CN113961940A - 基于权限动态更新机制的越权检测方法及装置 - Google Patents

基于权限动态更新机制的越权检测方法及装置 Download PDF

Info

Publication number
CN113961940A
CN113961940A CN202111568674.8A CN202111568674A CN113961940A CN 113961940 A CN113961940 A CN 113961940A CN 202111568674 A CN202111568674 A CN 202111568674A CN 113961940 A CN113961940 A CN 113961940A
Authority
CN
China
Prior art keywords
data stream
information
target account
override
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111568674.8A
Other languages
English (en)
Other versions
CN113961940B (zh
Inventor
王滨
刘帅
万里
毕志城
闫琛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202111568674.8A priority Critical patent/CN113961940B/zh
Publication of CN113961940A publication Critical patent/CN113961940A/zh
Application granted granted Critical
Publication of CN113961940B publication Critical patent/CN113961940B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了基于权限动态更新机制的越权检测方法及装置。本申请中,基于被测站点的账户权限认证信息的更新,可及时更新账户的权限认证信息,以实现基于权限动态更新机制的越权检测比如水平越权检测、垂直越权检测、未授权访问,这实现了越权漏洞的检测,防止因为越权漏洞带来的安全危害。同时,也能防止因账户权限认证信息失效或过期导致的越权检测失败或误报问题,提升越权检测漏洞的检出率。

Description

基于权限动态更新机制的越权检测方法及装置
技术领域
本申请涉及数据安全技术,特别涉及基于权限动态更新机制的越权检测方法及装置。
背景技术
在业务处理过程中,越权是最常见的业务逻辑漏洞。所谓越权,其主要是由于服务器端对用户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致用户通过数据操作修改相关参数以拥有其他账户的增、删、改、查等功能,即为越权。越权漏洞带来的安全危害影响巨大。
发明内容
本申请提供了基于权限动态更新机制的越权检测方法及装置,以实现越权漏洞的检测,防止因为越权漏洞带来的安全危害。
本申请实施例提供了一种基于权限动态更新机制的越权检测方法,该方法应用于电子设备,包括:
通过部署流量代理地址获得待进行越权检测的目标账户对应的目标账户数据流;所述目标账户数据流至少包括:通过访问所述目标账户登录至的被测站点上的至少一个站点功能得到的数据流;
依据目标账户数据流分别生成第一数据流、第二数据流、第三数据流;所述第一数据流用于检测所述目标账户是否存在水平越权的数据流,所述第二数据流用于检测所述目标账户是否存在垂直越权的数据流,所述第三数据流用于检测所述目标账户是否存在未被授权访问的数据流;
通过模拟人工登录方式控制第一参考账户自动登录至被测站点,将第一数据流中所述目标账户的权限认证信息替换为第一参考账户在被测站点具有的权限认证信息,得到第一水平越权待检测数据流;依据第一参考账户访问第一水平越权待检测数据流时权限认证信息的变化,检测目标账户是否存在水平越权;第一参考账户与目标账户在被测站点具有相同权限;
通过模拟人工登录方式控制第二参考账户自动登录被测站点,将第二数据流中目标账户的权限认证信息替换为第二参考账户在被测站点具有的权限认证信息得到第二垂直越权待检测数据流,依据第二参考账户访问第二垂直越权待检测数据流时权限认证信息的变化,检测目标账户是否存在垂直越权;第二参考账户在被测站点的权限低于目标账户在被测站点的权限;
依据第三数据流中的请求信息重新向被测站点发起请求得到请求信息对应的最新响应信息,依据请求信息对应的最新响应信息、以及目标账户数据流中与请求信息对应的历史响应信息检测目标账户是否存在未被授权访问。
本申请实施例还提供了一种电子设备。该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现上述公开的方法的步骤。
由以上技术方案可以看出,本申请中,基于被测站点的账户权限认证信息的更新,可及时更新账户的权限认证信息,以实现基于权限动态更新机制的越权检测比如水平越权检测、垂直越权检测、未授权访问,这实现了越权漏洞的检测,防止因为越权漏洞带来的安全危害。同时,也能防止因账户权限认证信息失效或过期导致的越权检测失败或误报问题,提升越权检测漏洞的检出率。
进一步地,在本实施例中,通过流量代理的方式获得目标账户对应的目标账户数据流,其可获得比较全面的的数据流,提升了越权检测对被测站点的检测覆盖率,有助于提升越权漏洞的检出率。
更进一步地,在本实施例中,通过模拟人工登录方式控制第一参考账户、第二参考账户自动登录至被测站点以获得第一参考账户在被测站点具有的权限认证信息、第二参考账户在被测站点具有的权限认证信息,提高了越权检测的效率,同时提升了越权检测的自动化率。
更进一步地,本实施例并不限于Cookie、Session、token、sid、basic认证、digest认证等权限认证机制进行越权检测,提升了越权检测的覆盖率以及漏洞的检出率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1为本申请实施例提供的方法流程图;
图2为本申请实施例提供的水平越权检测流程图;
图3为本申请实施例提供的步骤203流程图;
图4为本申请实施例提供的垂直水平越权检测流程图;
图5为本申请实施例提供的步骤403流程图;
图6为本申请实施例提供的未授权访问检测流程图;
图7为本申请实施例提供的装置结构图;
图8为本申请实施例提供的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面先对本申请实施例涉及的技术术语进行描述:
在本实施例中,越权主要包括水平越权、垂直越权以及未授权访问。
所谓水平越权,其是指由于权限控制不当,导致相同权限账户可操作或访问对方的敏感接口,获取或修改对方敏感数据。例如账户11、账户12权限相同,账户11通过一些敏感操作方式(参数修改)等查看账户12的个人资料,获取账户12身份证号、个人住址、照片等敏感数据,即为水平越权。同样,账户12通过一些敏感操作方式(参数修改)等查看账户11的个人资料,获取账户11身份证号、个人住址、照片等敏感数据,也为水平越权。
所谓垂直越权,其是指由于权限控制不当,导致低权限账户可操作或访问高权限账户的敏感接口。权限不同的账户13、账户14,账户13的权限低于账户14的权限,低权限账户13可通过一些敏感操作方式(参数修改、接口调用)等获取高权限账户14才可进行的操作或访问的数据,即为垂直越权。
所谓未授权访问,其是指游客账户可操作或访问需要认证后才可操作或访问的敏感接口,例如游客账户可操作或访问需认证后才可操作或访问的数据库管理接口。
基于上面对技术术语的描述,下面结合附图对本申请实施例中技术方案作进一步详细的说明:
参见图1,图1为本申请实施例提供的方法流程图。该方法应用于电子设备。可选地,在本实施例中,该电子设备可为前端设备比如PC机等,也可为后台服务器等,本实施例并不具体限定。
如图1所示,该流程可包括以下步骤:
步骤101,通过部署流量代理地址获得目标账户对应的目标账户数据流。
可选地,在本实施例中,用户会向上述电子设备提供被测站点、目标账户登录至被测站点的登录信息、第一参考账户登录至被测站点的登录信息、以及第二参考账户登录至被测站点的登录信息。这里,第一参考账户可为与目标账户具有相同权限、用于检测上述目标账户是否存在水平越权的一个参考账户。第二参考账户可为低于目标账户具有的权限,用于检测上述目标账户是否存在垂直越权的一个参考账户。
作为一个实施例,用户可通过电子设备提供的交互界面向上述电子设备提供被测站点、目标账户登录至被测站点的登录信息、第一参考账户登录至被测站点的登录信息、以及第二参考账户登录至被测站点的登录信息。
作为一个实施例,被测站点可根据实际需求自行定义,比如可为。至于目标账户登录至被测站点的登录信息,其可为目标账户登录至被测站点的用户名、密码。同样,第一参考账户登录至被测站点的登录信息可为第一参考账户登录至被测站点的用户名、密码;第二参考账户登录至被测站点的登录信息可为第二参考账户登录至被测站点的用户名、密码。
可选地,在本实施例中,假若电子设备获得被测站点、目标账户登录至被测站点的登录信息、第一参考账户登录至被测站点的登录信息、以及第二参考账户登录至被测站点的登录信息,则会返回一个流量代理地址。这里,流量代理地址可为针对上述被测站点配置的唯一一个代理地址。
可选地,当用户获得上述电子设备返回的流量代理地址后,其会将该流量代理地址配置在浏览器。在本实施例中,通过在浏览器配置上述流量代理地址,其目的是当通过浏览器请求访问上述被测站点时,浏览器会将请求信息(记为请求信息)转发至流量代理地址,通过流量代理地址对应的代理服务器将上述请求信息发送给被测站点,以及接收被测站点返回的响应信息(记为响应信息)转发给浏览器,最终基于代理方式自动获得目标账户对应的所有目标账户数据流,下文对目标账户数据流有描述,这里暂不赘述。
在本实施例中,上述电子设备还会提供上述被测站点的登录界面URL比如。目标账户会使用上述目标账户登录至被测站点的登录信息比如用户名admin,密码Ttest3218,登录至上述被测站点比如192.168.1.1。在目标账户登录至的被测站点后,访问被测站点上至少一个站点功能(相当于发送请求信息),则会得到对应的响应信息。可选地,在本实施例中,可将访问被测站点上至少一个站点功能时的所有数据流(包括请求信息和响应信息)作为目标账户对应的目标账户数据流。也即,假若访问被测站点上至少一个站点功能时没有得到响应,则此时对应的目标账户数据流至少包括:请求信息。假若访问被测站点上至少一个站点功能时得到响应,则此时对应的目标账户数据流至少包括:请求信息和响应信息。
在本实施例中,请求信息至少包括站点功能请求信息比如请求头、URL以及访问站点功能的参数等、目标账户针对站点功能具有的权限认证信息等。响应信息至少包括响应内容、响应状态码、响应内容特征值、返回的长度值等,本实施例并不具体限定。在本实施例中,权限认证信息是指可通过该信息唯一的标识当前用户和其权限信息,包括但不限于Cookie、Session、token、sid、Basic认证等。
可选地,在本实施例中,上述目标账户对应的所有目标账户数据流可为排除了诸如css、js、png/jpg等所有静态业务数据流的动态业务数据流。
步骤102,依据目标账户数据流分别生成第一数据流、第二数据流、第三数据流;第一数据流用于检测目标账户是否存在水平越权的数据流,第二数据流用于检测目标账户是否存在垂直越权的数据流,第三数据流用于检测目标账户是否存在未被授权访问的数据流。
可选地,在本实施例中,可将目标账户数据流中涉及目标账户的指定站点功能被访问时得到的数据流确定为第一数据流。可选地,这类指定站点功能在请求时或响应时一般会携带目标账户个人信息比如manage/View-personal等个人信息。
可选地,在本实施例中,可将目标账户数据流中除第一数据流之外的所有数据流确定为第二数据流。
可选地,在本实施例中,可将目标账户数据流中请求信息携带的权限认证信息比如token、sid、Cookie等去除,得到第三数据流。
需要说明的是,上述只是第一数据流、第二数据流、第三数据流的举例描述,并非用于限定。
步骤103,通过模拟人工登录方式控制已获得的第一参考账户自动登录至被测站点,依据第一参考账户访问第一数据流时权限认证信息的变化,检测目标账户是否存在水平越权。
可选地,在本实施例中,可使用模拟人工输入第一参考账户的登陆信息比如账户名admin1、密码Sping9426等的方式自动化登录至被测站点比如,并获取登录成功后第一参考账户在该被测站点具有的权限认证信息。比如,第一参考账户在该被测站点具有的权限认证信息为:
Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785sedfrCD7D9F71DE6EB-ajfhafnakfskgfjsksgjsgskjsdgls-cas。
如上描述,目标账户数据流至少包括请求信息,请求信息中会携带目标账户的权限认证信息。基于此,在本实施例中,在依据第一参考账户访问第一数据流时权限认证信息的变化,检测目标账户是否存在水平越权时,可针对第一数据流中每一数据流,将该数据流中请求信息所包含的目标账户的权限认证信息替换为第一参考账户在被测站点具有的权限认证信息,最终会得到第一水平越权待检测数据流。
比如,第一参考账户在该被测站点具有的权限认证信息为:Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785sedfrCD7D9F71DE6EB-ajfhafnakfskgfjsksgjsgskjsdgls-cas,则可将第一数据流中一数据流携带的目标账户的权限认证信息即Secure; hospPortal=hospPortal;
CASTGC=TGT-89-1-2C0DE923FA074D48A53CD7D9F71DE6EB-0xpWKIItJk51baGfzh1PCz3kHw0dajXnbLY4ne1f3AlIbdqydu-cas替换为上述第一参考账户在该被测站点具有的权限认证信息即Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785sedfrCD7D9F71DE6EB-ajfhafnakfskgfjsksgjsgskjsdgls-cas。
之后,通过第一参考账户访问第一水平越权待检测数据流。可选地,在通过第一参考账户访问第一水平越权待检测数据流时,会基于需求实时更新第一参考账户的最新权限认证信息。本实施例中,可基于第一参考账户访问第一水平越权待检测数据流时权限认证信息的变化,检测目标账户是否存在水平越权。下文会举例描述,这里暂不赘述。
步骤104,通过模拟人工登录方式控制已获得的第二参考账户自动登录所述被测站点,依据第二参考账户访问第二数据流时权限认证信息的变化,检测目标账户是否存在垂直越权。
可选地,在本实施例中,可使用模拟人工输入第二参考账户的登陆信息比如账户名user、密码Fsjoa3681等的方式自动化登录至被测站点比如,并获取登录成功后第二参考账户在该被测站点具有的权限认证信息。比如,第二参考账户在该被测站点具有的权限认证信息为:
Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785sedfrCD7D9F71DE6EB-ajfhafnakfskgfjsksgjsgskjsdgls-cas。
如上描述,目标账户数据流至少包括请求信息,请求信息中会携带目标账户的权限认证信息。基于此,在本实施例中,在依据第二参考账户访问第二数据流时权限认证信息的变化,检测目标账户是否存在垂直越权时,可先针对第二数据流中每一数据流,将该数据流中请求信息所包含的目标账户的权限认证信息替换为第二参考账户在被测站点具有的权限认证信息,最终会得到第一垂直越权待检测数据流。
比如,第二参考账户在该被测站点具有的权限认证信息为:Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785sedfrCD7D9F71DE6EB-ajfhafnakfskgfjsksgjsgskjsdgls-cas,则可将第二数据流中一数据流携带的目标账户的权限认证信息即Secure; hospPortal=hospPortal;
CASTGC=TGT-89-1-2C0DE923FA074D48A53CD7D9F71DE6EB-0xpWKIItJk51baGfzh1PCz3kHw0dajXnbLY4ne1f3AlIbdqydu-cas替换为上述第二参考账户在该被测站点具有的权限认证信息即Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785sedfrCD7D9F71DE6EB-ajfhafnakfskgfjsksgjsgskjsdgls-cas。
之后,通过第二参考账户访问第一垂直越权待检测数据流。可选地,在通过第二参考账户访问第一垂直越权待检测数据流时,会基于需求实时更新第二参考账户的最新权限认证信息。本实施例中,可基于第二参考账户访问第一垂直越权待检测数据流时权限认证信息的变化,检测目标账户是否存在垂直越权。下文会举例描述,这里暂不赘述。
步骤105,依据第三数据流中的请求信息,重新向被测站点发起请求以得到请求信息对应的最新响应信息,依据请求信息对应的最新响应信息、以及目标账户数据流中与请求信息对应的历史响应信息检测目标账户是否存在未授权访问。
这里,相比重新向被测站点发起请求以得到请求信息对应的最新响应信息,第三数据流中已记录的对应请求信息的响应信息记为历史响应信息。
在本实施例中,针对第三数据流中每一请求信息,通过重新向被测站点发起请求以得到该请求信息对应的最新响应信息,之后比较请求信息对应的最新响应信息、以及第三数据流中与请求信息对应的历史响应信息检测目标账户是否存在未授权访问。下文会举例描述,这里暂不赘述。
需要说明的是,上述步骤103、步骤104、步骤105并没有固定的时间先后顺序,其也可同时执行。
至此,完成图1所示流程。
通过图1所示流程可以看出,在本实施例中,基于被测站点的账户权限认证信息的更新,可及时更新账户的权限认证信息,以实现基于权限动态更新机制的越权检测比如水平越权检测、垂直越权检测、未授权访问,这实现了越权漏洞的检测,防止因为越权漏洞带来的安全危害。同时,也能防止因账户权限认证信息失效或过期导致的越权检测失败或误报问题,提升越权检测漏洞的检出率。
进一步地,在本实施例中,通过流量代理的方式获得目标账户对应的目标账户数据流,其可获得比较全面的的数据流,提升了越权检测对被测站点的检测覆盖率,有助于提升越权漏洞的检出率。
更进一步地,在本实施例中,通过模拟人工登录方式控制第一参考账户、第二参考账户自动登录至被测站点以获得第一参考账户在被测站点具有的权限认证信息、第二参考账户在被测站点具有的权限认证信息,提高了越权检测的效率,同时提升了越权检测的自动化率。
更进一步地,本实施例并不限于Cookie、Session、token、sid、basic认证、digest认证等权限认证机制进行越权检测,提升了越权检测的覆盖率以及漏洞的检出率。
下面对如何检测目标账户是否存在水平越权进行描述:
参见图2,图2为本申请实施例提供的水平越权检测流程图。如图2所示,该流程可包括:
步骤201,从第一水平越权待检测数据流中获得至少一条水平越权待访问数据流。
在本实施例中,在上述得到目标账户数据流时,还会实时监控每一目标账户数据流,检查在得到该目标账户数据流时是否发生了权限认证信息变化。例如,目标账户在访问上述被测站点中某一站点功能https:// 192.168.1.1/iommas/view/v1/dynamic/listHes前权限认证信息为:Secure;hospportal=hospPortal; CASTGC=TGT-89-1-2C0DE923FA074D48A53CD7D9F71D
E6EB-0xpWKIItJk51baGfzh1PCz3kHw0dajXnbLY4ne1f3AlIbdqydu-cas。在访问https:// 192.168.1.1/iommas/view/v1/dynamic/listHes后,权限认证信息变化为:SESSION=NTFiNTgxYjQtNjRiZC00ODk1LWI2MmQtMGEyZDQyNzZiN
jIx;hospPortal=hospPortal; CASTGC=TGT-89-1-2C0DE923FA074D48A53CD7
D9F71DE6EB-0xpWKIItJk51baGfzh1PCz3kHw0dajXnbLY4ne1f3AlIbdqydu-cas;hospsession=edef5a11-31b7-4c40-9df4-badaaf2e9e96;nmssession=42483522-9567-4bc6-b64b-1fab6a492c97。即在得到该站点功能https:// 192.168.1.1/iommas/view/v1/dynamic/listHes对应的目标账户数据流时,权限认证信息发生了变化,而该目标账户数据流也可称为权限认证信息发生了变化的目标账户数据流。可选地,本实施例可将权限认证信息发生了变化的目标账户数据流(包括url和变化后的权限认证信息等)记录到目标账户权限表中。
基于此,在本实施例中,本步骤201中的水平越权待访问数据流中至少包含满足条件的目标站点功能的访问信息比如URL等。这里,条件是指目标账户在访问目标站点功能的前后具有的权限认证信息发生变化。基于上述目标账户权限表中,则可选地,在本实施例中,可从第一水平越权待检测数据流中获得访问信息与目标账户权限表记录的目标账户数据流中的访问信息相同的至少一条水平越权待访问数据流。基于上述对目标账户数据流的描述,这里的访问信息可为目标账户访问上述目标站点功能得到的数据流中的信息比如URL等。
可选地,在本实施例中,可将获得的水平越权待访问数据流记录至水平越权权限表中。
步骤202,遍历水平越权待访问数据流,依据遍历到的水平越权待访问数据流中的访问信息发起访问,若第一参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息,若水平越权待访问数据流均被遍历,则将所述第一水平越权待检测数据流中的权限认证信息更新为所述最新权限认证信息,得到第二水平越权待检测数据流,否则,将还未被遍历的水平越权待访问数据流中权限认证信息更新为所述最新权限认证信息。
以将获得的水平越权待访问数据流记录至水平越权权限表为例,则本步骤202中,可遍历水平越权权限表,获得第一参考账户在发起访问前针对当前遍历到的水平越权待访问数据流具有的权限认证信息,比如:Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785se。
之后,在selenium添加上述权限认证信息。这里,Selenium:是一个用于Web应用程序测试的工具。Selenium测试直接运行在浏览器中,就像真正的用户在操作一样。依据当前遍历到的水平越权待访问数据流中的访问信息比如URL等发起访问比如访问如下URL:
https:// 192.168.1.1/iommas/view/v1/dynamic/listHes。
获取访问完成之后第一参考账户具有的权限认证信息。比较第一参考账户在发起上述访问的前后具有的权限认证信息是否发生变化,若第一参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息。
之后,检查水平越权权限表是否已被完全遍历,如果是,则意味着所有水平越权待访问数据流均被遍历,则将第一水平越权待检测数据流中的权限认证信息更新为上述最新权限认证信息,得到第二水平越权待检测数据流,否则,将还未被遍历的水平越权待访问数据流中权限认证信息更新为上述最新权限认证信息,继续遍历水平越权待访问数据流,返回依据遍历到的水平越权待访问数据流中的访问信息比如URL等发起访问的步骤。
需要说明的是,若依据遍历到的水平越权待访问数据流中的访问信息比如URL等发起访问后,第一参考账户在发起访问前后的权限认证信息未发生变化,则检查水平越权权限表是否已被完全遍历,如果是,则意味着所有水平越权待访问数据流均被遍历,则继续执行步骤203,否则,继续遍历水平越权待访问数据流,返回依据遍历到的水平越权待访问数据流中的访问信息比如URL等发起访问的步骤。
步骤203,通过访问第二水平越权待检测数据流来检测目标账户是否存在水平越权。
可选地,作为一个实施例,本步骤203中通过访问所述第二水平越权待检测数据流检测目标账户是否存在水平越权有很多实现方式,图3举例示出其中一种实现方式。这里暂不赘述。
通过图2所示流程实现了如何依据第一参考账户访问第一水平越权待检测数据流时权限认证信息的变化,检测目标账户是否存在水平越权。
下面对图3所示流程进行描述:
参见图3,图3为本申请实施例提供的步骤203流程图。如图3所示,该流程可包括以下步骤:
步骤301,依据第二水平越权待检测数据流中的请求信息重新向被测站点发起请求得到该请求信息对应的最新响应信息。
比如,遍历第二水平越权待检测数据流,依据遍历到的第二水平越权待检测数据流中的请求信息重新向被测站点发起请求,比如针对该站点功能https:// 192.168.1.1/iommas/view/v1/dynamic/listHes的访问,最后会得到对应的响应信息。相比之前基于该请求信息向被测站点发起请求得到的响应信息,这里的响应信息可记为请求信息对应的最新响应信息。而第一数据流中已记录的之前基于该请求信息向被测站点发起请求得到的响应信息记为历史响应信息。
步骤302,依据请求信息对应的最新响应信息、以及第一数据流中与请求信息对应的历史响应信息,检测目标账户是否存在水平越权。
可选地,在本实施例中,针对每一请求信息,若该请求信息对应的最新响应信息与第一数据流中与该请求信息对应的历史响应信息满足水平越权条件,则确定所述目标账户存在水平越权。可选地,这里的水平越权条件是指所述最新响应信息中的响应状态码、响应内容特征值分别与所述历史响应信息中的响应状态码、响应内容特征值相等,但所述最新响应信息中的返回长度值与所述历史响应信息中的返回长度值不。若各个请求信息对应的最新响应信息与第一数据流中与各个请求信息对应的历史响应信息不满足水平越权条件,则确定目标账户不存在水平越权。
可选地,在本实施例中,响应状态码是用以表示网页服务器超文本传输协议响应状态的3位数字代码;返回长度值指对流量响应进行计算后得到的该流量响应的内容大小;响应内容特征值为系统预先设置的一些包含识别水平越权漏洞的字符或者字段,例如username、user、password等,本实施例并不具体限定。
比如,针对包含如下URL的请求信息:
https:// 192.168.1.1/iommas/view/v1/dynamic/listHes,第一数据流中记录的该请求信息中的历史响应信息中的响应状态码为200,响应内容特征值为id_card,返回长度值为15786;该请求信息对应的最新响应信息中的响应状态码为200,响应内容特征值为id_card,返回长度值为15755,可发现最新响应信息和历史响应信息满足水平越权条件,存在水平越权漏洞。
至此,完成图3所示流程。
通过图3所示流程实现了如何通过访问第二水平越权待检测数据流检测目标账户是否存在水平越权。可选地,在本实施例中,通过请求信息对应的最新响应信息、以及第一数据流中与请求信息对应的历史响应信息中的响应状态码、返回长度值以及响应内容特征值进行水平越权漏洞的判断,可有效提升水平越权检测精准度,降低水平越权检测的误报率和漏报率。
下面对如何检测目标账户是否存在垂直越权进行描述:
参见图4,图4为本申请实施例提供的垂直水平越权检测流程图。如图4所示,该流程可包括:
步骤401,从第一垂直越权待检测数据流中获得至少一条垂直越权待访问数据流。
如上描述,本实施例中,在上述得到目标账户数据流时,还会实时监控每一目标账户数据流,以获得权限认证信息发生了变化的目标账户数据流(包括url和变化后的权限认证信息等)并记录到目标账户权限表中。
基于此,与上述步骤201类似,本步骤401中的垂直越权待访问数据流中至少包含满足条件的目标站点功能的访问信息比如URL等。这里,条件是指目标账户在访问目标站点功能的前后具有的权限认证信息发生变化。基于上述目标账户权限表中,则可选地,在本实施例中,可从第一垂直越权待检测数据流中获得访问信息与目标账户权限表记录的目标账户数据流中的访问信息相同的至少一条垂直越权待访问数据流。基于上述对目标账户数据流的描述,这里的访问信息可为目标账户访问上述目标站点功能得到的数据流中的信息比如URL等。
可选地,在本实施例中,可将获得的垂直越权待访问数据流记录至垂直越权权限表中。
步骤402,遍历垂直越权待访问数据流,依据遍历到的垂直越权待访问数据流中的访问信息发起访问,若第二参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息,若垂直越权待访问数据流均被遍历,则将第一垂直越权待检测数据流中的权限认证信息更新为上述最新权限认证信息,得到第二垂直越权待检测数据流,否则,将还未被遍历的垂直越权待访问数据流中权限认证信息更新为上述最新权限认证信息。
以将获得的垂直越权待访问数据流记录至垂直越权权限表为例,则本步骤402中,可遍历垂直越权权限表,获得第二参考账户在发起访问前针对当前遍历到的垂直越权待访问数据流具有的权限认证信息,比如:
Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785se。
之后,在selenium添加上述权限认证信息。依据当前遍历到的垂直越权待访问数据流中的访问信息比如URL等发起访问比如访问如下URL:
https:// 192.168.1.1/iommas/view/v1/dynamic/listHes。
获取访问完成之后第二参考账户具有的权限认证信息。比较第二参考账户在发起上述访问的前后具有的权限认证信息是否发生变化,若第二参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息。比如最新权限认证信息为:
Secure;hospPortal=hospPortal;CASTGC=TGT-27-1-21345923FA0785se;nmssession=4500bad7-bb7e-44c7-93d7-6b12b80c1ce6。
之后,检查垂直越权权限表是否已被完全遍历,如果是,则意味着所有垂直越权待访问数据流均被遍历,则将第一垂直越权待检测数据流中的权限认证信息更新为上述最新权限认证信息,得到第二垂直越权待检测数据流,否则,将还未被遍历的垂直越权待访问数据流中权限认证信息更新为上述最新权限认证信息,继续遍历垂直越权待访问数据流,返回依据遍历到的垂直越权待访问数据流中的访问信息比如URL等发起访问的步骤。
与步骤202中描述的类似,需要说明的是,若依据遍历到的垂直权待访问数据流中的访问信息比如URL等发起访问后,第二参考账户在发起访问前后的权限认证信息未发生变化,则检查垂直越权权限表是否已被完全遍历,如果是,则意味着所有垂直越权待访问数据流均被遍历,则继续执行步骤403,否则,继续遍历垂直越权待访问数据流,返回依据遍历到的垂直越权待访问数据流中的访问信息比如URL等发起访问的步骤。
步骤403,通过访问第二垂直越权待检测数据流来检测目标账户是否存在垂直越权。
可选地,作为一个实施例,本步骤403中通过访问第二垂直越权待检测数据流检测目标账户是否存在垂直越权有很多实现方式,图5举例示出其中一种实现方式。这里暂不赘述。
通过图4所示流程实现了如何依据第二参考账户访问第一垂直越权待检测数据流时权限认证信息的变化,检测目标账户是否存在垂直越权。
下面对图5所示流程进行描述:
参见图5,图5为本申请实施例提供的步骤403流程图。如图5所示,该流程可包括以下步骤:
步骤501,依据第二垂直越权待检测数据流中的请求信息重新向被测站点发起请求得到该请求信息对应的最新响应信息。
比如,遍历第二垂直越权待检测数据流,依据遍历到的第二垂直越权待检测数据流中的请求信息重新向被测站点发起请求,比如针对该站点功能https:// 192.168.1.1/iommas/view/v1/dynamic/listHes的访问,最后会得到对应的响应信息。相比之前基于该请求信息向被测站点发起请求得到的响应信息,这里的响应信息可记为请求信息对应的最新响应信息。而第二数据流中已记录的之前基于该请求信息向被测站点发起请求得到的响应信息记为历史响应信息。
步骤502,依据请求信息对应的最新响应信息、以及第二数据流中与请求信息对应的历史响应信息,检测目标账户是否存在垂直越权。
可选地,在本实施例中,针对每一请求信息,若该请求信息对应的最新响应信息与第二数据流中与该请求信息对应的历史响应信息满足垂直越权条件,则确定所述目标账户存在垂直越权。这里,垂直越权条件是指最新响应信息中的响应状态码、返回长度值分别与历史响应信息中的响应状态码、返回长度值相等。
若各个请求信息对应的最新响应信息与第二数据流中与各个请求信息对应的历史响应信息均不满足垂直越权条件,则确定目标账户不存在垂直越权。
比如,针对包含如下URL的请求信息:
https:// 192.168.1.1/iommas/view/v1/dynamic/listHes,第二数据流中记录的该请求信息中的历史响应信息中的响应状态码为200,返回长度值为15786;该请求信息对应的最新响应信息中的响应状态码为200,返回长度值为15755,则发现最新响应信息和历史响应信息满足垂直越权条件,存在垂直越权漏洞。可选地,在本实施例中,通过请求信息对应的最新响应信息、以及第二数据流中与请求信息对应的历史响应信息中的响应状态码、返回长度值进行垂直越权漏洞的判断,可有效提升垂直越权检测精准度,降低垂直越权检测的误报率和漏报率。
至此,完成图5所示流程。
通过图5所示流程实现了如何通过访问第二垂直越权待检测数据流检测目标账户是否存在垂直越权。
下面对如何检测目标账户是否存在未授权访问进行描述:
参见图6,图6为本申请实施例提供的未授权访问检测流程图。如图6所示,该流程可包括:
步骤601,针对第三数据流中的每一请求信息,检查该请求信息对应的最新响应信息与目标账户数据流中已记录的与该请求信息对应的历史响应信息是否满足未授权访问漏洞条件,所述未授权访问漏洞条件是指所述最新响应信息中的响应状态码、返回长度值与所述历史响应信息中的响应状态码、返回长度值相等,如果是,执行步骤602,否则,执行步骤603。
步骤602,确定目标账户存在未授权访问的漏洞。
步骤603,确定目标账户未存在未授权访问的漏洞。
比如,针对包含如下URL的请求信息:
https:// 192.168.1.1/iommas/view/v1/dynamic/listHes,目标账户数据流中记录的该请求信息中的历史响应信息中的响应状态码为200,返回长度值为15786;若该请求信息对应的最新响应信息中的响应状态码为200,返回长度值为15755,可发现最新响应信息和历史响应信息满足未授权访问漏洞条件,存在未授权访问漏洞。当然,若该请求信息对应的最新响应信息中的响应状态码不为200,和/或返回长度值不为15755,则确定最新响应信息和历史响应信息不满足未授权访问漏洞条件,不存在未授权访问漏洞。
至此,完成图6所示流程。
通过图6所示流程实现了如何依据请求信息对应的最新响应信息、以及第三数据流中与请求信息对应的历史响应信息检测目标账户是否存在未授权访问。
以上对本申请实施例提供的方法进行了描述。下面对本申请实施例提供的装置进行描述:
参见图7,图7为本申请实施例提供的装置结构图。该方法应用于电子设备,包括:
获得单元,用于通过部署流量代理地址获得待进行越权检测的目标账户对应的目标账户数据流;所述目标账户数据流至少包括:通过访问所述目标账户登录至的被测站点上的至少一个站点功能得到的数据流;
生成单元,用于依据目标账户数据流分别生成第一数据流、第二数据流、第三数据流;所述第一数据流用于检测所述目标账户是否存在水平越权的数据流,所述第二数据流用于检测所述目标账户是否存在垂直越权的数据流,所述第三数据流用于检测所述目标账户是否存在未被授权访问的数据流;
自动登录单元,通过模拟人工登录方式控制第一参考账户自动登录至被测站点;以及,通过模拟人工登录方式控制第二参考账户自动登录被测站点;第一参考账户与目标账户在被测站点具有相同权限;第二参考账户在被测站点的权限低于目标账户在被测站点的权限;
检测单元,用于依据第一参考账户访问第一数据流时权限认证信息的变化,检测目标账户是否存在水平越权;以及,依据第二参考账户访问第二数据流时权限认证信息的变化,检测目标账户是否存在垂直越权;以及,
依据第三数据流中的请求信息重新向被测站点发起请求得到请求信息对应的最新响应信息,依据请求信息对应的最新响应信息、以及目标账户数据流中与请求信息对应的历史响应信息检测目标账户是否存在未被授权访问。
可选地,在本实施例中,所述流量代理地址是由所述电子设备在获得所述被测站点、所述目标账户登录至所述被测站点的登录信息、所述第一参考账户登录至所述被测站点的登录信息、以及所述第二参考账户登录至所述被测站点的登录信息之后动态提供的;
所述流量代理地址被配置在浏览器。
可选地,在本实施例中,所述生成单元依据所述目标账户数据流生成第一数据流包括:从所述目标账户数据流中选择出涉及指定站点功能被访问时得到的数据流,将选择出的数据流确定为第一数据流;所述指定站点功能在被请求时或响应时携带目标账户个人信息;和/或,
所述生成单元依据所述目标账户数据流生成第二数据流包括:将所述目标账户数据流中除所述第一数据流之外的所有数据流确定为所述第二数据流;和/或,
所述生成单元依据所述目标账户数据流生成第三数据流包括:将至少一个目标账户数据流中的目标账户权限认证信息去除,得到所述第三数据流。
可选地,在本实施例中,所述检测单元依据第一参考账户访问第一数据流时权限认证信息的变化,检测目标账户是否存在水平越权包括:
将第一数据流中所述目标账户的权限认证信息替换为第一参考账户在登录至被测站点时获得的权限认证信息,得到第一水平越权待检测数据流;
从第一水平越权待检测数据流中获得至少一条水平越权待访问数据流;水平越权待访问数据流中至少包含满足条件的目标站点功能的访问信息,所述条件是指目标账户在访问所述目标站点功能的前后具有的权限认证信息发生变化,所述访问信息为目标账户访问目标站点功能得到的数据流中的信息;
遍历水平越权待访问数据流,依据遍历到的水平越权待访问数据流中的访问信息发起访问,若所述第一参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息;
若水平越权待访问数据流均被遍历,则将所述第一水平越权待检测数据流中的权限认证信息更新为所述最新权限认证信息,得到第二水平越权待检测数据流,否则,将还未被遍历的水平越权待访问数据流中权限认证信息更新为所述最新权限认证信息;
通过访问所述第二水平越权待检测数据流来检测目标账户是否存在水平越权。
可选地,在本实施例中,所述检测单元通过访问所述第二水平越权待检测数据流来检测目标账户是否存在水平越权包括:
依据第二水平越权待检测数据流中的请求信息重新向被测站点发起请求得到该请求信息对应的最新响应信息;
依据所述请求信息对应的最新响应信息、以及所述第一数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在水平越权。
可选地,在本实施例中,所述检测单元依据所述请求信息对应的最新响应信息、以及所述第一数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在水平越权包括:
针对每一请求信息,若该请求信息对应的最新响应信息与所述第一数据流中与所述请求信息对应的历史响应信息满足水平越权条件,则确定所述目标账户存在水平越权;所述水平越权条件是指所述最新响应信息中的响应状态码、响应内容特征值分别与所述历史响应信息中的响应状态码、响应内容特征值相等,但所述最新响应信息中的返回长度值与所述历史响应信息中的返回长度值不等;
若各个请求信息对应的最新响应信息与所述第一数据流中与各个请求信息对应的历史响应信息不满足水平越权条件,则确定所述目标账户不存在水平越权。
可选地,在本实施例中,所述检测单元依据第二参考账户访问第二数据流时权限认证信息的变化,检测目标账户是否存在垂直越权包括:
将第二数据流中目标账户的权限认证信息替换为第二参考账户在登录至被测站点时获得的权限认证信息,得到第一垂直越权待检测数据流;
从第一垂直越权待检测数据流中获得至少一条垂直越权待访问数据流;所述垂直越权待访问数据流中至少包含满足条件的目标站点功能的访问信息,所述条件是指所述目标账户在访问所述目标站点功能的前后具有的权限认证信息发生变化,所述访问信息为所述目标账户访问所述目标站点功能得到的数据流中的信息;
遍历垂直越权待访问数据流,依据遍历到的垂直越权待访问数据流中的访问信息发起访问,若所述第二参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息;
若垂直越权待访问数据流均被遍历,则将所述第一垂直越权待检测数据流中的权限认证信息更新为所述最新权限认证信息,得到第二垂直越权待检测数据流,否则,将还未被遍历的垂直越权待访问数据流中权限认证信息更新为所述最新权限认证信息;
通过访问所述第二垂直越权待检测数据流来检测目标账户是否存在垂直越权。
可选地,在本实施例中,所述检测单元通过访问所述第二垂直越权待检测数据流来检测目标账户是否存在垂直越权包括:
依据第二垂直越权待检测数据流中的请求信息重新向被测站点发起请求得到该请求信息对应的最新响应信息;
依据所述请求信息对应的最新响应信息、以及所述第二数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在垂直越权。
可选地,在本实施例中,所述检测单元依据所述请求信息对应的最新响应信息、以及所述第二数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在垂直越权包括:
针对每一请求信息,若该请求信息对应的最新响应信息与所述第二数据流中与所述请求信息对应的历史响应信息满足垂直越权条件,则确定所述目标账户存在垂直越权;所述垂直越权条件是指所述最新响应信息中的响应状态码、返回长度值分别与所述历史响应信息中的响应状态码、返回长度值相等;
若各个请求信息对应的最新响应信息与所述第二数据流中与各个请求信息对应的历史响应信息不满足垂直越权条件,则确定所述目标账户不存在垂直越权。
可选地,在本实施例中,所述检测单元依据请求信息对应的最新响应信息、以及第三数据流中与请求信息对应的历史响应信息检测目标账户是否存在未授权访问包括:
针对第三数据流中的每一请求信息,检查该请求信息对应的最新响应信息与目标账户数据流中已记录的与该请求信息对应的历史响应信息是否满足未授权访问漏洞条件,所述未授权访问漏洞条件是指所述最新响应信息中的响应状态码、返回长度值与所述历史响应信息中的响应状态码、返回长度值相等,如果是,确定所述目标账户存在未授权访问的漏洞,否则,确定所述目标账户未存在未授权访问的漏洞。
至此,完成图7所示装置的结构描述。
本申请实施例还提供了图7所示装置的硬件结构。参见图8,图8为本申请实施例提供的电子设备结构图。如图8所示,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (11)

1.一种基于权限动态更新机制的越权检测方法,其特征在于,该方法应用于电子设备,包括:
通过部署流量代理地址获得待进行越权检测的目标账户对应的目标账户数据流;所述目标账户数据流至少包括:通过访问所述目标账户登录至的被测站点上的至少一个站点功能得到的数据流;
依据目标账户数据流分别生成第一数据流、第二数据流、第三数据流;所述第一数据流用于检测所述目标账户是否存在水平越权的数据流,所述第二数据流用于检测所述目标账户是否存在垂直越权的数据流,所述第三数据流用于检测所述目标账户是否存在未被授权访问的数据流;
通过模拟人工登录方式控制第一参考账户自动登录至被测站点,依据第一参考账户访问第一数据流时权限认证信息的变化,检测目标账户是否存在水平越权;第一参考账户与目标账户在被测站点具有相同权限;
通过模拟人工登录方式控制第二参考账户自动登录被测站点,依据第二参考账户访问第二数据流时权限认证信息的变化,检测目标账户是否存在垂直越权;第二参考账户在被测站点的权限低于目标账户在被测站点的权限;
依据第三数据流中的请求信息重新向被测站点发起请求得到请求信息对应的最新响应信息,依据请求信息对应的最新响应信息、以及目标账户数据流中与请求信息对应的历史响应信息检测目标账户是否存在未被授权访问。
2.根据权利要求1所述的方法,其特征在于,所述流量代理地址是由所述电子设备在获得所述被测站点、所述目标账户登录至所述被测站点的登录信息、所述第一参考账户登录至所述被测站点的登录信息、以及所述第二参考账户登录至所述被测站点的登录信息之后动态提供的;
所述流量代理地址被配置在浏览器。
3.根据权利要求1所述的方法,其特征在于,所述依据所述目标账户数据流生成第一数据流包括:从所述目标账户数据流中选择出涉及指定站点功能被访问时得到的数据流,将选择出的数据流确定为第一数据流;所述指定站点功能在被请求时或响应时携带目标账户个人信息;和/或,
所述依据所述目标账户数据流生成第二数据流包括:将所述目标账户数据流中除所述第一数据流之外的所有数据流确定为所述第二数据流;和/或,
所述依据所述目标账户数据流生成第三数据流包括:将至少一个目标账户数据流中的目标账户权限认证信息去除,得到所述第三数据流。
4.根据权利要求1或3所述的方法,其特征在于,所述依据第一参考账户访问第一数据流时权限认证信息的变化,检测目标账户是否存在水平越权包括:
将第一数据流中所述目标账户的权限认证信息替换为第一参考账户在登录至被测站点时获得的权限认证信息,得到第一水平越权待检测数据流;
从第一水平越权待检测数据流中获得至少一条水平越权待访问数据流;水平越权待访问数据流中至少包含满足条件的目标站点功能的访问信息,所述条件是指目标账户在访问所述目标站点功能的前后具有的权限认证信息发生变化,所述访问信息为目标账户访问目标站点功能得到的数据流中的信息;
遍历水平越权待访问数据流,依据遍历到的水平越权待访问数据流中的访问信息发起访问,若所述第一参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息;
若水平越权待访问数据流均被遍历,则将所述第一水平越权待检测数据流中的权限认证信息更新为所述最新权限认证信息,得到第二水平越权待检测数据流,否则,将还未被遍历的水平越权待访问数据流中权限认证信息更新为所述最新权限认证信息;
通过访问所述第二水平越权待检测数据流来检测目标账户是否存在水平越权。
5.根据权利要求4所述的方法,其特征在于,所述通过访问所述第二水平越权待检测数据流来检测目标账户是否存在水平越权包括:
依据第二水平越权待检测数据流中的请求信息重新向被测站点发起请求得到该请求信息对应的最新响应信息;
依据所述请求信息对应的最新响应信息、以及所述第一数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在水平越权。
6.根据权利要求5所述的方法,其特征在于,依据所述请求信息对应的最新响应信息、以及所述第一数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在水平越权包括:
针对每一请求信息,若该请求信息对应的最新响应信息与所述第一数据流中与所述请求信息对应的历史响应信息满足水平越权条件,则确定所述目标账户存在水平越权;所述水平越权条件是指所述最新响应信息中的响应状态码、响应内容特征值分别与所述历史响应信息中的响应状态码、响应内容特征值相等,但所述最新响应信息中的返回长度值与所述历史响应信息中的返回长度值不等;
若各个请求信息对应的最新响应信息与所述第一数据流中与各个请求信息对应的历史响应信息不满足水平越权条件,则确定所述目标账户不存在水平越权。
7.根据权利要求1或3所述的方法,其特征在于,所述依据第二参考账户访问第二数据流时权限认证信息的变化,检测目标账户是否存在垂直越权包括:
将第二数据流中目标账户的权限认证信息替换为第二参考账户在登录至被测站点时获得的权限认证信息,得到第一垂直越权待检测数据流;
从第一垂直越权待检测数据流中获得至少一条垂直越权待访问数据流;所述垂直越权待访问数据流中至少包含满足条件的目标站点功能的访问信息,所述条件是指所述目标账户在访问所述目标站点功能的前后具有的权限认证信息发生变化,所述访问信息为所述目标账户访问所述目标站点功能得到的数据流中的信息;
遍历垂直越权待访问数据流,依据遍历到的垂直越权待访问数据流中的访问信息发起访问,若所述第二参考账户在发起访问前后的权限认证信息发生变化,则获得最新权限认证信息;
若垂直越权待访问数据流均被遍历,则将所述第一垂直越权待检测数据流中的权限认证信息更新为所述最新权限认证信息,得到第二垂直越权待检测数据流,否则,将还未被遍历的垂直越权待访问数据流中权限认证信息更新为所述最新权限认证信息;
通过访问所述第二垂直越权待检测数据流来检测目标账户是否存在垂直越权。
8.根据权利要求7所述的方法,其特征在于,所述通过访问所述第二垂直越权待检测数据流来检测目标账户是否存在垂直越权包括:
依据第二垂直越权待检测数据流中的请求信息重新向被测站点发起请求得到该请求信息对应的最新响应信息;
依据所述请求信息对应的最新响应信息、以及所述第二数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在垂直越权。
9.根据权利要求8所述的方法,其特征在于,依据所述请求信息对应的最新响应信息、以及所述第二数据流中与所述请求信息对应的历史响应信息,检测目标账户是否存在垂直越权包括:
针对每一请求信息,若该请求信息对应的最新响应信息与所述第二数据流中与所述请求信息对应的历史响应信息满足垂直越权条件,则确定所述目标账户存在垂直越权;所述垂直越权条件是指所述最新响应信息中的响应状态码、返回长度值分别与所述历史响应信息中的响应状态码、返回长度值相等;
若各个请求信息对应的最新响应信息与所述第二数据流中与各个请求信息对应的历史响应信息不满足垂直越权条件,则确定所述目标账户不存在垂直越权。
10.根据权利要求1或3所述的方法,其特征在于,所述依据请求信息对应的最新响应信息、以及第三数据流中与请求信息对应的历史响应信息检测目标账户是否存在未授权访问包括:
针对第三数据流中的每一请求信息,检查该请求信息对应的最新响应信息与目标账户数据流中已记录的与该请求信息对应的历史响应信息是否满足未授权访问漏洞条件,所述未授权访问漏洞条件是指所述最新响应信息中的响应状态码、返回长度值与所述历史响应信息中的响应状态码、返回长度值相等,如果是,确定所述目标账户存在未授权访问的漏洞,否则,确定所述目标账户未存在未授权访问的漏洞。
11.一种电子设备,其特征在于,该电子设备包括:处理器和机器可读存储介质;
所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
所述处理器用于执行机器可执行指令,以实现权利要求1-10任一项的方法步骤。
CN202111568674.8A 2021-12-21 2021-12-21 基于权限动态更新机制的越权检测方法及装置 Active CN113961940B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111568674.8A CN113961940B (zh) 2021-12-21 2021-12-21 基于权限动态更新机制的越权检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111568674.8A CN113961940B (zh) 2021-12-21 2021-12-21 基于权限动态更新机制的越权检测方法及装置

Publications (2)

Publication Number Publication Date
CN113961940A true CN113961940A (zh) 2022-01-21
CN113961940B CN113961940B (zh) 2022-03-25

Family

ID=79473441

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111568674.8A Active CN113961940B (zh) 2021-12-21 2021-12-21 基于权限动态更新机制的越权检测方法及装置

Country Status (1)

Country Link
CN (1) CN113961940B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116432190A (zh) * 2023-06-15 2023-07-14 杭州美创科技股份有限公司 接口未授权访问检测方法、装置、计算机设备及存储介质
CN116502202A (zh) * 2023-06-25 2023-07-28 深圳开源互联网安全技术有限公司 基于nlp技术判断用户权限模型一致性的方法及装置
CN117807575A (zh) * 2024-01-02 2024-04-02 广州优加市场调研有限公司 一种基于云计算的访员管理方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9300671B1 (en) * 2013-12-30 2016-03-29 Ca, Inc. Shared access with account restriction and promotion utilizing virtual accounts
CN108833365A (zh) * 2018-05-24 2018-11-16 杭州默安科技有限公司 一种基于流量的业务逻辑漏洞检测方法及其系统
US20190090133A1 (en) * 2016-08-29 2019-03-21 Tencent Technology (Shenzhen) Company Limited Authentication method and server, and computer storage medium
CN111209565A (zh) * 2020-01-08 2020-05-29 招商银行股份有限公司 水平越权漏洞检测方法、设备及计算机可读存储介质
CN111414614A (zh) * 2020-03-20 2020-07-14 上海中通吉网络技术有限公司 越权检测方法和辅助装置
CN111416811A (zh) * 2020-03-16 2020-07-14 携程旅游信息技术(上海)有限公司 越权漏洞检测方法、系统、设备及存储介质
CN112115475A (zh) * 2020-08-05 2020-12-22 杭州数梦工场科技有限公司 越权漏洞的检测方法、装置、存储介质及计算机设备
CN113779585A (zh) * 2021-01-04 2021-12-10 北京沃东天骏信息技术有限公司 越权漏洞检测方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9300671B1 (en) * 2013-12-30 2016-03-29 Ca, Inc. Shared access with account restriction and promotion utilizing virtual accounts
US20190090133A1 (en) * 2016-08-29 2019-03-21 Tencent Technology (Shenzhen) Company Limited Authentication method and server, and computer storage medium
CN108833365A (zh) * 2018-05-24 2018-11-16 杭州默安科技有限公司 一种基于流量的业务逻辑漏洞检测方法及其系统
CN111209565A (zh) * 2020-01-08 2020-05-29 招商银行股份有限公司 水平越权漏洞检测方法、设备及计算机可读存储介质
CN111416811A (zh) * 2020-03-16 2020-07-14 携程旅游信息技术(上海)有限公司 越权漏洞检测方法、系统、设备及存储介质
CN111414614A (zh) * 2020-03-20 2020-07-14 上海中通吉网络技术有限公司 越权检测方法和辅助装置
CN112115475A (zh) * 2020-08-05 2020-12-22 杭州数梦工场科技有限公司 越权漏洞的检测方法、装置、存储介质及计算机设备
CN113779585A (zh) * 2021-01-04 2021-12-10 北京沃东天骏信息技术有限公司 越权漏洞检测方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116432190A (zh) * 2023-06-15 2023-07-14 杭州美创科技股份有限公司 接口未授权访问检测方法、装置、计算机设备及存储介质
CN116432190B (zh) * 2023-06-15 2023-09-08 杭州美创科技股份有限公司 接口未授权访问检测方法、装置、计算机设备及存储介质
CN116502202A (zh) * 2023-06-25 2023-07-28 深圳开源互联网安全技术有限公司 基于nlp技术判断用户权限模型一致性的方法及装置
CN117807575A (zh) * 2024-01-02 2024-04-02 广州优加市场调研有限公司 一种基于云计算的访员管理方法及系统

Also Published As

Publication number Publication date
CN113961940B (zh) 2022-03-25

Similar Documents

Publication Publication Date Title
CN113961940B (zh) 基于权限动态更新机制的越权检测方法及装置
EP3854047B1 (en) Supervised learning system for identity compromise risk computation
CN108268354B (zh) 数据安全监控方法、后台服务器、终端及系统
CN107211016B (zh) 会话安全划分和应用程序剖析器
EP3511821A1 (en) Method and system for managing access to artifacts in a cloud computing environment
US20160092297A1 (en) API Gateway System and Method
CN111191226B (zh) 利用提权漏洞的程序的确定方法、装置、设备及存储介质
CN111416811A (zh) 越权漏洞检测方法、系统、设备及存储介质
CN113542214B (zh) 一种访问控制方法、装置、设备及机器可读存储介质
CN110324338A (zh) 数据交互方法、装置、堡垒机与计算机可读存储介质
CN111737752B (zh) 监控数据访问控制方法、装置及设备、存储介质
US11816249B2 (en) System and method for dynamic management of private data
US11444970B2 (en) Dynamic security test system
CN110968760A (zh) 网页数据的爬取方法、装置、网页登录方法及装置
CN113411333A (zh) 一种越权访问漏洞检测方法、装置、系统和存储介质
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
US9268917B1 (en) Method and system for managing identity changes to shared accounts
CN110049004A (zh) 工控环境流量白名单基线的生成方法
CN111241547B (zh) 一种越权漏洞的检测方法、装置及系统
CN111885088A (zh) 基于区块链的日志监测方法及装置
CN114006735B (zh) 一种数据保护方法、装置、计算机设备和存储介质
KR101591639B1 (ko) 패스워드의 요청 권한을 검증하는 방법 및 장치, 그리고 이를 적용한 컴퓨터로 읽을 수 있는 기록매체
CN114756530B (zh) 一种基于堡垒机的客户端信息处理方法
US20230135186A1 (en) Abnormal cross authorization detection systems
CN115189938A (zh) 一种业务安全防护方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant