CN115051824A - 一种垂直越权检测方法、系统、设备及存储介质 - Google Patents
一种垂直越权检测方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN115051824A CN115051824A CN202210329127.2A CN202210329127A CN115051824A CN 115051824 A CN115051824 A CN 115051824A CN 202210329127 A CN202210329127 A CN 202210329127A CN 115051824 A CN115051824 A CN 115051824A
- Authority
- CN
- China
- Prior art keywords
- user
- request
- access
- context object
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 claims abstract description 30
- 230000006870 function Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 6
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004075 alteration Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000011076 safety test Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009933 burial Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种垂直越权检测方法、系统、设备及存储介质,涉及越权检测技术领域,垂直越权检测方法包括以下步骤:用户请求的请求参数存入上下文对象,生成第一上下文对象。计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。有益效果在于采用非入侵的方式在待检测应用中通过添加相应逻辑的方式来添加代码埋点,不用修改待检测应用源码,接入成本低,使用简单更容易管理和维护。同时本方案不需要配置运营任何一条规则,能获取到正确的用户请求,精确度高误报少。
Description
技术领域
本申请属于越权检测技术领域,更具体地说,本申请涉及一种垂直越权检测方法、系统、设备及存储介质。
背景技术
交互式应用程序安全测试(Interactive Application Security Testing)是Gartner公司提出的一种新的应用程序安全测试方案,被Gartner公司列为信息安全领域的TOP10技术,受到业内广泛的关注。测试人员进行正常功能测试的同时自动进行安全性测试,安全测试与功能测试工作深度融合,安全介入无感知。IAST能自动分析应用代码,检测出Web应用的文件系统漏洞、第三方开源组件漏洞以及0day漏洞等,但对于业务逻辑类漏洞,如垂直越权检测还没有较好的解决方案,目前的技术方案存在以下缺陷:
第一,同类检测方案大多采用流量镜像旁路部署方式,是将业务数据通过数据中心交换机镜像到业务安全检测系统,无法应用https加密传输场景。第二,同类检测方案大多采用更换用户信息全量重放流量,比对响应结果判断是否存在越权,两次结果差易计算需要根据多个因子计算调整,使用复杂且误报多。
发明内容
本申请的目的在于提供一种垂直越权检测方法、系统、设备及存储介质,以解决上述现有技术中存在的垂直越权检测方法使用复杂且误报多的技术问题。
为实现上述技术目的,本申请采用的技术方案如下:
一种垂直越权检测方法,包括以下步骤:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
优选地,还包括步骤:
创建低权限用户和高权限用户,所述低权限用户和所述高权限用户在权限范围内访问待检测应用中的所有功能,依次生成不同的用户请求并传输至所述待检测应用。
优选地,待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象,具体包括以下步骤:
在待检测应用中插入第一检测函数,通过所述第一检测函数接收所述待检测应用的不同权限的用户请求,解析所述用户请求以计算得到请求参数;
创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象。
优选地,所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库,具体包括以下步骤:
所述待检测应用对所述用户请求进行响应,响应得到所述用户请求的请求返回状态是成功或失败,基于成功的请求返回状态或失败的请求返回状态生成所述用户请求的请求结果;
所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库。
优选地,所述用户的访问数据包括用户信息、请求访问地址、请求头、请求内容参数信息和请求结果。
优选地,从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,具体包括以下步骤:
从所述用户的访问数据中获取请求结果为成功状态的高权限用户的请求访问地址,生成高权用户请求地址列表集合;
从所述用户的访问数据中获取请求结果为成功状态的低权限用户的请求访问地址,生成低权用户请求地址列表集合;
计算所述高权用户请求地址列表集合和所述低权用户请求地址列表集合的差集,所述差集为仅限于高权限用户的地址集合。
优选地,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权,具体包括以下步骤:
通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,若访问的请求返回状态是失败,则访问不存在垂直越权漏洞;
若访问的请求返回状态是成功,则访问存在垂直越权漏洞。
一种垂直越权检测系统,包括:
第一生成模块,用于待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
第二生成模块,用于所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
判断模块,从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如下步骤:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
本申请提供的有益效果在于:
1、本申请基于每一用户请求创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象,请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。采用非入侵的方式在待检测应用中通过添加相应逻辑的方式来添加代码埋点,不用修改待检测应用源码,接入成本低,使用简单更容易管理和维护。同时本方案不需要配置运营任何一条规则。
2、本申请在待检测应用中插入第一检测函数,通过第一检测函数接收待检测应用的不同权限的用户请求,解析用户请求以计算得到请求参数,创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象,第一检测函数采用插桩技术实现,采用插桩方式依赖web应用服务器进行解密,能获取到正确的用户请求,精确度高误报少。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是垂直越权检测方法的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例1:
如图1所示,本实施例包括一种垂直越权检测方法,包括以下步骤:待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象。
待检测应用对用户请求进行响应,以计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。从数据库获取用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
还包括步骤:创建低权限用户和高权限用户,低权限用户和高权限用户在权限范围内访问待检测应用中的所有功能,依次生成不同的用户请求并传输至待检测应用。
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象,具体包括以下步骤:
在待检测应用中插入第一检测函数,通过第一检测函数接收待检测应用的不同权限的用户请求,解析用户请求以计算得到请求参数。创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象。
埋点是一种了解用户行为,分析用户行为的一种方式。代码埋点主要就是通在应用中添加相应逻辑的方式来添加代码埋点,需要在每一个需要接入的应用中添加代码。现有技术存在大量开发,如果要接入线上应用需要暂停服务,后期维护也比较困难。本申请的第一检测函数不用修改待检测应用的源码,第一检测函数采用非入侵的方式在待检测应用中通过添加相应逻辑的方式来添加代码埋点,即第一检测函数不会出现在待检测应用的业务代码中,不用修改待检测应用源码,接入成本低,使用简单更容易管理和维护。
在本实施例中,同类检测方案大多采用流量镜像旁路部署方式,是将业务数据通过数据中心交换机镜像到业务安全检测系统,无法应用在https加密传输场景。第一检测函数采用插桩技术实现,采用插桩方式依赖web应用服务器进行解密,能获取到正确的用户请求,精确度高误报少。
待检测应用对用户请求进行响应,以计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库,具体包括以下步骤:
待检测应用对用户请求进行响应,响应得到用户请求的请求返回状态是成功或失败,基于成功的请求返回状态或失败的请求返回状态生成用户请求的请求结果。请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。
用户的访问数据包括用户信息、请求访问地址、请求头、请求内容参数信息和请求结果。
从数据库获取用户的访问数据,以计算得到仅限于高权限用户的地址集合,具体包括以下步骤:
从用户的访问数据中获取请求结果为成功状态的高权限用户的请求访问地址,生成高权用户请求地址列表集合。从用户的访问数据中获取请求结果为成功状态的低权限用户的请求访问地址,生成低权用户请求地址列表集合。
计算高权用户请求地址列表集合和低权用户请求地址列表集合的差集,差集为仅限于高权限用户的地址集合。
通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权,具体包括以下步骤:
通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,若访问的请求返回状态是失败,则访问不存在垂直越权漏洞。若访问的请求返回状态是成功,则访问存在垂直越权漏洞。
同类检测方案大多采用更换用户信息全量重放流量,比对响应结果判断是否存在越权,两次结果差计算需要根据多个因子计算调整,现有技术的使用非常复杂且误报多,本方案不需要配置运营任何一条规则。
实施例2:
本实施例包括一种垂直越权检测系统,包括:
第一生成模块,用于待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象。
第二生成模块,用于待检测应用对用户请求进行响应,以计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。
判断模块,从数据库获取用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
创建模块,用于创建低权限用户和高权限用户,低权限用户和高权限用户在权限范围内访问待检测应用中的所有功能,依次生成不同的用户请求并传输至待检测应用。
第一生成模块在执行时,具体在待检测应用中插入第一检测函数,通过第一检测函数接收待检测应用的不同权限的用户请求,解析用户请求以计算得到请求参数。创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象。
第二生成模块在执行时,具体待检测应用对用户请求进行响应,响应得到用户请求的请求返回状态是成功或失败,基于成功的请求返回状态或失败的请求返回状态生成用户请求的请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。
用户的访问数据包括用户信息、请求访问地址、请求头、请求内容参数信息和请求结果。
判断模块包括第三生成模块,第三生成模块用于从用户的访问数据中获取请求结果为成功状态的高权限用户的请求访问地址,生成高权用户请求地址列表集合。从用户的访问数据中获取请求结果为成功状态的低权限用户的请求访问地址,生成低权用户请求地址列表集合。计算高权用户请求地址列表集合和低权用户请求地址列表集合的差集,差集为仅限于高权限用户的地址集合。
本说明书实施例2的垂直越权检测系统可以作为上述图1所示的垂直越权检测方法的执行主体,因此该垂直越权检测系统能够实现方法在图1所实现的功能。相关之处参见实施例1的部分说明即可。
实施例3:
在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成垂直越权漏洞的装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象。
待检测应用对用户请求进行响应,以计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。
从数据库获取用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
上述如本说明书图1所示实施例揭示的垂直越权检测方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
应理解,本说明书实施例的电子设备可以实现上述装置在图1所示的实施例的功能,本文不再赘述。
当然,除了软件实现方式之外,本说明书的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
此外,本说明书实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图1所示实施例的方法,并具体用于执行以下方法:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,用户请求的请求参数存入上下文对象,生成第一上下文对象。
待检测应用对用户请求进行响应,以计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。
从数据库获取用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
应理解,上述指令当被包括多个应用程序的便携式电子设备执行时,能够使上文所述的垂直越权检测系统实现图1所示实施例的功能,本文不再赘述。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。此外,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
需要说明的是:
说明书中提到的“一个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,说明书通篇各个地方出现的短语“一个实施例”或“实施例”并不一定均指同一个实施例。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
此外,需要说明的是,本说明书中所描述的具体实施例,其零、部件的形状、所取名称等可以不同。凡依本申请专利构思所述的构造、特征及原理所做的等效或简单变化,均包括于本申请专利的保护范围内。本申请所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本申请的结构或者超越本权利要求书所定义的范围,均应属于本申请的保护范围。
Claims (10)
1.一种垂直越权检测方法,其特征在于,包括以下步骤:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
2.如权利要求1所述的一种垂直越权检测方法,其特征在于,还包括步骤:
创建低权限用户和高权限用户,所述低权限用户和所述高权限用户在权限范围内访问待检测应用中的所有功能,依次生成不同的用户请求并传输至所述待检测应用。
3.如权利要求1所述的一种垂直越权检测方法,其特征在于,待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象,具体包括以下步骤:
在待检测应用中插入第一检测函数,通过所述第一检测函数接收所述待检测应用的不同权限的用户请求,解析所述用户请求以计算得到请求参数;
创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象。
4.如权利要求1所述的一种垂直越权检测方法,其特征在于,所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库,具体包括以下步骤:
所述待检测应用对所述用户请求进行响应,响应得到所述用户请求的请求返回状态是成功或失败,基于成功的请求返回状态或失败的请求返回状态生成所述用户请求的请求结果;
所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库。
5.如权利要求1所述的一种垂直越权检测方法,其特征在于,所述用户的访问数据包括用户信息、请求访问地址、请求头、请求内容参数信息和请求结果。
6.如权利要求1所述的一种垂直越权检测方法,其特征在于,从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,具体包括以下步骤:
从所述用户的访问数据中获取请求结果为成功状态的高权限用户的请求访问地址,生成高权用户请求地址列表集合;
从所述用户的访问数据中获取请求结果为成功状态的低权限用户的请求访问地址,生成低权用户请求地址列表集合;
计算所述高权用户请求地址列表集合和所述低权用户请求地址列表集合的差集,所述差集为仅限于高权限用户的地址集合。
7.如权利要求1所述的一种垂直越权检测方法,其特征在于,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权,具体包括以下步骤:
通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,若访问的请求返回状态是失败,则访问不存在垂直越权漏洞;
若访问的请求返回状态是成功,则访问存在垂直越权漏洞。
8.一种垂直越权检测系统,其特征在于,包括:
第一生成模块,用于待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
第二生成模块,用于所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
判断模块,从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如下步骤:
待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;
所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;
从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210329127.2A CN115051824B (zh) | 2022-03-30 | 2022-03-30 | 一种垂直越权检测方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210329127.2A CN115051824B (zh) | 2022-03-30 | 2022-03-30 | 一种垂直越权检测方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115051824A true CN115051824A (zh) | 2022-09-13 |
| CN115051824B CN115051824B (zh) | 2024-04-02 |
Family
ID=83157611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210329127.2A Active CN115051824B (zh) | 2022-03-30 | 2022-03-30 | 一种垂直越权检测方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115051824B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115529171A (zh) * | 2022-09-16 | 2022-12-27 | 浙江网商银行股份有限公司 | 行为检测方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN108388814A (zh) * | 2018-02-09 | 2018-08-10 | 清华大学 | 检测处理器的方法、检测装置以及检测系统 |
| CN108833365A (zh) * | 2018-05-24 | 2018-11-16 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其系统 |
| CN109583199A (zh) * | 2018-12-18 | 2019-04-05 | 郑州云海信息技术有限公司 | 一种存储管理系统的访问审计方法、系统、设备和介质 |
| CN110598418A (zh) * | 2019-09-10 | 2019-12-20 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测垂直越权的方法及系统 |
| CN113411333A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种越权访问漏洞检测方法、装置、系统和存储介质 |
| CN113779585A (zh) * | 2021-01-04 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 越权漏洞检测方法和装置 |
-
2022
- 2022-03-30 CN CN202210329127.2A patent/CN115051824B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN108388814A (zh) * | 2018-02-09 | 2018-08-10 | 清华大学 | 检测处理器的方法、检测装置以及检测系统 |
| CN108833365A (zh) * | 2018-05-24 | 2018-11-16 | 杭州默安科技有限公司 | 一种基于流量的业务逻辑漏洞检测方法及其系统 |
| CN109583199A (zh) * | 2018-12-18 | 2019-04-05 | 郑州云海信息技术有限公司 | 一种存储管理系统的访问审计方法、系统、设备和介质 |
| CN110598418A (zh) * | 2019-09-10 | 2019-12-20 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测垂直越权的方法及系统 |
| CN113779585A (zh) * | 2021-01-04 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 越权漏洞检测方法和装置 |
| CN113411333A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种越权访问漏洞检测方法、装置、系统和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 赵少飞、杨京、杨睿超、孙蕊刚: ""浅析Web应用中的越权访问漏洞"", 《网络安全技术与应用》, no. 5, pages 15 - 16 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115529171A (zh) * | 2022-09-16 | 2022-12-27 | 浙江网商银行股份有限公司 | 行为检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115051824B (zh) | 2024-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109308263B (zh) | 一种小程序测试方法、装置及设备 | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
| CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN104579830B (zh) | 服务监控方法及装置 | |
| WO2018059393A1 (zh) | 移动应用程序测试方法、服务器、终端及存储介质 | |
| CN113114680B (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
| CN111163067B (zh) | 一种安全测试方法、装置及电子设备 | |
| CN104956372A (zh) | 使用运行时和静态代码分析来确定动态安全扫描的覆盖率 | |
| CN109871312B (zh) | 一种接口测试方法、装置、设备及可读存储介质 | |
| CN110955887B (zh) | 异常行为检测方法及装置 | |
| CN111125713B (zh) | 一种水平越权漏洞的检测方法、装置及电子设备 | |
| US10069855B1 (en) | Automated security analysis of software libraries | |
| CN115051824B (zh) | 一种垂直越权检测方法、系统、设备及存储介质 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| US11349658B2 (en) | Blockchain data processing method, apparatus, and device | |
| CN111143650B (zh) | 获取页面数据的方法、装置、介质及电子设备 | |
| CN114896599A (zh) | 一种水平越权检测方法、系统、设备及存储介质 | |
| CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
| CN108471635B (zh) | 用于连接无线接入点的方法和设备 | |
| CN116450533B (zh) | 用于应用程序的安全检测方法、装置、电子设备和介质 | |
| CN114143088B (zh) | 网络故障诊断方法、装置、设备及计算机可读存储介质 | |
| CN111371745B (zh) | 用于确定ssrf漏洞的方法和装置 | |
| CN113961938A (zh) | 漏洞检验方法、系统、计算机设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |