CN113242257A - 越权漏洞的检测方法、装置、设备及存储介质 - Google Patents
越权漏洞的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113242257A CN113242257A CN202110580669.2A CN202110580669A CN113242257A CN 113242257 A CN113242257 A CN 113242257A CN 202110580669 A CN202110580669 A CN 202110580669A CN 113242257 A CN113242257 A CN 113242257A
- Authority
- CN
- China
- Prior art keywords
- user
- request message
- sensitive information
- information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 30
- 230000004044 response Effects 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000004590 computer program Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 description 29
- 235000014510 cooky Nutrition 0.000 description 10
- 238000013461 design Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
本申请提供种越权漏洞的检测方法、装置、设备及存储介质,可以解决越权检测的误报率较高的问题;该确定方法包括响应于第一用户对待测试系统的操作指令,获取操作指令对应的第一请求报文;第一请求报文用于指示第一用户访问待测试系统时的请求数据;将第一请求报文替换为第二请求报文,第二请求报文用于指示第二用户访问待测试系统时的请求数据,第一用户和第二用户为具有相同操作权限的不同用户;获取第二请求报文对应的响应报文;响应报文用于指示针对于第二请求报文获得的响应数据;若响应报文中包括第二用户的信息,则确定发生越权漏洞。
Description
技术领域
本发明涉及计算机技术领域,尤其是涉及一种越权漏洞的检测方法、装置、设备及存储介质。
背景技术
越权漏洞是由于服务器端对客户端发送的数据操作请求过分信任,忽略了该用户操作权限的判定,导致用户可以通过修改参数等方式获得不属于自己权限操作的数据,从而发生越权。
为了保证用户数据安全,通常会检测是否存在越权漏洞,而检测越权漏洞时一般会用到检测工具。相关技术中的越权漏洞检测工具都是基于Cookie(储存在用户本地终端上的数据)替换的方式。Cookie替换的方式具体为:将用户A的请求报文中的Cookie替换为用户B的Cookie,检测返回的响应报文是否一致,若完全一致则认为发生了越权漏洞。
但是,相关技术中提供的越权检测方式适用于不同操作权限的用户,即用户A和用户B的操作权限不同;对于相同操作权限的不同用户而言,若检测越权漏洞的系统中包括大量的公共查询功能,在用户A和用户B均可以正常操作的情况下,由于越权存在业务逻辑属性,因此用户A和用户B的响应报文均是一致的,这样一来,就会导致越权检测的误报率较高(即准确率较低),还需要进行大量二次确认,才能够判断是否发生越权漏洞。
发明内容
本申请提供一种越权漏洞的检测方法、装置、设备及存储介质,可以解决越权检测的误报率较高的问题。
本申请采用如下技术方案:
第一方面、本申请实施例提供一种越权漏洞的检测方法,该确定方法包括响应于第一用户对待测试系统的操作指令,获取操作指令对应的第一请求报文;第一请求报文用于指示第一用户访问待测试系统时的请求数据;将第一请求报文替换为第二请求报文,第二请求报文用于指示第二用户访问待测试系统时的请求数据,第一用户和第二用户为具有相同操作权限的不同用户;获取第二请求报文对应的响应报文;响应报文用于指示针对于第二请求报文获得的响应数据;若响应报文中包括第二用户的信息,则确定发生越权漏洞。
基于第一方面,通过将第一请求报文替换为第二请求报文,即将第一用户访问待测试系统时的请求数据替换为第二用户访问待测试系统时的请求数据,获取第二请求报文对应的响应报文,若响应报文中包括第二用户的信息,则确定发生越权漏洞,由于第一用户和第二用户为具有相同操作权限的不同用户,因此只有在第二请求报文对应的响应报文中发现了第二用户的信息,才确定发生越权漏洞,有利于提高检测越权漏洞的准确性。
可选的,将第一请求报文替换为第二请求报文,包括:确定第一请求报文中包括的第一敏感信息,第一敏感信息用于唯一指示第一用户的信息;将第一敏感信息替换为第二敏感信息,以得到第二请求报文;第二敏感信息用于唯一指示第二用户的信息,第一敏感信息和第二敏感信息属于同一类型的信息。
基于该可选的方式,通过在服务器中预先设置敏感信息,可以对第一用户访问待测试系统时提交的第一请求报文进行初步筛选,只有在第一请求报文中包括第一敏感信息时,服务器才会对第一请求报文进行替换,即将第一敏感信息替换为第二敏感信息,通过这样的方式,能够大大降低越权检测的数据量,从而减少了检测越权漏洞时的数据冗余量,降低了系统的负载压力。
可选的,确定第一请求报文中包括的第一敏感信息,包括:将第一请求报文中的所有信息与预设敏感信息进行对比,以确定第一敏感信息。
基于该可选的方式,由于在系统中无需存入用户的所有数据,只需将用户的敏感信息预先设置在系统中,从而得到预设敏感信息,并根据预设敏感信息确定第一请求报文中包括的第一敏感信息,降低了越权检测的误报率,同时还降低了系统的负载压力。
第二方面、本申请实施例提供一种越权漏洞的检测装置,该检测装置可以实现上述第一方面或者第一方面可能的设计中服务器所执行的功能,所述功能可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。该检测装置可以包括获取模块、替换模块和确定模块;具体的,获取模块用于响应于第一用户对待测试系统的操作指令,获取第一请求报文;第一请求报文用于指示第一用户访问待测试系统时的请求数据;替换模块用于将第一请求报文替换为第二请求报文;第二请求报文用于指示第二用户访问待测试系统时的请求数据;第一用户和第二用户为具有相同操作权限的不同用户;获取模块还用于获取第二请求报文对应的响应报文;响应报文用于指示针对于第二请求报文获得的响应数据;确定模块用于若响应报文中包括第二用户的信息,则确定发生越权漏洞。
可选的,替换模块具体用于,确定第一请求报文中包括的第一敏感信息;第一敏感信息用于唯一指示第一用户的信息;将第一敏感信息替换为第二敏感信息,以得到第二请求报文;第二敏感信息用于唯一指示第二用户的信息;第一敏感信息和第二敏感信息属于同一类型的信息。
可选的,替换模块具体用于,将第一请求报文中的所有信息与预设敏感信息进行对比,以确定第一敏感信息。
第三方面、本申请实施例提供一种电子设备,该电子设备包括存储器和处理器。上述存储器和处理器耦合。该存储器用于存储计算机程序代码,该计算机程序代码包括计算机指令。当处理器执行该计算机指令时,以使电子设备执行如第一方面或者第一方面中任一种可能的实现方式所述的方法。
第四方面、本申请提供一种计算机可读存储介质,该计算机可读存储介质包括计算机指令,当所述计算机指令在电子设备上运行时,使得所述电子设备执行如第一方面或者第二方面中任一种可能的实现方式所述的方法。
第五方面、本申请提供一种计算机程序产品,该计算机程序产品包括计算机指令,当所述计算机指令在电子设备上运行时,使得所述电子设备执行如第一方面或者第一方面中任一种可能的实现方式所述的方法。
可以理解的是,上述提供的任一种检测装置、计算机可读存储介质、计算机程序产品或芯片等均可以应用于上文所提供的对应的方法,因此,其所能达到的有益效果可参考对应的方法中的有益效果,此处不再赘述。
本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
图1为本发明实施例提供的一种系统架构图;
图2为本发明实施例提供的一种计算机装置的组成示意图;
图3为本发明实施例提供的一种越权漏洞的检测方法的流程示意图;
图4为本发明实施例提供的另一种越权漏洞的检测方法的流程示意图;
图5为本发明实施例提供的一种越权漏洞的检测装置的结构示意图。
具体实施方式
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本申请提供一种越权漏洞的检测方法,通过将第一请求报文替换为第二请求报文,即将第一用户访问待测试系统时的请求数据替换为第二用户访问待测试系统时的请求数据,获取第二请求报文对应的响应报文,若响应报文中包括第二用户的信息,则确定发生越权漏洞,由于第一用户和第二用户为具有相同操作权限的不同用户,因此只有在第二请求报文对应的响应报文中发现了第二用户的信息,才确定发生越权漏洞,有利于提高检测越权漏洞的准确性。
本申请提供的越权漏洞的检测方法可以应用于图1所示的系统架构中。如图1所示,该系统架构包括终端设备1和服务器2;其中,终端设备1和服务器2可以通过网络互连并通信。
具体的,网络可以是有线、无线通信网络或者光纤电缆等。用户可以使用终端设备1通过网络与服务器2进行交互,以接收或发送消息等。终端设备1上安装有各种客户端应用,例如检测越权漏洞的应用,网页浏览器应用等。
终端设备1可以是任何一种可与用于通过键盘、触摸板、触摸屏、遥控器、语音交互或手写设备等一种或多种方式进行人机交互的电子产品;例如手机、平板电脑、掌上电脑、个人计算机(Personal Computer,PC)、可穿戴设备、智能电视等。
服务器2可以是提供各种服务的服务器,例如检测越权漏洞的服务器。示例性的,服务器可以获取与操作指令对应的第一请求报文,并将第一请求报文替换为第二请求报文,然后获取第二请求报文对应的响应报文。具体的,服务器2可以是一台服务器,也可以是由多台服务器组成的服务器集群,或者是一个云计算服务中心。
本领域技术人员应该能理解到,上述终端设备1和服务器仅为举例,其他现有的或今后可能出现的终端设备或服务器如可适用于本申请,也应包含在本申请保护范围内,并在此以引用方式包含于此。
上述终端设备1和服务器2的基本硬件结构类似,都包括图2所示的计算机装置所包括的元件。下面以图2所示的计算机装置为例,介绍终端设备1和服务器2的硬件结构。
如图2所示,计算机装置可以包括处理器101、存储器102、通信接口103、总线104。处理器101、存储器102以及通信接口103之间可以通过总线104连接。
处理器101是计算机装置的控制中心,处理器101可以是一个处理器,也可以是多个处理元件的统称。例如,处理器101可以是一个通用中央处理单元(central processingunit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一种实施例,处理器101包括一个或多个CPU,例如图2中所示的CPU 0和CPU1。
存储器32可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
一种可能的实现方式中,存储器102可以独立于处理器101存在,存储器102可以通过总线104与处理器101相连接,用于存储指令或者程序代码。处理器101调用并执行存储器102中存储的指令或程序代码时,能够实现本申请下述实施例提供的越权漏洞的检测方法。
另一种可能的实现方式中,存储器102也可以和处理器101集成在一起。
通信接口103,用于使计算机装置与其他设备通过通信网络连接,所述通信网络可以是以太网,无线接入网(radio access network,RAN),无线局域网(wireless localarea networks,WLAN)等。通信接口103可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
总线104,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图2中示出的结构并不构成对该计算机装置的限定,除图2所示部件之外,该计算机装置还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件的设置。
下面结合说明书附图对本申请实施例的实施方式进行详细描述。
图3为本申请实施例提供的一种越权漏洞的检测方法的流程示意图,如图3所示,该检测方法包括:
S20、服务器响应于第一用户对待测试系统的操作指令,获取操作指令对应的第一请求报文。
其中,第一请求报文用于指示第一用户访问待测试系统时的请求数据。
需要说明的是,待测试系统为用于检测越权漏洞的系统。示例性的,待测试系统可以为用于检测越权漏洞的应用程序,或者为用于检测越权漏洞的网页;也可以为其它合适的用于检测越权漏洞的系统,本申请实施例不作限定。
示例性的,操作指令可以是点击操作、双击操作、滑动操作等任意可行的操作,具体可以根据实际需求而定,本申请实施例不作具体限制。
例如,以操作指令为点击操作为例,操作指令可以是第一用户在待测试系统中,对待测试系统中的某个功能的点击。示例性的,待测试系统中的功能可以包括查询功能、转账功能、认证功能等。
以操作指令为点击操作,待测试系统中的功能为查询功能为例,示例性的,第一请求报文为第一用户点击待测试系统中的查询功能后,服务器获取到的数据包;其中,该数据包包括第一用户的信息。
示例性的,该数据包可以包括第一用户登录在终端设备上的用户账号和密码、存储在用户本地终端上的数据(Cookie)、会话标识(session identity document,sessionID)、终端标识、以及第一用户的身份证号码、银行卡号码、信用卡号码、姓名、手机号等中的至少一个。
一种可能的设计中,第一请求报文为第一用户点击待测试系统中的当前功能后,服务器获取到的数据包。
另一种可能的设计中,第一请求报文为第一用户点击待测试系统中的所有功能后,服务器获取到的数据包。也就是说,第一请求报文包括第一用户完成待测试系统中的所有功能后的数据包。
此处,在本申请实施例中,使第一用户尽可能的完成待测试系统中的所有功能,即在检测越权漏洞时,尽量覆盖待测试系统中的全部场景,从而能够更加全面的对待测试系统进行越权漏洞的检测。
S21、服务器将第一请求报文替换为第二请求报文。
其中,第二请求报文用于指示第二用户访问待测试系统时的请求数据;第一用户和第二用户为具有相同操作权限的不同用户。
具体的,S21可以实现为:服务器获取到第一请求报文后,将第一请求报文替换为第二请求报文。
可以理解的是,第一请求报文包括第一用户的信息,因此将第一请求报文替换为第二请求报文时,即将第一用户的信息替换为第二用户的信息。
另外,结合上述实施例,在第一请求报文包括第一用户在在终端设备上的用户账号和密码、存储在用户本地终端上的数据(Cookie)、会话标识(session identitydocument,session ID)、终端标识、以及第一用户的身份证号码、银行卡号码、信用卡号码、姓名、手机号等中的至少一个的情况下,可以是仅替换上述第一用户的信息中的一个或一部分信息,也可以是替换上述第一用户的信息中的所有信息,本申请实施例对此不作限制。
S22、服务器获取第二请求报文对应的响应报文。
其中,响应报文用于指示针对于第二请求报文获得的响应数据。
具体的,S22可以实现为:服务器根据第二请求报文生成与第二请求报文对应的响应报文。
示例性的,以第一用户访问待测试系统中的查询功能为例,例如服务器获取到的第一请求报文包括第一用户的Cookie、会话标识、第一用户登录待测试系统的账号和密码以及银行卡号;在此基础上,服务器将第一请求报文替换为第二请求报文,即服务器获取到第二用户的Cookie、会话标识、第二用户登录待测试系统的账号和密码以及银行卡号;然后服务器生成与第二请求报文对应的响应报文。
若响应报文中包括第二用户的信息,则确定发生越权漏洞。
示例性的,结合上述实施例,若响应报文包括查询到的第二用户的银行卡的信息(例如银行卡余额、开户行、第二用户的手机号、姓名等),则认为发生了越权漏洞。
相应地,若响应数据包中不包括第二用户的信息,则判定没有发生越权漏洞。
综上所述,采用本申请的越权漏洞的检测方法,通过将第一请求报文替换为第二请求报文,即将第一用户访问待测试系统时的请求数据替换为第二用户访问待测试系统时的请求数据,获取第二请求报文对应的响应报文,若响应报文中包括第二用户的信息,则确定发生越权漏洞,由于第一用户和第二用户为具有相同操作权限的不同用户,因此只有在第二请求报文对应的响应报文中发现了第二用户的信息,才确定发生越权漏洞,有利于提高检测越权漏洞的准确性。
可选的,结合图3,如图4所示,将第一请求报文替换为第二请求报文的过程可以包括S210-S211。
S210、服务器确定第一请求报文中包括的第一敏感信息。
其中,第一敏感信息用于唯一指示第一用户的信息。
具体的,S210可以实现为:服务器对第一请求报文中的每个信息进行判断,从而确定第一请求报文中是否包括第一敏感信息。
一种可能的设计中,服务器将第一请求报文中的所有信息与预设敏感信息进行对比,以确定第一敏感信息。
其中,预设敏感信息为预先设置在服务器中的敏感信息。示例性的,可以根据越权测试需求,向服务器中预先设置第一用户和第二用户的敏感信息。
需要说明的是,预先设置的第一用户和第二用户的敏感信息存在唯一性,即第一用户的敏感信息与第二用户的敏感信息不同。
示例性的,预设敏感信息可以包括:第一用户和第二用户的银行卡号、身份证号、姓名、手机号等。
具体的,预设敏感信息可以采用下述表1进行描述。
表1
需要说明的是,上述表1中的ID例如可以为用户的会话标识。
需要说明的是,上述表1仅仅是对预设敏感信息的一种举例说明,并不构成对本申请的限定。
作为一种示例,将第一请求报文中的所有信息与预设敏感信息进行对比,若第一请求报文中包括第一用户的敏感信息,则将该第一用户的敏感信息确定为第一敏感信息。
在第一请求报文包括第一用户的Cookie、会话标识、第一用户登录待测试系统的账号和密码以及第一用户的银行卡号的情况下,示例性的,第一用户的银行卡号与预先设置的第一用户的敏感信息对应,因此将第一用户的银行卡号确定为第一敏感信息。
S211、服务器将第一敏感信息替换为第二敏感信息,以得到第二请求报文。
其中,第二敏感信息用于唯一指示第二用户的信息;第一敏感信息和第二敏感信息属于同一类型的信息。
具体的,S211可以实现为:服务器从预设敏感信息中找到与第一用户的第一敏感信息属于同一类型的第二用户的第二敏感信息,并将第一敏感信息替换为第二敏感信息,从而得到第二请求数据包。
一种可能的设计中,第二请求报文仅包括第二敏感信息,即仅包括第二用户的敏感信息。另一种可能的设计中,第二请求报文中不仅包括第二敏感信息,还包括第二用户的其它信息。其中第二用户的其它信息不属于第二用户的唯一性信息;例如其它信息可以包括第二用户的Cookie、会话标识、第二用户登录待测试系统的账号和密码。
需要说明的是,第一敏感信息和第二敏感信息属于同一类型的信息指的是第一用户对应的敏感信息的类型和第二用户对应的敏感信息的类型相同。示例性的,第一敏感信息为第一用户的银行卡号码,则第二敏感信息为第二用户的银行卡号码。
一种可能的设计中,当第一请求报文中包括的第一敏感信息为第一用户的银行卡号码时,则服务器将第一用户的银行卡号码替换为第二用户的银行卡号码,得到第二请求报文,并重新提交第二请求报文,若服务器根据第二用户的银行卡号码生成的响应报文包括第二用户的信息(例如第二用户的银行卡号码对应的银行卡余额、第二用户的姓名以及手机号时),即判定此场景下存在信息越权查询。
另一种可能的设计中,当第一请求报文中包括的第一敏感信息为第一用户的手机号138****1007时,则服务器将第一用户的手机号138****1007替换为第二用户的手机号134****7604,得到第二请求报文,并重新提交第二请求报文,若服务器根据第二用户的手机号生成的响应报文包括第二用户的信息(例如第二用户的姓名和身份证,即李四,6226220****9718),即判定此场景下存在信息越权查询。
综上所述,本申请实施例中,通过在服务器中预先设置敏感信息,可以对第一用户访问待测试系统时提交的第一请求报文进行初步筛选,只有在第一请求报文中包括第一敏感信息时,服务器才会对第一请求报文进行替换,即将第一敏感信息替换为第二敏感信息,通过这样的方式,能够大大降低越权检测的数据量,从而减少了检测越权漏洞时的数据冗余量,降低了系统的负载压力。
上述主要从设备之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是,越权漏洞的检测装置等为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对检测装置等进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图5为本申请实施例提供的一种越权漏洞的检测装置(以下简称为检测装置)300,用于实现上述方法中的功能。该检测装置300可以包括获取模块301、替换模块302和确定模块303。
具体的,获取模块301用于响应于第一用户对待测试系统的操作指令,获取第一请求报文。例如,结合图3所示,获取模块301可以用于执行S20。
其中,第一请求报文用于指示第一用户访问待测试系统时的请求数据。
替换模块302用于将第一请求报文替换为第二请求报文。例如,结合图3所示,替换模块302可以用于执行S21。
其中,第二请求报文用于指示第二用户访问待测试系统时的请求数据;第一用户和第二用户为具有相同操作权限的不同用户。
获取模块301还用于获取第二请求报文对应的响应报文。例如,结合图3所示,获取模块301可以用于执行S22。
其中,响应报文用于指示针对于第二请求报文获得的响应数据。
确定模块303用于若响应报文中包括第二用户的信息,则确定发生越权漏洞。
可选的,替换模块302具体用于,确定第一请求报文中包括的第一敏感信息;第一敏感信息用于唯一指示第一用户的信息;将第一敏感信息替换为第二敏感信息,以得到第二请求报文;第二敏感信息用于唯一指示第二用户的信息;第一敏感信息和第二敏感信息属于同一类型的信息。例如,结合图4所示,替换模块302可以用于执行S210-S211。
可选的,替换模块302具体用于,将第一请求报文中的所有信息与预设敏感信息进行对比,以确定第一敏感信息。
如前述,本申请实施例提供的检测装置300可以用于实施上述本申请各实施例实现的方法中的功能,为了便于说明,仅示出了与本申请实施例相关的部分,具体局势细节未揭示的,请参照本申请各实施例。
在实际实现时,获取模块301、替换模块302和确定模块303可以由图2所示的处理器101调用存储器102中的程序代码来实现,其具体的执行过程可参考图3-图4所示的越权漏洞的检测方法部分的描述,这里不再赘述。
本申请另一些实施例还提供一种计算机可读存储介质,该计算机可读存储介质可包括计算机程序,当该计算机程序在计算机上运行时,使得该计算机执行上述图3-图4所示实施例中各个步骤。
本申请另一些实施例还提供一种计算机程序产品,该计算机产品包含计算机程序,当该计算机程序产品在计算机上运行时,使得该计算机执行上述图3-图4所示实施例中各个步骤。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种越权漏洞的检测方法,其特征在于,包括:
响应于第一用户对待测试系统的操作指令,获取所述操作指令对应的第一请求报文;所述第一请求报文用于指示所述第一用户访问所述待测试系统时的请求数据;
将所述第一请求报文替换为第二请求报文;所述第二请求报文用于指示第二用户访问所述待测试系统时的请求数据;所述第一用户和所述第二用户为具有相同操作权限的不同用户;
获取所述第二请求报文对应的响应报文;所述响应报文用于指示针对于所述第二请求报文获得的响应数据;
若所述响应报文中包括第二用户的信息,则确定发生越权漏洞。
2.根据权利要求1所述的检测方法,其特征在于,所述将所述第一请求报文替换为第二请求报文,包括:
确定所述第一请求报文中包括的第一敏感信息;所述第一敏感信息用于唯一指示所述第一用户的信息;
将所述第一敏感信息替换为第二敏感信息,以得到所述第二请求报文;所述第二敏感信息用于唯一指示第二用户的信息;所述第一敏感信息和所述第二敏感信息属于同一类型的信息。
3.根据权利要求2所述的检测方法,其特征在于,所述确定所述第一请求报文中包括的第一敏感信息,包括:
将所述第一请求报文中的所有信息与预设敏感信息进行对比,以确定所述第一敏感信息。
4.一种越权漏洞的检测装置,其特征在于,包括:
获取模块,用于响应于第一用户对待测试系统的操作指令,获取所述操作指令对应的第一请求报文;所述第一请求报文用于指示所述第一用户访问所述待测试系统时的请求数据;
替换模块,用于将所述第一请求报文替换为第二请求报文;所述第二请求报文用于指示第二用户访问所述待测试系统时的请求数据;所述第一用户和所述第二用户为具有相同操作权限的不同用户;
所述获取模块还用于,获取所述第二请求报文对应的响应报文;所述响应报文用于指示针对于所述第二请求报文获得的响应数据;
确定模块,用于若所述响应报文中包括第二用户的信息,则确定发生越权漏洞。
5.根据权利要求4所述的检测装置,其特征在于,所述替换模块具体用于,
确定所述第一请求报文中包括的第一敏感信息;所述第一敏感信息用于唯一指示所述第一用户的信息;
将所述第一敏感信息替换为第二敏感信息,以得到所述第二请求报文;所述第二敏感信息用于唯一指示第二用户的信息;所述第一敏感信息和所述第二敏感信息属于同一类型的信息。
6.根据权利要求5所述的检测装置,其特征在于,所述替换模块具体用于,
将所述第一请求报文中的所有信息与预设敏感信息进行对比,以确定所述第一敏感信息。
7.一种电子设备,其特征在于,包括:一个或多个处理器、和存储器;所述处理器和所述存储器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;
当所述处理器执行所述计算机指令时,以使所述电子设备执行如权利要求1-3任一项所述的越权漏洞的检测方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令或程序,当计算机指令或程序在电子设备上运行时,使得所述电子设备执行如权利要求1-3任一项所述的越权漏洞的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110580669.2A CN113242257A (zh) | 2021-05-26 | 2021-05-26 | 越权漏洞的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110580669.2A CN113242257A (zh) | 2021-05-26 | 2021-05-26 | 越权漏洞的检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113242257A true CN113242257A (zh) | 2021-08-10 |
Family
ID=77139000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110580669.2A Pending CN113242257A (zh) | 2021-05-26 | 2021-05-26 | 越权漏洞的检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113242257A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949578A (zh) * | 2021-10-20 | 2022-01-18 | 重庆邮电大学 | 基于流量的越权漏洞自动检测方法、装置及计算机设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
| CN110084044A (zh) * | 2019-03-14 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 针对水平越权漏洞自动进行测试的方法及相关设备 |
| CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、系统、电子设备和介质 |
| CN111104675A (zh) * | 2019-11-15 | 2020-05-05 | 泰康保险集团股份有限公司 | 系统安全漏洞的检测方法和装置 |
| CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
| CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
| CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
-
2021
- 2021-05-26 CN CN202110580669.2A patent/CN113242257A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
| CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、系统、电子设备和介质 |
| CN110084044A (zh) * | 2019-03-14 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 针对水平越权漏洞自动进行测试的方法及相关设备 |
| CN111104675A (zh) * | 2019-11-15 | 2020-05-05 | 泰康保险集团股份有限公司 | 系统安全漏洞的检测方法和装置 |
| CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
| CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
| CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、系统、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949578A (zh) * | 2021-10-20 | 2022-01-18 | 重庆邮电大学 | 基于流量的越权漏洞自动检测方法、装置及计算机设备 |
| CN113949578B (zh) * | 2021-10-20 | 2023-11-24 | 广州名控网络科技有限公司 | 基于流量的越权漏洞自动检测方法、装置及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108683604B (zh) | 并发访问控制方法、终端设备及介质 | |
| US11429698B2 (en) | Method and apparatus for identity authentication, server and computer readable medium | |
| CN109787959B (zh) | 一种账户信息处理方法及相关装置 | |
| CN109491733B (zh) | 基于可视化的界面显示方法及相关设备 | |
| WO2009051336A1 (en) | Apparatus and method for managing terminal users | |
| TW202040385A (zh) | 以裝置識別資料透過電信伺服器識別身份之系統及方法 | |
| CN114422139A (zh) | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 | |
| CN106685945B (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
| CN112995227B (zh) | 一种基于三方信用管理的一站式信息服务平台 | |
| CN113242257A (zh) | 越权漏洞的检测方法、装置、设备及存储介质 | |
| CN105373715A (zh) | 一种基于可穿戴设备的数据访问方法及装置 | |
| CN104021324A (zh) | 字迹安全校验的方法及装置 | |
| CN111274563A (zh) | 一种安全认证的方法以及相关装置 | |
| CN111127030A (zh) | 交易预警方法、装置和设备 | |
| CN114297735A (zh) | 数据处理方法及相关装置 | |
| CN111131369B (zh) | App使用情况的传输方法、装置、电子设备及存储介质 | |
| CN113434069A (zh) | 菜单配置方法、装置、设备及存储介质 | |
| CN106878296B (zh) | 数据访问控制方法及装置 | |
| TWM586494U (zh) | 以網路識別資料透過電信伺服器識別身份之系統 | |
| CN110677353A (zh) | 数据访问方法及系统 | |
| TWI704796B (zh) | 以網路識別資料透過電信伺服器進行登入之系統及方法 | |
| KR102564581B1 (ko) | 피싱 의심 사이트 안내 시스템 및 안내 방법. | |
| CN110287265B (zh) | 一种登录请求处理方法、装置、服务器及可读存储介质 | |
| CN113836509B (zh) | 信息采集方法、装置、电子设备和存储介质 | |
| CN111010478B (zh) | 移动终端保护方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210810 |
|
| RJ01 | Rejection of invention patent application after publication |