CN114491518A - 一种越权访问的检测方法、装置、系统及介质 - Google Patents
一种越权访问的检测方法、装置、系统及介质 Download PDFInfo
- Publication number
- CN114491518A CN114491518A CN202210102347.1A CN202210102347A CN114491518A CN 114491518 A CN114491518 A CN 114491518A CN 202210102347 A CN202210102347 A CN 202210102347A CN 114491518 A CN114491518 A CN 114491518A
- Authority
- CN
- China
- Prior art keywords
- plug
- access request
- client
- request
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明实施例公开了一种越权访问的检测方法、装置、系统及介质。所述方法包括:若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎使基于所述核心插件同步的检测规则进行分析的。本技术方案,能够为开发人员提供明确的漏洞处置指导,提高越权访问检出率和准确率,有效降低误报。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种越权访问的检测方法、装置、系统及介质。
背景技术
随着计算机技术的发展,互联网在给人们生活带来便利的同时,也潜伏着很多安全风险。网络战争必将是未来战争的主战场。越权访问是一种常见的漏洞,具有存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
在现有技术中,主要是构造出不同的账户身份,对同一操作发起请求,通过对响应报文的对比判定是否存在水平越权漏洞。
但是,在大数据时代,每个用户的看到的信息本有所不同,比如不同用户应用首页展示的商品不同。通过响应报文比对的方式,很容易造成误报。而且该检测方式面向的是安全测试人员,得到结果具有一定的专业性,开发人员无法直接使用检测结果。
发明内容
本发明提供了一种越权访问的检测方法、装置、系统及介质,能够为开发人员提供明确的漏洞处置指导,提高越权访问检出率和准确率,有效降低误报。
根据本发明的一方面,提供了一种越权访问的检测方法,所述方法由越权检测系统执行,所述系统包括客户端插件、核心插件以及节点插件,所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;所述方法包括:
若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;
在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎是基于所述核心插件同步的检测规则进行分析的。
可选的,所述方法还包括:
若在服务器存在本端发起访问请求或者中转访问请求,则通过节点插件对所述本端发起访问请求或者中转访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。
可选的,在通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示之后,所述方法还包括:
通过第一日志文件对所述访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;以及,
通过第二日志文件对所述访问请求的风险告知信息进行记录。
可选的,所述方法还包括:
将所述第二日志文件同步至核心插件,以供所述越权检测系统服务端对所述第二日志文件进行存储。
可选的,所述打标的标签内容包括是否前端上送参数以及参数属性;
所述是否前端上送参数包括3个参数值,分别为前端上送、前端上送且需中转以及非前端上送;
所述参数属性包括2个参数值,分别为用户属性和公共属性。
可选的,在通过客户端插件对所述访问请求的请求参数进行打标之后,所述方法还包括:
基于访问请求的请求参数以及打标的标签内容,对所述访问请求进行变形,得到Json格式的访问请求字符串。
可选的,所述核心插件包括Privilege.xml文件,所述Privilege.xml文件用于记录所有接口的权限;
所述核心插件用于基于所述Privilege.xml文件中记录的所有接口的权限确定风险告知信息的。
根据本发明的另一方面,提供了一种越权访问的检测装置,所述装置配置于越权检测系统,所述系统包括客户端插件、核心插件以及节点插件,所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;所述装置包括:
访问请求打标模块,用于若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;
参数和内容获取模块,用于在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
风险提示模块,用于通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎使基于所述核心插件同步的检测规则进行分析的。
根据本发明的另一方面,提供了一种越权检测系统,所述系统包括客户端插件、核心插件以及节点插件;所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;其中:
所述核心插件,用于向所述客户端插件同步,以确定打标的标签内容;以及,用于向节点插件的风险检测引擎同步的检测规则,以供所述风险检测引擎进行分析;
所述客户端插件,用于若检测到客户端存在访问请求,则对所述访问请求的请求参数进行打标;
所述节点插件,用于在客户端将访问请求发送至服务器之后,对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
所述节点插件,还用于通过风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的越权访问的检测方法。
本发明实施例的技术方案,通过若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎使基于所述核心插件同步的检测规则进行分析的。本技术方案,能够为开发人员提供明确的漏洞处置指导,提高越权访问检出率和准确率,有效降低误报。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种越权访问的检测方法的流程图;
图2是根据本发明实施例一提供的一种越权访问的检测方法的基本框架图;
图3是根据本发明实施例二提供的一种越权访问的检测方法的流程图;
图4是根据本发明实施例三提供的一种越权访问的检测装置的结构示意图;
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种越权访问的检测方法的流程图,本实施例可适用于对越权访问进行检测的情况,该方法可以由越权访问的检测装置来执行,该越权访问的检测装置可以采用硬件和/或软件的形式实现,该越权访问的检测装置可配置于越权检测系统中。如图1所示,该方法包括:
S110、若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。
本实施例的技术方案可以由越权检测系统执行,系统包括客户端插件(ClientModule,简称CM)、核心插件(KernalModule,简称KM)以及节点插件(NodeModule,简称NM),客户端插件CM安装于客户端,节点插件NM安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端。本实施例的技术方案基于水平越权漏洞的原理,通过客户端和服务端的插件对系统的所有请求进行自动打标,标识出请求的用户属性,然后结合风险检测规则,为开发人员提供明确的漏洞处置指导,提高水平越权检出率和准确率,有效降低误报。此外,本实施例的技术方案实现需要依赖于清楚了解到系统有多少个接口,接口的参数等信息。
本实施例的技术方案的基本框架如图2所示,前端客户端插件CM对拦截的用户请求进行变形,为请求参数添加TYPE和PRIV属性,并发送到服务端。服务端的节点插件NM在接收到客户端插件CM变形后的请求后,利用风险检测引擎,对请求进行风险检测,并将检测结果保存到本地。核心插件KM通过与客户端插件CM和节点插件NM通信,更新检测规则、收集检测结果。用户可以通过访问核心插件KM获取全局的水平越权风险。
其中,访问请求可以是用户发起的访问请求。客户端插件CM安装于客户端,主要功能为封装HTTP请求和发送请求。示例性地,本实施例中的客户端插件CM以浏览器插件的形式安装在浏览器中。所有通过浏览器发出的请求,都可以设置为经过客户端插件CM,客户端插件CM会执行请求参数打标、变形以及发送等动作;所有经过客户端插件CM的响应报文,均会执行报文解析动作。封装请求可以包括请求参数打标、请求报文变形的能力。其中,打标的标签内容是基于核心插件同步的配置文件确定的。请求报文变形可以是对请求报文的形式的改变,通过改变可以便于其他插件更容易读取和解析报文中的业务内容和标签内容。客户端插件CM的发送请求的功能是以客户端插件CM为代理将变形后的请求,发送到服务端。
本实施例中的请求参数进行打标可以是在请求参数中加入“是否前端上送参数”(TYPE)、“参数属性”(PRIV)两个标签。是否前端上送参数TYPE可以有3个属性,包括:client、client-node以及self。其中,client代表此参数从前端上送,凡是所有经过插件CM的请求,参数均会被打上“TYPE=client”的标签;client-node代表此参数从前端上送,且被作为发起接口级请求的参数;self代表此参数服务端获取的,并非前端上送。
参数属性PRIV(全称Privilege)可以有2个属性,包括:personal和public。personal代表此参数值为用户属性;public代表此参数值为公共属性。客户端插件CM可以根据本地的核心插件KM同步的Privilege.xml配置文件进行打标。请求体中,参数的PRIV值继承对应接口的PRIV值。
本实施例中核心插件KM可以负责配置文件同步、检测规则同步、检测结果收集、日志记录。可部署在独立的服务器上。通过指定的端口与CM和NM通信,实现各项同步工作。其中,配置文件存在Privilege.xml文件中,支持用户自定义。“personal”代表{}中的资源均为私有的,具有用户属性特征。“public”代表{}中的资源为公共的,不具有用户属性特征。当本地Privilege.xml等配置文件发生变更时,及时将变更内容推送到客户端插件CM和节点插件NM。
本实施例中越权检测系统若是检测到客户端存在用户发送的访问请求,则通过客户端插件CM对访问请求的请求参数进行打标,为请求参数添加是否前端上送参数TYPE和参数属性PRIV,并发送到服务器。
S120、在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理。
其中,节点插件NM可以安装于服务器。本实施例中节点插件NM的主要功能可以包括:封装请求、风险检测引擎、日志记录以及解析请求。其中,解析请求可以是将接收到的请求解析为原有的请求格式,去掉TYPE、PRIV参数。示例性地,接受到的请求:
{
”name”:
{“VALUE”:”beijing”,”TYPE”:”client”,“PRIV”:”personal”}
}
解析还原后请求:
name=beijing
本实施例中在客户端将访问请求发送到服务器之后,通过节点插件NM对访问请求进行解析,从而获取请求参数和打标的标签内容。请求参数可以用于供所述服务器进行业务处理。
S130、通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎是基于所述核心插件同步的检测规则进行分析的。
其中,风险检测引擎是基于核心插件同步的检测规则而实现的。风险告知信息可以包括标签内容的风险级别。风险提示可以是节点插件给出的是否存在越权风险提示信息。
示例性地,本实施例中越权检测系统通过节点插件的风险检测引擎基于检测规则,对收集的日志中打标的标签内容进行分析,得到风险告知信息,并进行风险提示,并保存在日志中。风险检测规则存放在rules.conf下,由核心插件KM定时同步更新。例如,基于目前的风险规则进行水平越权风险检测,当请求A命中rule-2时,节点插件NM给出风险提示“请求A命中rule2;风险为High;存在水平越权风险”。当命中多条规则时,节点插件NM则给出多条风险提示。
本实施例中风险检测规则存放在Rules.conf下,可以支持用户自定义,每条规则由一组完整的<rules></rules>标签组成。<name>代表该条规则的重定义名称;<rule>代表这条规则的校验逻辑;<security>代表命中该条规则的风险,包括High、Medium、Low以及Info 4个级别组成;<message>代表命中该条规则时,给出的用户提示信息,可以支持用户自定义。
示例性地,Rules.conf如下所示:
<rules>
<name>rule-1</name>
<rule>PRIV=”personal”and TYPE=”client-node”</rule>
<security>Medium</security>
<message>存在水平越权风险</message>
</rules>
<rules>
<name>rule-2</name>
<rule>PRIV=”personal”and TYPE=”client”</rule>
<security>High</security>
<message>存在水平越权风险</message>
</rules>
本发明实施例的技术方案,通过若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎使基于所述核心插件同步的检测规则进行分析的。本技术方案,能够为开发人员提供明确的漏洞处置指导,提高越权访问检出率和准确率,有效降低误报。
在本实施例中,可选的,在通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示之后,所述方法还包括:若在服务器存在本端发起访问请求或者中转访问请求,则通过节点插件对所述本端发起访问请求或者中转访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。
其中,本端发起访问请求可以理解为纯后端发起的访问请求;该访问请求中的请求参数可以为服务器获取的。中转访问请求可以理解为从前端过来,经过服务端,再往后发的访问请求;该访问请求中的所有接受到的请求、参数,若需要可以继续作为其他接口的参数。
本实施例中节点插件NM可以根据需求选择性使用,可以安装于服务器。节点插件NM的封装请求功能与客户端插件CM相同,封装请求包括打标、变形、发送等能力。其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。示例性地,本实施例中若在服务器存在本端发起访问请求或者中转访问请求,则通过节点插件NM对本端发起访问请求或者中转访问请求的请求参数进行打标;如果所有接受到的请求、参数,若需要继续作为其他接口的参数,则将请求参数中的TYPE修改为“client-node”,其他属性不变;若请求参数为服务端获取的,则将TYPE置为“self”,其他属性不变。
本方案通过这样的设置,通过客户端和服务端的插件对系统的所有请求进行自动打标,标识出请求的用户属性,更加便于结合风险检测规则进行检测。
实施例二
图3为本发明实施例二提供的一种越权访问的检测方法的流程图,本实施例以上述实施例为基础进行优化。具体优化为:在通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示之后,所述方法还包括:通过第一日志文件对所述访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;以及,通过第二日志文件对所述访问请求的风险告知信息进行记录。
如图3所示,本实施例的方法具体包括如下步骤:
S310、若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。
S320、在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理。
S330、通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎是基于所述核心插件同步的检测规则进行分析的。
S340、通过第一日志文件对所述访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;以及,通过第二日志文件对所述访问请求的风险告知信息进行记录。
其中,第一日志可以是节点插件NM的Message.log日志,可以对访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;第二日志可以是节点插件NM的Security.log日志,可以对访问请求的风险告知信息进行记录。
本实施例中的节点插件NM的日志记录功能包括两类,Message.log日志,用来记录节点插件NM收到的、发出的所有请求信息和时间;Security.log用来记录节点插件NM风险检测引擎给出的风险提示。
本发明实施例的技术方案,通过若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;通过第一日志文件对所述访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;以及,通过第二日志文件对所述访问请求的风险告知信息进行记录。本技术方案基于对水平越权漏洞形成原理的分析,借助HTTP通信原理,形成可面向所有用户使用的水平越权检测框架。通过此框架开发人员可轻松定位可能存在水平越权风险的接口,并针对性的进行处置,从而规避风险。
在本实施例中,可选的,所述方法还包括:将所述第二日志文件同步至核心插件,以供所述越权检测系统服务端对所述第二日志文件进行存储。
其中,第二日志可以是节点插件NM的Security.log日志,可以对访问请求的风险告知信息进行记录。本实施例中节点插件NM的Security.log日志文件步至核心插件KM,以供越权检测系统服务端对所述第二日志文件进行存储。
本实施例中的核心插件KM的检测结果收集的功能是将各个节点插件NM中Security.log的风险提示信息同步到核心插件KM,并保存在Security.log中。此外,核心插件KM的日志包括Synch.log。Synch.log用来记录核心插件KM与客户端插件CM和节点插件NM通讯的日志。
本方案通过这样的设置,通过节点插件的日志信息同步至核心插件,便于同步更新并及时存储。
在本实施例中,可选的,所述打标的标签内容包括是否前端上送参数以及参数属性;所述是否前端上送参数包括3个参数值,分别为前端上送、前端上送且需中转以及非前端上送;所述参数属性包括2个参数值,分别为用户属性和公共属性。
其中,本实施例中打标的标签内容可以包括“是否前端上送参数”(TYPE)、“参数属性”(PRIV)两个标签。是否前端上送参数TYPE可以包括3个参数值:client、client-node以及self。其中,client代表此参数从前端上送,凡是所有经过插件CM的请求,参数均会被打上“TYPE=client”的标签,可以理解为代表参数从客户端上送;client-node代表此参数从前端上送且需中转,可以理解为有些访问请求会通过前端发给中间服务端,通过中间服务端重新拼接后发给后端;self代表此参数服务端获取的非前端上送,可以理解为表示后端先返回到前端,前端又发送给服务端的。本实施中的由于前端上送是不可信的,所以要标识出来,打上“TYPE=client”的标签;后端上送标识可信的。
本实施中参数属性PRIV可以包括2个参数值,分别为用户属性和公共属性,可以用personal和public表示。可以理解为personal代表此参数值为用户属性;public代表此参数值为公共属性。用户属性是比较敏感的,容易出现漏洞;例如被其他用户查看或者删除。本实施例中客户端插件CM可以根据本地的核心插件KM同步的Privilege.xml配置文件进行打标,其中包含接口信息。请求体中,参数的PRIV值继承对应接口的PRIV值。
本方案通过这样的设置,可以通过客户端和服务端的插件对系统的所有请求进行自动打标,标识出请求的用户属性,进一步提高了水平越权检出率和准确率。
在本实施例中,可选的,在通过客户端插件对所述访问请求的请求参数进行打标之后,所述方法还包括:基于访问请求的请求参数以及打标的标签内容,对所述访问请求进行变形,得到Json格式的访问请求字符串。
其中,变形可以是将请求参数格式化和标准化,变形为json格式的字符串。本实施例中的客户端插件CM的封装请求中的请求报文变形功能可以基于访问请求的请求参数以及打标的标签内容,对访问请求的请求参数格式化和标准化变形,得到Json格式的访问请求字符串。
本实施例中在通过客户端插件对所述访问请求的请求参数进行打标之后,请求参数除了参数值value之外,还会有TYPE、PRIV,因此通过变形将请求参数格式化、标准化,变形为json格式的字符串。示例如下:
原请求参数:name=beijing
经过客户端插件CM打标、变形后:
{
”name”:
{“VALUE”:”beijing”,”TYPE”:”client”,“PRIV”:”personal”}
}
本方案通过这样的设置,通过对访问请求进行变形,可以便于其他插件更容易读取和解析报文中的业务内容和标签内容。
在本实施例中,可选的,所述核心插件包括Privilege.xml文件,所述Privilege.xml文件用于记录所有接口的权限;所述核心插件用于基于所述Privilege.xml文件中记录的所有接口的权限确定风险告知信息的。
其中,所有接口可以是当前系统的所有接口信息,可以包括接口的参数信息。本实施例中的核心插件KM配置文件存在Privilege.xml文件中,可以支持用户自定义。核心插件KM基于Privilege.xml文件中记录的所有接口的权限确定风险告知信息的。Privilege.xml文件中记录了应用所有接口的权限;示例性地,文件内容如下:
#personal#
{
接口1,#查询订单
接口2,#支付
接口3
}
#public#
{
接口a,#查看公告
接口b
}
本方案通过这样的设置,核心插件KM通过基于配置文件中记录的所有接口信息权限确定风险告知信息,可以为开发人员提供明确的漏洞处置指导,而且本技术方案可扩展性强,通过自定义配置rules.xml文件和Privilege.xml文件,能够增加对其他业务逻辑漏洞的检测能力。
实施例三
图4为本发明实施例三提供的一种越权访问的检测装置的结构示意图。所述装置配置于越权检测系统,所述系统包括客户端插件、核心插件以及节点插件,所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;如图4所示,该装置包括:
访问请求打标模块410,用于若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;
参数和内容获取模块420,用于在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
风险提示模块430,用于通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎使基于所述核心插件同步的检测规则进行分析的。
可选的,所述装置还包括:本端和中转请求打标模块,用于:
若在服务器存在本端发起访问请求或者中转访问请求,则通过节点插件对所述本端发起访问请求或者中转访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。
可选的,所述装置还包括:日志记录模块,用于:
在通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示之后,通过第一日志文件对所述访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;以及,通过第二日志文件对所述访问请求的风险告知信息进行记录。
可选的,所述装置还包括:日志同步模块,用于:
将所述第二日志文件同步至核心插件,以供所述越权检测系统服务端对所述第二日志文件进行存储。
可选的,所述打标的标签内容包括是否前端上送参数以及参数属性;所述是否前端上送参数包括3个参数值,分别为前端上送、前端上送且需中转以及非前端上送;所述参数属性包括2个参数值,分别为用户属性和公共属性。
可选的,所述装置还包括:访问请求变形模块,用于:
在通过客户端插件对所述访问请求的请求参数进行打标之后,基于访问请求的请求参数以及打标的标签内容,对所述访问请求进行变形,得到Json格式的访问请求字符串。
可选的,所述核心插件包括Privilege.xml文件,所述Privilege.xml文件用于记录所有接口的权限;所述核心插件用于基于所述Privilege.xml文件中记录的所有接口的权限确定风险告知信息的。
本发明实施例所提供的一种越权访问的检测装置可执行本发明任意实施例所提供的一种越权访问的检测方法,具备执行方法相应的功能模块和有益效果。
实施例四
本发明实施例四还提供一种越权检测系统,所述一种越权检测系统用于执行一种越权访问的检测方法,所述系统包括客户端插件、核心插件以及节点插件;所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;其中:所述核心插件,用于向所述客户端插件同步,以确定打标的标签内容;以及,用于向节点插件的风险检测引擎同步的检测规则,以供所述风险检测引擎进行分析;
所述客户端插件,用于若检测到客户端存在访问请求,则对所述访问请求的请求参数进行打标;
所述节点插件,用于在客户端将访问请求发送至服务器之后,对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
所述节点插件,还用于通过风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示。
本发明实施例所提供的一种越权访问的检测系统可执行本发明任意实施例所提供的一种越权访问的检测方法,具备执行方法相应的功能模块和有益效果。
实施例五
本发明实施例五还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现如本申请所有发明实施例提供的越权访问的检测方法:
若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;
在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎是基于所述核心插件同步的检测规则进行分析的。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种越权访问的检测方法,其特征在于,所述方法由越权检测系统执行,所述系统包括客户端插件、核心插件以及节点插件,所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;所述方法包括:
若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;
在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎是基于所述核心插件同步的检测规则进行分析的。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在服务器存在本端发起访问请求或者中转访问请求,则通过节点插件对所述本端发起访问请求或者中转访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的。
3.根据权利要求1所述的方法,其特征在于,在通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示之后,所述方法还包括:
通过第一日志文件对所述访问请求的请求参数,访问请求的接收时间以及访问请求的反馈时间进行记录;以及,
通过第二日志文件对所述访问请求的风险告知信息进行记录。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
将所述第二日志文件同步至核心插件,以供所述越权检测系统服务端对所述第二日志文件进行存储。
5.根据权利要求1所述的方法,其特征在于,所述打标的标签内容包括是否前端上送参数以及参数属性;
所述是否前端上送参数包括3个参数值,分别为前端上送、前端上送且需中转以及非前端上送;
所述参数属性包括2个参数值,分别为用户属性和公共属性。
6.根据权利要求5所述的方法,其特征在于,在通过客户端插件对所述访问请求的请求参数进行打标之后,所述方法还包括:
基于访问请求的请求参数以及打标的标签内容,对所述访问请求进行变形,得到Json格式的访问请求字符串。
7.根据权利要求1所述的方法,其特征在于,所述核心插件包括Privilege.xml文件,所述Privilege.xml文件用于记录所有接口的权限;
所述核心插件用于基于所述Privilege.xml文件中记录的所有接口的权限确定风险告知信息的。
8.一种越权访问的检测装置,其特征在于,所述装置配置于越权检测系统,所述系统包括客户端插件、核心插件以及节点插件,所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;所述装置包括:
访问请求打标模块,用于若检测到客户端存在访问请求,则通过客户端插件对所述访问请求的请求参数进行打标;其中,打标的标签内容是基于所述核心插件同步的配置文件确定的;
参数和内容获取模块,用于在客户端将访问请求发送至服务器之后,通过节点插件对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
风险提示模块,用于通过节点插件的风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示;其中,所述风险检测引擎使基于所述核心插件同步的检测规则进行分析的。
9.一种越权检测系统,其特征在于,所述系统包括客户端插件、核心插件以及节点插件;所述客户端插件安装于客户端,所述节点插件安装于服务器,所述核心插件与所述客户端插件和所述节点插件连接,并安装于越权检测系统服务端;其中:
所述核心插件,用于向所述客户端插件同步,以确定打标的标签内容;以及,用于向节点插件的风险检测引擎同步的检测规则,以供所述风险检测引擎进行分析;
所述客户端插件,用于若检测到客户端存在访问请求,则对所述访问请求的请求参数进行打标;
所述节点插件,用于在客户端将访问请求发送至服务器之后,对所述访问请求进行解析,以获取所述请求参数和所述打标的标签内容;其中,所述请求参数用于供所述服务器进行业务处理;
所述节点插件,还用于通过风险检测引擎对所述打标的标签内容进行分析,得到风险告知信息,并进行风险提示。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的越权访问的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210102347.1A CN114491518A (zh) | 2022-01-27 | 2022-01-27 | 一种越权访问的检测方法、装置、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210102347.1A CN114491518A (zh) | 2022-01-27 | 2022-01-27 | 一种越权访问的检测方法、装置、系统及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114491518A true CN114491518A (zh) | 2022-05-13 |
Family
ID=81477270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210102347.1A Pending CN114491518A (zh) | 2022-01-27 | 2022-01-27 | 一种越权访问的检测方法、装置、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114491518A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116055153A (zh) * | 2023-01-04 | 2023-05-02 | 浙江网商银行股份有限公司 | 一种防止越权访问的方法、装置和设备 |
CN115242482B (zh) * | 2022-07-18 | 2024-01-30 | 中国电信股份有限公司 | 越权访问风险检测方法、装置、电子设备及可读存储介质 |
CN117521087A (zh) * | 2024-01-04 | 2024-02-06 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、系统及存储介质 |
-
2022
- 2022-01-27 CN CN202210102347.1A patent/CN114491518A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115242482B (zh) * | 2022-07-18 | 2024-01-30 | 中国电信股份有限公司 | 越权访问风险检测方法、装置、电子设备及可读存储介质 |
CN116055153A (zh) * | 2023-01-04 | 2023-05-02 | 浙江网商银行股份有限公司 | 一种防止越权访问的方法、装置和设备 |
CN117521087A (zh) * | 2024-01-04 | 2024-02-06 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、系统及存储介质 |
CN117521087B (zh) * | 2024-01-04 | 2024-03-15 | 江苏通付盾科技有限公司 | 一种设备风险行为检测方法、系统及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114491518A (zh) | 一种越权访问的检测方法、装置、系统及介质 | |
Raghavan | Digital forensic research: current state of the art | |
CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
CN102394885B (zh) | 基于数据流的信息分类防护自动化核查方法 | |
JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
CN103793372A (zh) | 从电子文档中的表格结构提取语义关系 | |
CN112685433B (zh) | 元数据更新方法、装置、电子设备及计算机可读存储介质 | |
CN107085549B (zh) | 故障信息生成的方法和装置 | |
CN109948334B (zh) | 一种漏洞检测方法、系统及电子设备和存储介质 | |
KR20090005846A (ko) | 전자 컨텐트 가이드 생성 방법 및 그 장치 | |
US20110078203A1 (en) | System and method for application navigation | |
CN110532529A (zh) | 一种文件类型的识别方法及装置 | |
CN111638908A (zh) | 接口文档生成方法、装置、电子设备及介质 | |
CN113221194B (zh) | 篡改网页混合检测技术 | |
CN108632219A (zh) | 一种网站漏洞检测方法、检测服务器及系统 | |
CN105637488A (zh) | 追踪源代码用于末端用户监控 | |
KR20190058141A (ko) | 문서로부터 추출되는 데이터를 생성하는 방법 및 그 장치 | |
CN110533456A (zh) | 一种优惠券信息推送方法、系统及服务器 | |
CN115150261B (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
WO2018145637A1 (zh) | 上网行为记录方法、装置及用户终端 | |
CN112714118B (zh) | 网络流量检测方法和装置 | |
WO2009058622A2 (en) | Federated search data normalization for rich presentation | |
CN111277569B (zh) | 一种网络报文解码方法、装置及电子设备 | |
JP2007265291A (ja) | 入出力画面生成用プログラム、方法、及びサーバ機 | |
CN116126808A (zh) | 行为日志记录方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |