 (en) * | 2005-12-21 | 2018-03-20 | International Business Machines Corporation | Methods and systems for controlling access to computing resources based on known security vulnerabilities |
-
2018
- 2018-06-11 CN CN201810596994.6A patent/CN110581835B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9923918B2 (en) * | 2005-12-21 | 2018-03-20 | International Business Machines Corporation | Methods and systems for controlling access to computing resources based on known security vulnerabilities |
| US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
| CN107154930A (zh) * | 2017-03-31 | 2017-09-12 | 武汉斗鱼网络科技有限公司 | 一种测试漏洞的方法和系统 |
| CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
Non-Patent Citations (1)
| Title |
|---|
| 曹黎波: "Web应用的漏洞检测与防范技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
| CN111416811B (zh) * | 2020-03-16 | 2022-07-22 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
| CN111680303A (zh) * | 2020-06-10 | 2020-09-18 | 北京天融信网络安全技术有限公司 | 漏洞扫描方法、装置、存储介质及电子设备 |
| CN111680303B (zh) * | 2020-06-10 | 2023-02-07 | 北京天融信网络安全技术有限公司 | 漏洞扫描方法、装置、存储介质及电子设备 |
| CN111740992A (zh) * | 2020-06-19 | 2020-10-02 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
| CN112491807A (zh) * | 2020-11-05 | 2021-03-12 | 杭州孝道科技有限公司 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110581835B (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110581835B (zh) | 一种漏洞检测方法、装置及终端设备 | |
| US10073916B2 (en) | Method and system for facilitating terminal identifiers | |
| CN103916244B (zh) | 验证方法及装置 | |
| US20150312265A1 (en) | Method for Verifying Sensitive Operations, Terminal Device, Server, and Verification System | |
| CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
| KR101948721B1 (ko) | 파일 해시 값을 이용한 파일 위변조 검사 방법 및 단말 장치 | |
| CN104767713B (zh) | 账号绑定的方法、服务器及系统 | |
| CN105993156B (zh) | 服务器访问验证方法以及装置 | |
| CN105337739B (zh) | 安全登录方法、装置、服务器及终端 | |
| US20180077135A1 (en) | Eliminating abuse caused by password reuse in different systems | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN108600259B (zh) | 设备的认证和绑定方法及计算机存储介质、服务器 | |
| US10650382B2 (en) | Systems and methods for detecting fraudulent use of a serial code for accessing an associated value stored on a network | |
| CN111753312A (zh) | 数据处理方法、装置、设备和系统 | |
| CN105718599A (zh) | 数据库访问数据包解析的方法及装置 | |
| WO2017153990A1 (en) | System and method for device authentication using hardware and software identifiers | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN106803830B (zh) | 识别上网终端的方法、装置和系统、及uim卡 | |
| CN107508838A (zh) | 一种访问控制方法、装置和系统 | |
| US20130055393A1 (en) | Method and apparatus for enhancing privacy of contact information in profile | |
| CN113515743B (zh) | 反弹shell进程调用链的识别方法、装置和电子装置 | |
| JP5947358B2 (ja) | 認証処理装置、方法およびプログラム | |
| CN114553550B (zh) | 请求检测方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40018705 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |