CN116094808A - 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统 - Google Patents

基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统 Download PDF

Info

Publication number
CN116094808A
CN116094808A CN202310062030.4A CN202310062030A CN116094808A CN 116094808 A CN116094808 A CN 116094808A CN 202310062030 A CN202310062030 A CN 202310062030A CN 116094808 A CN116094808 A CN 116094808A
Authority
CN
China
Prior art keywords
node
nodes
page
access control
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310062030.4A
Other languages
English (en)
Inventor
任申元
许可
张炳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yanshan University
Beijing Jiaotong University
Original Assignee
Yanshan University
Beijing Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yanshan University, Beijing Jiaotong University filed Critical Yanshan University
Priority to CN202310062030.4A priority Critical patent/CN116094808A/zh
Publication of CN116094808A publication Critical patent/CN116094808A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种基于RBAC模式Web应用安全的访问控制漏洞检测方法,其包括以下步骤,步骤1:获取Web应用程序数据库中的基础数据;步骤2:处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型;步骤3:挖掘站点地图模型中不同用户的访问控制策略Gr;步骤4:违背访问控制策略,生成Web应用程序的攻击向量;步骤5:完成Web应用程序的访问控制漏洞检测。本发明通过动静混合的方式进行细粒度建模,将权限验证与数据库中的身份信息相结合,分析不同角色和用户的行为,通过模拟用户操作跟踪收集响应信息构建多属性站点地图模型,推导程序的访问控制策略;本发明通过构造攻击向量,模拟漏洞攻击,实现应用程序评估和漏洞检测。

Description

基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统
技术领域
本发明涉及信息安全技术领域,具体地涉及一种基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统。
背景技术
当今社会生活中,随着电脑的愈发普及,web网络应用程序也变得越来越流行和普遍,因为Web应用程序允许用户登录任意一台计算机来访问网站并从中获取到用户自己的信息和数据,但随之而来web应用程序也成为那些想要窃取其他用户数据或资源的攻击者们的诱人目标,Web应用程序通常通过访问控制来解决这个问题。访问控制是给出一套方法,将系统中所有的数据组织、标识、托管起来,然后提供一个简单唯一的接口,用于服务器的调用。通俗来讲是指访问控制机制对想要访问该程序的用户进行身份验证,并确保用户被授予适当的权限。理论上,这种机制应该确保未经授权的攻击者不能破坏应用程序,但不幸的是,许多web应用程序并没有遵循这些看似简单的权限检验步骤,或是访问控制中的步骤不够完善。每个web应用程序通常会部署自己的身份验证和访问控制框架,若其身份验证系统中存在任何缺陷,可能会发生身份验证旁路攻击,从而允许攻击者无需出示用户凭据即可被验证为有效用户,继而用户的隐私被泄露。故访问控制漏洞被认为是当今web应用程序管理敏感信息面临的最严重的安全威胁之一,而web应用十大安全风险中有三大风险都可归因于web应用中存在缺陷的访问控制。
发明内容
为了克服现有技术的不足,本发明通过动静态混合的方式对程序进行细粒度建模,将权限验证与数据库条目中的身份信息相结合,分析不同角色和用户的预期行为,通过模拟用户操作跟踪收集响应信息构建多属性站点地图模型,推导程序的访问控制策略,通过构造三类攻击向量,模拟漏洞攻击,评估Web应用程序的响应,实现漏洞检测。
为实现上述目的,本发明所采用的解决方案为:
一种基于RBAC模式Web应用安全的访问控制漏洞检测方法,其包括以下步骤:
步骤1:获取Web应用程序数据库中的基础数据;
获取Web应用程序(是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统)数据库中的基础数据,所述基础数据由开始链接节点SN、用户登录的账号密码信息PL和程序源码的本地文件目录SC构成;
步骤2:处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型;
步骤21:基于动态分析方法,在未知应用程序具体构成时将应用程序作为黑盒系统,通过设计原型自行模拟用户的所有预期操作,构架黑盒系统的动态节点连接图;
将用户预期操作访问到的用户资源页面链接形成页面节点集合N0,用户资源页面链接形成页面节点间的访问与被访问关系形成边集合E0,页面节点间传递的会话信息、用户和角色信息构成边权值集合W,构建基于多角色的动态框架图模型G0,如下所示:
Figure BDA0004061362770000021
式中:G0表示动态节点连接图;E0表示用户资源页面链接形成页面节点间的访问与被访问关系形成边集合;W表示页面节点间传递的会话信息、用户和角色信息构成边权值集合;N0表示用户资源页面链接形成页面节点集合,用UP0表示,包含n个资源节点a,其中节点a1至ak表示动态分析与静态分析中得到的相同节点,节点ak至an表示动态分析与静态分析中得到的不同节点;<ai,aj>表示节点ai和aj构成的一条边;wl表示第l个边的权值;n表示资源节点总数;k表示资源相同与不同节点的分割点编号;i和j分别表示资源节点的第一边编号和第二边编号;
步骤22:基于静态分析方法,将应用程序作为白盒系统,分析源码中涉及到的页面间跳转情况,构建静态链接跳转图;
分析Web应用程序源代码,获取Web应用程序的源代码目录结构及页面所在目录层级,补全静态代码中的链接;在静态分析过中,页面被识别为单个节点,这些节点为相似页面节点,因此UP0中节点的状态、边的复杂关系均多于UP0′,因此静态分析更加关注UP0′和FP节点间的关系,最终构建静态页面连接图如下所示:
Figure BDA0004061362770000022
式中:G1表示静态链接跳转图;N1表示静态分析所得的页面节点集合,包括资源页面节点UP和功能页面节点FP;E1表示资源页面节点UP集合和功能节点FP集合之间通过调用和被调用所形成的边集合;UP1表示静态分析过程中得到的资源页面集合;UP'0表示由于静态分析所得部分UP节点与动态分析所得存在重合节点;<ap,bq>表示节点ap和bq构成的一条边;bm表示第m个节点b;n′表示节点ap的总数;m表示节点bq的总数;
步骤23:基于KM最大匹配算法(Kuhn-Munkres算法,用于求完备匹配下的最大权匹配)和并查集算法(用于处理互相不相交的集合中元素的查询与合并)将步骤21中获得的动态节点连接图G0和步骤22中获得的静态链接跳转图G1进行合并,建立基于用户的站点地图模型;
步骤3:挖掘站点地图模型中不同用户的访问控制策略Gr;
步骤4:违背访问控制策略,生成Web应用程序的攻击向量;
基于多属性交叉重组方式,将访问用户与被访问资源间进行访问逻辑的重组,以实现漏洞入侵;基于角色、能够访问资源页面间的隶属关系,通过不同类型角色用户互相强制访问资源页面,构造漏洞攻击向量;基于角色和资源的有序对应关系生成精简的攻击向量,如下式所示:
Φatts={<rs,uv>→{N,E,<rz,uw>}|uv,uw∈U;rs,rz∈R,v≠w};
式中:Φatts表示攻击向量集合;rs表示第一角色,s取值为[0,1,2];uv表示第一用户;<rs,uv>表示攻击的访问主体为具有rs角色的uv用户;N表示站点地图G的节点集合;E表示站点地图G的边关系集合;rz表示第二角色,z取值为[0,1,2];uw表示第二用户,其中v≠w表示uv,uw为不同的用户;U表示用户集合;R表示角色集合;{N,E,<rz,uw>}表示被访问的资源为具有rz角色的uw用户的所有节点N和边关系E;
步骤5:完成Web应用程序的访问控制漏洞检测;
基于步骤3中的正确的访问控制策略和步骤4中的攻击向量集合,针对以上两步骤的策略对程序进行访问,并所得的响应结果进行基于响应参数和响应内容的模糊匹配,检测是否存在访问控制漏洞,建立漏洞检测规则;若结果匹配吻合则表明漏洞的存在,进行报告。
可优选的是,所述步骤1中的开始链接节点SN、用户登录的账号密码信息PL和程序源码的本地文件目录SC如下所示:
所述开始链接节点SN和所述用户登录的账号密码信息PL作为动态分析阶段用于模拟用户行为的开始入口点,以便程序自动模拟用户登录操作;
所述程序源码的本地文件目录SC作为静态分析阶段用于构建页面间联系的开始入口点,以便程序基于已有的位置进行深度访问。
可优选的是,所述步骤21中动态分析方法实现,能自行模拟用户的所有预期操作并适应程序的动态变化,真实记录程序的执行过程,同时表征程序中基于角色和用户的页面动态变化情况;以基于角色的方式进行程序的动态访问,有助于直接识别并得到不同角色的访问路径和访问权限。
可优选的是,所述步骤22中静态分析方法,基于程序源码页面的系统分析,能全面表征程序中的所有资源页面集,以及页面间的关系;通过分析页面间的连接关系,有效识别资源页面对应的敏感操作,避免程序访问控制策略缺失的情况。
可优选的是,所述步骤23中将步骤21中获得的动态节点连接图G0和步骤22中获得的静态链接跳转图G1进行合并能够反应程序的真实执行行为,在不加大系统分析消耗的基础上提高了程序的页面覆盖率,全面表征程序资源页面间的关系;同时基于RBAC(role-based-access-control基于角色的访问控制)模式中对角色的分析,得到基于角色和用户的权限访问约束条件,能够在模型构建过程中直接确定角色、用户与资源权限间的关系。
可优选的是,所述步骤23中建立基于用户的站点地图模型需要进行站点地图模型整合,具体为:
所述站点地图模型整合,包括节点合并以及边合并;边的合并跟随节点移动,将问题简化为针对节点合并过程中的UP整合及FP添加问题,用a表示UP节点集合,b表示FP节点集合;
步骤231:UP节点整合,完成同名节点统一和不同名节点缺失补充;
首先完成同名节点统一;针对G0和步骤22中获得的静态链接跳转图G1中存在的同名的UP节点,为保证模型获取节点的全面型,采用尽可能多的节点,当出现同名节点时只保留其子节点;通过比对节点链接的相似性,确定G0与G1中的同名节点,规定动态分析所得的节点即为子节点,静态分析所得的节点即位源节点,对子节点进行保留,同时保留其边关系;删除其余同名节点;
然后完成不同名节点缺失补充;为了避免随机添加节点致使其不易查找,通过计算G0中UP节点的出入度进行节点的边添加,即以G0为基础模型图,计算其内出入度最多的核心节点,若有相同出入度则选取出度最多的节点为核心节点,将图中的缺失节点连接至核心节点上,构成完整图模型;
步骤232:FP节点添加,页面节点通过程序源码所得仅存于G1模型中,作为UP节点的功能拓展,FP跟随其被包含节点UP实现边连接,需要解决针对UP同名节点与FP的连接问题;由于在UP的合并中选取了同名节点子节点作为最后的节点集合,故将子节点与FP分别进行连接;首先识别同名UP节点所连接的FP节点,将其边关系更改为UP同名子节点与FP的连接;
步骤233:站点地图模型整合,生成站点地图模型G,标识公式如下所示:
Figure BDA0004061362770000051
式中:G表示站点地图模型;q0表示起始链接节点;F表示结束链接集合;A表示过程间用户注释。
可优选的是,所述步骤3中的挖掘站点地图模型中不同用户的访问控制策略Gr,具体为:
对复杂多属性站点地图模型G进行特征属性提取,抽象关键属性形成访问控制规则约束模型,用三元组<R,U,Gr>表示,其中访问控制策略如下所示:
Gr={Ppath,Psub-graph};
式中:Gr表示访问控制策略;Ppath表示不同角色的路径规则;Psub-graph表示子图规则;
站点地图模型G的过程间抽象,基于提取到的访问控制规则约束模型<R,U,Gr>,通过计算属性关联度进行属性间的关联分析,制定属性间的条件相关和条件无关策略映射至关联度Pr。
可优选的是,所述步骤4中的攻击向量包括垂直越权攻击向量和水平越权攻击向量,具体为:
所述垂直越权攻击向量针对不同角色的交叉重组方式所构造的入侵策略用于检测垂直越权漏洞,如下所示:
Figure BDA0004061362770000052
式中:r0表示匿名用户角色;r1表示普通用户角色;Φatts_v1表示所构造的匿名用户角色访问普通用户角色和管理员角色的资源的攻击向量集合,uv在r0角色下,访问rz角色的uw用户所拥有的资源,包括节点集合N和边集合E;Φatts_v2表示构造的普通用户角色访问管理员角色的资源的攻击向量集合,uv在r1角色下,访问r2角色的uw用户所拥有的资源,包括节点集合N和边集合E;
所述水平越权攻击向量针对相同角色不同用户间的交叉重组方式所构造的入侵策略用于检测水平越权漏洞,如下所示:
Φatts_h={<rs,uv>→{N,E,<rs,uw>}|uv,uw∈U;s∈[1,2];v≠w;N=[a1,...,an]};
式中:Φatts_h构造相同角色rs下,uv用访问uw用户所拥有的资源,包括节点集合N和边集合E。
可优选的是,所述步骤5中的漏洞检测规则,如下所示:
步骤51:将客户端正常渲染页面链接与攻击向量强制访问该页面后的链接进行匹配,若不同,则结束判断,该节点不存在漏洞;
步骤52:若相同,去除双方网页中公有的静态内容、元标签、脚本、页脚信息,得到页面的架构,对架构进行匹配;若页面架构不同,则结束判断,该节点页面不存在漏洞;
步骤53:若页面架构相同,进一步对双方页面渲染内容进行哈希模糊匹配,若两页面的内容不同,则不存在漏洞;若内容相似或相同,则该页面定义为漏洞页面;若链接相同,比较页面架构;访问同一链接得到的渲染页面结构相同,此时提取页面的标签组织为页面架构,若页面架构不同,结束判断,该节点页面不存在漏洞;
步骤54:使用burpsuite(用于攻击web应用程序的集成平台)、Appscan(web安全扫描工具)工具获取客户端正常响应的HTTP请求响应参数和攻击向量强制访问页面的请求响应参数,参数主要包括content-length(HTTP实体主体的长度)、User-Agent(用户代理,将发起请求的应用程序名称告知服务器)、Accept(用于告知服务器能够发送哪些媒体类型)、Referer(提供了包含当前请求URI文档的URL)信息;若两种方式获得的参数值均相同,则被访问的该页面链接定义为疑似漏洞响应链接,反之该链接不存在漏洞。
优选地,本发明的另一方面还提供一种基于RBAC模式Web应用程序的访问控制漏洞检测系统,其包括数据获取单元、数据处理单元、访问控制策略挖掘单元、Web应用程序的攻击向量生成单元以及访问控制漏洞检测单元,所述数据获取单元用于获取Web应用程序数据库中的基础数据,所述数据处理单元用于处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型,所述访问控制策略挖掘单元用于挖掘站点地图模型中不同用户的访问控制策略Gr,所述Web应用程序的攻击向量生成单元用于违背访问控制策略,生成Web应用程序的攻击向量,所述访问控制漏洞检测单元用于基于得到的正确的访问控制策略和攻击向量集合,利用上述策略对程序进行访问,并所得的响应结果进行基于响应参数和响应内容的模糊匹配,检测是否存在访问控制漏洞,建立漏洞检测规则;若结果匹配吻合则表明漏洞的存在,进行报告。
与现有技术相比,本发明的有益效果在于:
(1)本发明通过动静态混合的方式对程序进行细粒度建模,将权限验证与数据库条目中的身份信息相结合,分析不同角色和用户的预期行为,以确保正确认证的用户访问其相应的资源,通过模拟用户操作跟踪收集响应信息构建多属性站点地图模型,并基于浏览痕迹推导程序的访问控制策略。
(2)本发明基于限定条件属性重组方式构造三类攻击向量,模拟漏洞攻击以实现频繁且可重现的漏洞检测,通过设计的基于响应参数和响应内容的模糊匹配漏洞判别规则评估Web程序的响应,判定垂直越权和水平越权两类漏洞,完成Web应用程序的访问控制漏洞检测。
附图说明
图1为本发明实施例基于RBAC模式Web应用安全的访问控制漏洞检测方法控制框图;
图2为本发明实施例Web应用程序的访问控制漏洞全检测方法流程图;
图3为本发明实施例基于多属性站点地图模型G示例图;
图4(a)(b)(c)分别为本发明实施例G0、G1和G的UP同名节点合并示意图;
图5(a)(b)(c)分别为本发明实施例G0、G1和G的UP不同名节点添示意图;
图6(a)(b)(c)分别为本发明实施例G0、G1和G的FP节点添加示意图;
图7为本发明基于RBAC模式Web应用程序的访问控制漏洞检测系统的结构示意框图。
具体实施方式
以下,参照附图对本发明的实施方式进行说明。
本发明实施通过动静态混合的方式对程序进行细粒度建模,将权限验证与数据库条目中的身份信息相结合,分析不同角色和用户的预期行为;基于限定条件属性重组方式构造三类攻击向量,模拟漏洞攻击以实现频繁且可重现的漏洞检测,通过设计的基于响应参数和响应内容的模糊匹配漏洞判别规则评估Web程序的响应,判定垂直越权和水平越权两类访问控制漏洞,完成Web应用程序的访问控制漏洞检测。通过对检测结果的分析与对比能够证明本方法具有较好的实际应用效果。如图1所示为本发明实施例基于RBAC模式Web应用安全的访问控制漏洞检测方法控制框图。
本发明实施例提供了一种基于RBAC模式Web应用安全的访问控制漏洞检测方法,如图2所示为本发明实施例Web应用程序的访问控制漏洞全检测方法流程图;为了证明本发明的适用性,将其应用于实例,具体包含如下步骤:
S1:获取Web应用程序数据库中的基础数据;
获取Web应用程序数据库中的基础数据,由开始链接节点SN、用户登录的账号密码信息PL和程序源码的本地文件目录SC构成。
开始链接节点SN和用户登录的账号密码信息PL作为动态分析阶段用于模拟用户行为的开始入口点,以便程序自动模拟用户登录操作。
程序源码的本地文件目录SC作为静态分析阶段用于构建页面间联系的开始入口点,以便程序基于已有的位置进行深度访问。
Web应用程序通常设置三个角色r2(管理员角色)、r1(普通用户角色)、r0(匿名用户角色),其权限等级划分为:
Figure BDA0004061362770000081
在本示例中设置四个用户:Alice、Bob、Cindy和Jack,其中Alice为管理员r2,Bob和Cindy为普通用户r1,Jack为匿名用户r0
S2:处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型;
S21:基于动态分析方法,在未知应用程序具体构成时将应用程序作为黑盒系统,通过设计原型自行模拟用户的所有预期操作,构架黑盒系统的动态节点连接图;动态分析方法实现,能自行模拟用户的所有预期操作并适应程序的动态变化,真实记录程序的执行过程,同时表征程序中基于角色和用户的页面动态变化情况;以基于角色的方式进行程序的动态访问,有助于直接识别并得到不同角色的访问路径和访问权限。
将用户预期操作访问到的用户资源页面链接形成页面节点集合N0,用户资源页面链接形成页面节点间的访问与被访问关系形成边集合E0,页面节点间传递的会话信息、用户和角色信息构成边权值集合W,构建基于多角色的动态框架图模型G0,如下所示:
Figure BDA0004061362770000082
式中:G0表示动态节点连接图;N0表示用户资源页面链接形成页面节点集合;E0表示用户资源页面链接形成页面节点间的访问与被访问关系形成边集合;W表示页面节点间传递的会话信息、用户和角色信息构成边权值集合;N0表示均为用户的资源页面节点集合,用UP0表示,包含n个资源节点a,其中节点a1至ak表示动态分析与静态分析中得到的相同节点,节点ak至an表示动态分析与静态分析中得到的不同节点;<ai,aj>表示节点ai和aj构成的一条边;wl表示第l个边的权值;n表示资源节点总数;k表示资源相同与不同节点的分割点编号;i和j分别表示资源节点的第一边编号和第二边编号。
如图3实线圆圈所示为此步骤可捕获的节点集合N0,节点间的箭头所表示的边集合E0,边上的注释所表示的边权值集合W,以上构成的动态节点连接图G0,程序的访问起点通常为公共页面index.php(1),此时所有角色的用户均可以访问该页面内容,随后用户通过login.php(2)页面进行登录到admin.php(3)页面,此时的节点包括{index.php,login.php,admin.php},节点间边关系为{<index.php,login,php>,<login.php,admin.php>}。同时捕获节点间跳转关系的条件作为边权值,如节点1到2的访问可允许角色r0、r1、r2进行,在访问过程中可捕获用户名username(John、Bob、Cindy、Alice)、当前的会话session、以及当前页面的跳转URL为’/index.php’。当经过节点3后的不同角色的可访页面节点发生变化,节点5-6可被角色r2、r1访问,同时可捕获当前节点间的跳转条件,包括用户名username(Bob、Cindy、Alice)、会话session和跳转URL为’/admin.php’。
S22:基于静态分析方法,将应用程序作为白盒系统,分析源码中涉及到的页面间跳转情况,构建静态链接跳转图;静态分析方法基于程序源码页面的系统分析,能全面表征程序中的所有资源页面集,以及页面间的关系;通过分析页面间的连接关系,有效识别资源页面对应的敏感操作,避免程序访问控制策略缺失的情况。
分析Web应用程序源代码,获取Web应用程序的源代码目录结构及页面所在目录层级,补全静态代码中的链接;在静态分析过中,页面被识别为单个节点,这些节点为相似页面节点,因此UP0中节点的状态、边的复杂关系均多于UP0′,因此静态分析更加关注UP0′和FP节点间的关系,最终构建静态页面连接图如下所示:
Figure BDA0004061362770000091
式中:G1表示静态链接跳转图;N1表示静态分析所得的页面节点集合,包括资源页面节点UP和功能页面节点FP;E1表示资源页面节点UP集合和功能节点FP集合之间通过调用和被调用所形成的边集合;UP1表示静态分析过程中得到的资源页面集合;UP'0表示由于静态分析所得部分UP节点与动态分析所得存在重合节点;<ap,bq>表示节点ap和bq构成的一条边;bm表示第m个节点b;n′表示节点ap的总数;m表示节点bq的总数。
如图3虚线圈所示为此步骤可捕获的节点集合N1,节点间的箭头所表示的边集合E1,以上所构成的静态链接跳转图G1,可知节点2到节点3的用户登录操作中,节点2需要跳转至function.php页面以实现后端的身份验证操作,验证成功后可跳转至节点3,此时可得到节点包括{login.php,function.php,admin.php},以及用于连接节点的节点间边关系{<login.php,function.php>,<function.php,admin.php>}。
S23:基于KM最大匹配算法和并查集算法将S21中获得的动态节点连接图G0和S22中获得的静态链接跳转图G1进行合并能够反应程序的真实执行行为,在不加大系统分析消耗的基础上提高了程序的页面覆盖率,全面表征程序资源页面间的关系;同时基于RBAC模式中对角色的分析,得到基于角色和用户的权限访问约束条件,能够在模型构建过程中直接确定角色、用户与资源权限间的关系。
建立基于用户的站点地图模型,包括节点合并以及边合并;边的合并跟随节点移动,将问题简化为针对节点合并过程中的UP整合及FP添加问题,如图4(a)(b)(c)所示分别为本发明实施例G0、G1和G的同名节点示意图;如图5(a)(b)(c)所示分别为本发明实施例G0、G1和G的不同名节点示意图;如图6(a)(b)(c)所示分别为本发明实施例G0、G1和G的FP节点示意图,用a表示UP节点集合,b表示FP节点集合。
S231:UP节点整合,完成同名节点统一和不同名节点缺失补充;
首先完成同名节点统一;针对G0和S22中获得的静态链接跳转图G1中存在的同名的UP节点,为保证模型获取节点的全面型,采用尽可能多的节点,当出现同名节点时只保留其子节点;通过比对节点链接的相似性,确定G0与G1中的同名节点,规定动态分析所得的节点即为子节点,静态分析所得的节点即位源节点,对子节点进行保留,同时保留其边关系;删除其余同名节点。
如图4(a)所示为G0,节点包括a1、a2、a31’、a32’;图4(b)为G1,节点包括a1、a2、a3,其中a31’、a32’为a3的同名子节点。依据上述步骤可得图G,如图4(c)所示。
然后完成不同名节点缺失补充;为了避免随机添加节点致使其不易查找,通过计算G0中UP节点的出入度进行节点的边添加,即以G0为基础模型图,计算其内出入度最多的核心节点,若有相同出入度则选取出度最多的节点为核心节点,将图中的缺失节点连接至核心节点上,构成完整图模型。
如图5(a)所示为G0,节点与图4(a)一致;图5(b)为G1,节点包括a1-a4,其中节点a4为不同名节点。依据上述步骤可得图G,如图5(c)所示。
S232:FP节点添加,页面节点通过程序源码所得仅存于G1模型中,作为UP节点的功能拓展,FP跟随其被包含节点UP实现边连接,需要解决针对UP同名节点与FP的连接问题;由于在UP的合并中选取了同名节点子节点作为最后的节点集合,故将子节点与FP分别进行连接;首先识别同名UP节点所连接的FP节点,将其边关系更改为UP同名子节点与FP的连接。
如图6(a)所示为G0,节点与图5(a)一致;图6(b)为G1,节点包括a1-a4,b1-b3,其中节点b1-b3为FP节点。依据上述步骤可得图G,如图6(c)所示。
S233:站点地图模型整合,生成站点地图模型G,标识公式如下所示:
Figure BDA0004061362770000111
式中:G表示站点地图模型;q0表示起始链接节点;F表示结束链接集合;A表示过程间用户注释,包括用户的角色R、用户名U、用户当前访问的会话S等。
S3:挖掘站点地图模型中不同用户的访问控制策略Gr;
对复杂多属性站点地图模型G进行特征属性提取,如图3所示为本发明实施例基于多属性站点地图模型G示例图;抽象关键属性形成访问控制规则约束模型,用三元组{Gr,<R,U>}表示,其中访问控制策略如下所示:
Gr={Ppath,Psub-graph};
式中:Gr表示访问控制策略,其构成为节点N和边集合E的组合;Ppath表示不同角色的路径规则;Psub-graph表示子图规则。
站点地图模型G的过程间抽象,基于提取到的访问控制规则约束模型<R,U,Gr>,通过计算属性关联度进行属性间的关联分析,制定属性间的条件相关和条件无关策略映射至关联度Pr。
如图3所示,依据以上步骤,站点地图G可依据角色拆分为子图Psub-graph或路径Ppath,即访问控制策略。John的Gr包括节点1-2以及节点间的边关系,可得GrJohn;Bob和Cindy的Gr包括节点1-6以及节点间的边关系,可得GrBob和GrCindy;Alice的Gr包括节点1-10以及节点间的边关系,可得GrAlice
S4:违背访问控制策略,生成Web应用程序的攻击向量;
基于多属性交叉重组方式,将访问用户与被访问资源间进行访问逻辑的重组,以实现漏洞入侵;基于角色、能够访问资源页面间的隶属关系,通过不同类型角色用户互相强制访问资源页面,构造漏洞攻击向量;基于角色和资源的有序对应关系生成精简的攻击向量,如下式所示:
Φatts={<rs,uv>→{N,E,<rz,uw>}|uv,uw∈U;rs,rz∈R,v≠w};
式中:Φatts表示攻击向量集合;rs表示第一角色,s取值为[0,1,2];uv表示第一用户;<rs,uv>表示攻击的访问主体为具有rs角色的uv用户;N表示站点地图G的节点集合;E表示站点地图G的边关系集合;rz表示第二角色,z取值为[0,1,2];uw表示第二用户,其中v≠w表示uv,uw为不同的用户;U表示用户集合;R表示角色集合;{N,E,<rz,uw>}表示被访问的资源为具有rz角色的uw用户的所有节点N和边关系E。
攻击向量包括垂直越权攻击向量和水平越权攻击向量,具体为:
垂直越权攻击向量针对不同角色的交叉重组方式所构造的入侵策略用于检测垂直越权漏洞,如下所示:
Figure BDA0004061362770000121
式中:r0表示匿名用户角色;r1表示普通用户角色;r3表示管理员用户角色;Φatts_v1表示所构造的匿名用户角色访问普通用户角色和管理员角色的资源的攻击向量集合,uv在r0角色下,访问rz角色的uw用户所拥有的资源,包括节点集合N和边集合E;Φatts_v2表示构造的普通用户角色访问管理员角色的资源的攻击向量集合,uv在r1角色下,访问r2角色的uw用户所拥有的资源,包括节点集合N和边集合E。
Φatts_v1即为Jonh、Bob、Cindy访问用户Alice的资源GrAlice,或者John访问用户Bob和Cindy的资源GrBob和GrCindy;Φatts_v2即为Bob和Cindy访问用户Alice的资源GrAlice
水平越权攻击向量针对相同角色不同用户间的交叉重组方式所构造的入侵策略用于检测水平越权漏洞,如下所示:
Φatts_h={<rs,uv>→{N,E,<rs,uw>}|uv,uw∈U;s∈[1,2];v≠w;N=[a1,...,an]};
式中:Φatts_h构造相同角色rs下,uv用访问uw用户所拥有的资源,包括节点集合N和边集合E。
Φatts_h即为用户Bob和Cindy互相访问彼此的资源,Bob访问GrCindy,Cindy访问GrBob
S5:完成Web应用程序的访问控制漏洞检测;
基于S3中的正确的访问控制策略和S4中的攻击向量集合,针对以上两步骤的策略对程序进行访问,并所得的响应结果进行基于响应参数和响应内容的模糊匹配,检测是否存在访问控制漏洞,建立漏洞检测规则;若结果匹配吻合则表明漏洞的存在,进行报告。
S51:将客户端正常渲染页面链接与攻击向量强制访问该页面后的链接进行匹配,若不同,则结束判断,该节点不存在漏洞。
S52:若相同,去除双方网页中公有的静态内容、元标签、脚本、页脚信息,得到页面的架构,对架构进行匹配;若页面架构不同,则结束判断,该节点页面不存在漏洞。
S53:若页面架构相同,进一步对双方页面渲染内容进行哈希模糊匹配,若两页面的内容不同,则不存在漏洞;若内容相似或相同,则该页面定义为漏洞页面;若链接相同,比较页面架构;访问同一链接得到的渲染页面结构相同,此时提取页面的标签组织为页面架构,若页面架构不同,结束判断,该节点页面不存在漏洞。
S54:使用burpsuite、Appscan工具获取客户端正常响应的HTTP请求响应参数和攻击向量强制访问页面的请求响应参数,参数主要包括content-length、User-Agent、Accept、Referer信息;若两种方式获得的参数值均相同,则被访问的该页面链接定义为疑似漏洞响应链接,反之该链接不存在漏洞。
若结果匹配吻合则表明漏洞的存在,进行报告。如表1所示为攻击向量构造个数及提升比率。表1中第一行为本发明所测试的十个Web应用程序,第二行为本方法中所构造的攻击向量个数,第三行为传统方法构造的攻击向量个数,第四行为本方法构造攻击向量的提升比率单位为%,计算方法为:increase ratio=(payload-traditional payload)/traditional payload。
表1攻击向量构造个数及提升比率
Figure BDA0004061362770000131
如表2所示为检测漏洞个数及准确率。表2中第一行为本发明所测试的十个Web应用程序,第二行TP为正确检测到的漏洞数量,第三行FP为错误检测到的漏洞数量,第四行为检测准确率,计算方法为:detection rate=TP/(TP+FP)。
表2检测漏洞个数及准确率
Figure BDA0004061362770000132
综上,本案例基于RBAC模式Web应用安全的访问控制漏洞检测方法的预测结果证明了具有很好的效果。
另一方面还提供一种基于RBAC模式Web应用程序的访问控制漏洞检测系统,如图7所示,其包括数据获取单元1、数据处理单元2、访问控制策略挖掘单元3、Web应用程序的攻击向量生成单元4以及访问控制漏洞检测单元5,数据获取单元1用于获取Web应用程序数据库中的基础数据,数据处理单元2用于处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型,访问控制策略挖掘单元3用于挖掘站点地图模型中不同用户的访问控制策略Gr,Web应用程序的攻击向量生成单元4用于违背访问控制策略,生成Web应用程序的攻击向量,访问控制漏洞检测单元5用于基于得到的正确的访问控制策略和攻击向量集合,利用上述策略对程序进行访问,并所得的响应结果进行基于响应参数和响应内容的模糊匹配,检测是否存在访问控制漏洞,建立漏洞检测规则;若结果匹配吻合则表明漏洞的存在,进行报告。
(1)本发明实施通过动静态混合的方式对程序进行细粒度建模,将权限验证与数据库条目中的身份信息相结合,分析不同角色和用户的预期行为,以确保正确认证的用户访问其相应的资源,通过模拟用户操作跟踪收集响应信息构建多属性站点地图模型,并基于浏览痕迹推导程序的访问控制策略。
(2)本发明实施例基于限定条件属性重组方式构造三类攻击向量,模拟漏洞攻击以实现频繁且可重现的漏洞检测,通过设计的基于响应参数和响应内容的模糊匹配漏洞判别规则评估Web程序的响应,判定垂直越权和水平越权两类访问控制漏洞,完成Web应用程序的访问控制漏洞检测。通过对检测结果的分析与对比能够证明本方法具有较好的实际应用效果。
以上所述的实施例仅是对本发明的优选实施方式进行描述,并非对本发明的范围进行限定,在不脱离本发明设计精神的前提下,本领域普通技术人员对本发明的技术方案做出的各种变形和改进,均应落入本发明权利要求书确定的保护范围内。

Claims (10)

1.一种基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,其包括以下步骤:
步骤1:获取Web应用程序数据库中的基础数据;
获取Web应用程序数据库中的基础数据,所述基础数据包括开始链接节点SN、用户登录的账号密码信息PL和程序源码的本地文件目录SC;
步骤2:处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型,包括如下子步骤;
步骤21:基于动态分析方法,在未知应用程序具体构成时将应用程序作为黑盒系统,通过设计原型自行模拟用户的所有预期操作,构架黑盒系统的动态节点连接图;
将用户预期操作访问到的用户资源页面链接形成页面节点集合N0,用户资源页面链接形成页面节点间的访问与被访问关系形成边集合E0,页面节点间传递的会话信息、用户和角色信息构成边权值集合W,构建基于多角色的动态框架图模型G0,如下所示:
Figure FDA0004061362760000011
式中:G0表示动态节点连接图;E0表示用户资源页面链接形成页面节点间的访问与被访问关系形成边集合;W表示页面节点间传递的会话信息、用户和角色信息构成边权值集合;N0表示用户资源页面链接形成页面节点集合,用UP0表示,包含n个资源节点a,其中节点a1至ak表示动态分析与静态分析中得到的相同节点,节点ak至an表示动态分析与静态分析中得到的不同节点;<ai,aj>表示节点ai和aj构成的一条边;wl表示第l个边的权值;n表示资源节点总数;k表示资源相同与不同节点的分割点编号;i和j分别表示资源节点的第一编号和第二编号;
步骤22:基于静态分析方法,将应用程序作为白盒系统,分析源码中涉及到的页面间跳转情况,构建静态链接跳转图;
分析Web应用程序源代码,获取Web应用程序的源代码目录结构及页面所在目录层级,补全静态代码中的链接;在静态分析过中,页面被识别为单个节点,这些节点为相似页面节点,因此UP0中节点的状态及边的复杂关系均多于UP′0,因此静态分析更加关注UP′0和FP节点间的关系,最终构建静态页面连接图如下所示:
Figure FDA0004061362760000012
式中:G1表示静态链接跳转图;N1表示静态分析所得的页面节点集合,包括资源页面节点UP和功能页面节点FP;E1表示资源页面节点UP集合和功能节点FP集合之间通过调用和被调用所形成的边集合;UP1表示静态分析过程中得到的资源页面集合;UP'0表示由于静态分析所得部分UP节点与动态分析所得存在重合节点;<ap,bq>表示节点ap和bq构成的一条边;bm表示第m个节点b;n′表示节点ap的总数;m表示节点bq的总数;
步骤23:基于KM最大匹配算法和并查集算法将步骤21中获得的动态节点连接图G0和步骤22中获得的静态链接跳转图G1进行合并,建立基于用户的站点地图模型;
步骤3:挖掘站点地图模型中不同用户的访问控制策略Gr;
步骤4:违背访问控制策略,生成Web应用程序的攻击向量;
基于多属性交叉重组方式,将访问用户与被访问资源间进行访问逻辑的重组,以实现漏洞入侵;基于角色、能够访问资源页面间的隶属关系,通过不同类型角色用户互相强制访问资源页面,构造漏洞攻击向量;基于角色和资源的有序对应关系生成精简的攻击向量,如下式所示:
Φatts={<rs,uv>→{N,E,<rz,uw>}|uv,uw∈U;rs,rz∈R,v≠w};
式中:Φatts表示攻击向量集合;rs表示第一角色,s取值为[0,1,2];uv表示第一用户;<rs,uv>表示攻击的访问主体为具有rs角色的uv用户;N表示站点地图G的节点集合;E表示站点地图G的边关系集合;rz表示第二角色,z取值为[0,1,2];uw表示第二用户,其中v≠w表示uv,uw为不同的用户;U表示用户集合;R表示角色集合;{N,E,<rz,uw>}表示被访问的资源为具有rz角色的uw用户的所有节点N和边关系E;
步骤5:完成Web应用程序的访问控制漏洞检测;
基于步骤3中的正确的访问控制策略和步骤4中的攻击向量集合,针对以上两步骤的策略对程序进行访问,并将所得的响应结果进行基于响应参数和响应内容的模糊匹配,检测是否存在访问控制漏洞,建立漏洞检测规则;若结果匹配吻合则表明漏洞的存在,进行报告。
2.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤1中的开始链接节点SN、用户登录的账号密码信息PL和程序源码的本地文件目录SC如下所示:
所述开始链接节点SN和所述用户登录的账号密码信息PL作为动态分析阶段用于模拟用户行为的开始入口点,以便程序自动模拟用户登录操作;
所述程序源码的本地文件目录SC作为静态分析阶段用于构建页面间联系的开始入口点,以便程序基于已有的位置进行深度访问。
3.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤21中动态分析方法实现,能自行模拟用户的所有预期操作并适应程序的动态变化,真实记录程序的执行过程,同时表征程序中基于角色和用户的页面动态变化情况;以基于角色的方式进行程序的动态访问,有助于直接识别并得到不同角色的访问路径和访问权限。
4.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤22中静态分析方法,基于程序源码页面的系统分析,能全面表征程序中的所有资源页面集以及页面间的关系;通过分析页面间的连接关系,有效识别资源页面对应的敏感操作,避免程序访问控制策略缺失的情况。
5.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤23中将步骤21中获得的动态节点连接图G0和步骤22中获得的静态链接跳转图G1进行合并,能够反应程序的真实执行行为,在不加大系统分析消耗的基础上提高了程序的页面覆盖率,全面表征程序资源页面间的关系;同时基于RBAC模式中对角色的分析,得到基于角色和用户的权限访问约束条件,能够在模型构建过程中直接确定角色、用户与资源权限间的关系。
6.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤23中建立基于用户的站点地图模型需要进行站点地图模型整合,具体为:
所述站点地图模型整合,包括节点合并以及边合并;边的合并跟随节点移动,将问题简化为针对节点合并过程中的UP整合及FP添加问题,用a表示UP节点集合,b表示FP节点集合;
步骤231:UP节点整合,完成同名节点统一和不同名节点缺失补充;
首先完成同名节点统一;针对G0和步骤22中获得的静态链接跳转图G1中存在的同名的UP节点,为保证模型获取节点的全面型,采用尽可能多的节点,当出现同名节点时只保留其子节点;通过比对节点链接的相似性,确定G0与G1中的同名节点,规定动态分析所得的节点即为子节点,静态分析所得的节点即位源节点,对子节点进行保留,同时保留其边关系;删除其余同名节点;
然后完成不同名节点缺失补充;为了避免随机添加节点致使其不易查找,通过计算G0中UP节点的出入度进行节点的边添加,即以G0为基础模型图,计算其内出入度最多的核心节点,若有相同出入度则选取出度最多的节点为核心节点,将图中的缺失节点连接至核心节点上,构成完整图模型;
步骤232:FP节点添加,页面节点通过程序源码所得仅存于G1模型中,作为UP节点的功能拓展,FP跟随其被包含节点UP实现边连接,需要解决针对UP同名节点与FP的连接问题;由于在UP的合并中选取了同名节点子节点作为最后的节点集合,故将子节点与FP分别进行连接;首先识别同名UP节点所连接的FP节点,将其边关系更改为UP同名子节点与FP的连接;
步骤233:站点地图模型整合,生成站点地图模型G,标识公式如下所示:
Figure FDA0004061362760000041
式中:G表示站点地图模型;q0表示起始链接节点;F表示结束链接集合;A表示过程间用户注释。
7.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤3中的挖掘站点地图模型中不同用户的访问控制策略Gr,具体为:
对复杂多属性站点地图模型G进行特征属性提取,抽象关键属性形成访问控制规则约束模型,用三元组<R,U,Gr>表示,其中访问控制策略如下所示:
Gr={Ppath,Psub-graph};
式中:Gr表示访问控制策略;Ppath表示不同角色的路径规则;Psub-graph表示子图规则;
站点地图模型G的过程间抽象,基于提取到的访问控制规则约束模型<R,U,Gr>,通过计算属性关联度进行属性间的关联分析,制定属性间的条件相关和条件无关策略映射至关联度Pr。
8.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤4中的攻击向量包括垂直越权攻击向量和水平越权攻击向量,具体为:
所述垂直越权攻击向量针对不同角色的交叉重组方式所构造的入侵策略用于检测垂直越权漏洞,如下所示:
Figure FDA0004061362760000042
式中:r0表示匿名用户角色;r1表示普通用户角色;Φatts_v1表示所构造的匿名用户角色访问普通用户角色和管理员角色的资源的攻击向量集合,uv在r0角色下,访问rz角色的uw用户所拥有的资源,包括节点集合N和边集合E;Φatts_v2表示构造的普通用户角色访问管理员角色的资源的攻击向量集合,uv在r1角色下,访问r2角色的uw用户所拥有的资源,包括节点集合N和边集合E;
所述水平越权攻击向量针对相同角色不同用户间的交叉重组方式所构造的入侵策略用于检测水平越权漏洞,如下所示:
Φatts_h={<rs,uv>→{N,E,<rs,uw>}|uv,uw∈U;s∈[1,2];v≠w;N=[a1,...,an]};
式中:Φatts_h构造相同角色rs下,uv用访问uw用户所拥有的资源,包括节点集合N和边集合E。
9.根据权利要求1所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法,其特征在于,所述步骤5中的漏洞检测规则,如下所示:
步骤51:将客户端正常渲染页面链接与攻击向量强制访问该页面后的链接进行匹配,若不同,则结束判断,该节点不存在漏洞;
步骤52:若相同,去除双方网页中公有的静态内容、元标签、脚本、页脚信息,得到页面的架构,对架构进行匹配;若页面架构不同,则结束判断,该节点页面不存在漏洞;
步骤53:若页面架构相同,进一步对双方页面渲染内容进行哈希模糊匹配,若两页面的内容不同,则不存在漏洞;若内容相似或相同,则该页面定义为漏洞页面;若链接相同,比较页面架构;访问同一链接得到的渲染页面结构相同,此时提取页面的标签组织为页面架构,若页面架构不同,结束判断,该节点页面不存在漏洞;
步骤54:使用burpsuite、Appscan工具获取客户端正常响应的HTTP请求响应参数和攻击向量强制访问页面的请求响应参数,参数主要包括content-length、User-Agent、Accept、Referer信息;若两种方式获得的参数值均相同,则被访问的该页面链接定义为疑似漏洞响应链接,反之该链接不存在漏洞。
10.一种根据权利要求1-9之一所述的基于RBAC模式Web应用安全的访问控制漏洞检测方法的访问控制漏洞检测系统,其特征在于,其包括数据获取单元、数据处理单元、访问控制策略挖掘单元、Web应用程序的攻击向量生成单元以及访问控制漏洞检测单元,所述数据获取单元用于获取Web应用程序数据库中的基础数据,所述数据处理单元用于处理基础数据,构造动态节点连接图和静态链接跳转图,并将其合并构成站点地图模型,所述访问控制策略挖掘单元用于挖掘站点地图模型中不同用户的访问控制策略Gr,所述Web应用程序的攻击向量生成单元用于违背访问控制策略,生成Web应用程序的攻击向量,所述访问控制漏洞检测单元用于基于得到的正确的访问控制策略和攻击向量集合,利用上述策略对程序进行访问,并所得的响应结果进行基于响应参数和响应内容的模糊匹配,检测是否存在访问控制漏洞,建立漏洞检测规则;若结果匹配吻合则表明漏洞的存在,进行报告。
CN202310062030.4A 2023-01-17 2023-01-17 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统 Pending CN116094808A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310062030.4A CN116094808A (zh) 2023-01-17 2023-01-17 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310062030.4A CN116094808A (zh) 2023-01-17 2023-01-17 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统

Publications (1)

Publication Number Publication Date
CN116094808A true CN116094808A (zh) 2023-05-09

Family

ID=86207926

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310062030.4A Pending CN116094808A (zh) 2023-01-17 2023-01-17 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统

Country Status (1)

Country Link
CN (1) CN116094808A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117955750A (zh) * 2024-03-27 2024-04-30 南昌大学 基于半监督模糊综合评价法的网络机器人行为检测方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117955750A (zh) * 2024-03-27 2024-04-30 南昌大学 基于半监督模糊综合评价法的网络机器人行为检测方法
CN117955750B (zh) * 2024-03-27 2024-07-05 南昌大学 基于半监督模糊综合评价法的网络机器人行为检测方法

Similar Documents

Publication Publication Date Title
Aliero et al. An algorithm for detecting SQL injection vulnerability using black-box testing
US10425429B2 (en) System and method for cyber security analysis and human behavior prediction
US9292695B1 (en) System and method for cyber security analysis and human behavior prediction
US10652269B1 (en) Using information about exportable data in penetration testing
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
US7509497B2 (en) System and method for providing security to an application
US7891003B2 (en) Enterprise threat modeling
Li et al. Block: a black-box approach for detection of state violation attacks towards web applications
US10523699B1 (en) Privilege escalation vulnerability detection using message digest differentiation
Han et al. Generating fake documents using probabilistic logic graphs
Bunke et al. Organizing security patterns related to security and pattern recognition requirements
Suteva et al. Evaluation and testing of several free/open source web vulnerability scanners
Makura et al. Proactive forensics: Keystroke logging from the cloud as potential digital evidence for forensic readiness purposes
CN116324766A (zh) 通过浏览简档优化抓取请求
CN116094808A (zh) 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统
Katkar Anjali et al. Web vulnerability detection and security mechanism
Alidoosti et al. Evaluating the web‐application resiliency to business‐layer DoS attacks
JP2020071637A (ja) ウェブサイトの脆弱性診断装置、診断システム、診断方法および診断プログラム
WO2016173327A1 (zh) 用于检测网站攻击的方法和设备
Nawaz et al. A comprehensive review of security threats and solutions for the online social networks industry
CN114826727B (zh) 流量数据采集方法、装置、计算机设备、存储介质
Durai et al. A survey on security properties and web application scanner
Montaruli et al. Raze to the ground: Query-efficient adversarial html attacks on machine-learning phishing webpage detectors
Izergin et al. Risk assessment model of compromising personal data on mobile devices
Ouchani et al. Generating attacks in SysML activity diagrams by detecting attack surfaces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination