CN116933264A - 一种漏洞的检测方法和装置 - Google Patents

一种漏洞的检测方法和装置 Download PDF

Info

Publication number
CN116933264A
CN116933264A CN202210329366.8A CN202210329366A CN116933264A CN 116933264 A CN116933264 A CN 116933264A CN 202210329366 A CN202210329366 A CN 202210329366A CN 116933264 A CN116933264 A CN 116933264A
Authority
CN
China
Prior art keywords
interface
access interface
variable
code file
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210329366.8A
Other languages
English (en)
Inventor
杨念
肖震
孔佩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Original Assignee
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingdong Century Trading Co Ltd, Beijing Wodong Tianjun Information Technology Co Ltd filed Critical Beijing Jingdong Century Trading Co Ltd
Priority to CN202210329366.8A priority Critical patent/CN116933264A/zh
Publication of CN116933264A publication Critical patent/CN116933264A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种漏洞的检测方法和装置,涉及信息安全技术领域。该方法的一具体实施方式包括:根据应用程序的源代码文件识别出应用程序的访问接口及其接口参数信息;若源代码文件中与访问接口对应的代码文件中不存在与接口方法对应的数据库查询语句,则访问接口不存在水平越权漏洞;否则,判断访问接口是否满足预设条件;预设条件包括数据库查询语句的条件部分包括第二变量,或代码文件中存在针对第一变量和第二变量的判断表达式;若是,则访问接口不存在水平越权漏洞;若否,则访问接口存在水平越权漏洞。该实施方式通过代码分析实现在应用上线前对所有业务接口进行水平越权漏洞的检测,检测准确率较高,且不会对业务造成数据污染。

Description

一种漏洞的检测方法和装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种漏洞的检测方法和装置。
背景技术
水平越权漏洞是指服务器端在接收到请求数据进行操作时没有判断数据的所属人或所属部门而导致的越权数据访问漏洞。在Web应用中存在水平越权漏洞可能会导致用户敏感信息的泄露、资金盗刷等安全问题,因此,对水平越权漏洞的检测非常重要。
现有技术中对Web应用的水平越权漏洞的检测,主要是采用黑盒测试的方法,通过替换相关身份信息进行请求试探并比对响应内容,若响应内容相同,则认为存在水平越权漏洞。但是,黑盒测试的方法是在应用程序上线后进行扫描,是基于模糊测试的方法,误报率高,业务接口覆盖不全,且可能会对待测试的业务造成数据污染。
发明内容
有鉴于此,本发明实施例提供一种漏洞的检测方法和装置,基于代码分析技术,在应用程序上线前对接口进行水平越权漏洞的检测,检测准确率较高,不会对业务造成数据污染,且能够覆盖所有的业务接口。
为实现上述目的,根据本发明实施例的一个方面,提供了一种水平越权漏洞的检测方法,包括:
根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息,所述接口参数信息包括接口方法和接口参数;
响应于所述源代码文件中与所述访问接口对应的代码文件中不存在与所述接口方法对应的数据库查询语句,确定所述访问接口不存在水平越权漏洞;
响应于所述源代码文件中与所述访问接口对应的代码文件中存在与所述接口方法对应的数据库查询语句,判断所述访问接口是否满足预设条件;所述预设条件包括所述数据库查询语句的条件部分包括第二变量,或所述代码文件中存在针对第一变量和所述第二变量的判断表达式;其中,所述第一变量为与用户输入数据关联的接口参数,所述第二变量为与用户标识关联的接口参数;
响应于所述访问接口满足所述预设条件,确定所述访问接口不存在水平越权漏洞;
响应于所述访问接口不满足所述预设条件,确定所述访问接口存在水平越权漏洞。
可选地,根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息之前,包括:
从所述源代码文件的配置文件中提取出各个数据库查询语句以及与每个数据库查询语句关联的包名和方法名,建立数据库查询语句与接口方法之间的映射关系。
可选地,判断所述访问接口是否满足预设条件之前,包括:
从所述接口参数中获取与用户输入数据对应的用户输入参数;
将根据所述用户输入参数确定的接口参数标记为所述与用户输入数据关联的接口参数,以确定所述第一变量。
可选地,判断所述访问接口是否满足预设条件之前,包括:
确定获取用户标识的表达式,将表达式的返回值对应的接口参数作为用户标识参数;
将根据所述用户标识参数确定的接口参数标记为所述与用户标识关联的接口参数,以确定所述第二变量。
可选地,确定获取用户标识的表达式之前,包括:
确定所述代码文件中存在所述获取用户标识的表达式;
若不存在,确定所述访问接口存在水平越权漏洞。
可选地,根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息,包括:
根据所述源代码文件构建语法树,基于所述语法树,结合Spring boot框架特征,识别出所述访问接口以及所述接口参数信息。
可选地,所述判断表达式为判断所述第一变量和所述第二变量是否存在从属关系的表达式。
根据本发明实施例的再一个方面,提供了一种水平越权漏洞的检测装置,包括:
获取模块,根据应用程序的源代码文件识别出所述应用程序的的访问接口及其接口参数信息,所述接口参数信息包括接口方法和接口参数;
第一确定模块,响应于所述源代码文件中与所述访问接口对应的代码文件中不存在与所述接口方法对应的数据库查询语句,确定所述访问接口不存在水平越权漏洞;
判断模块,响应于所述源代码文件中与所述访问接口对应的代码文件中存在与所述接口方法对应的数据库查询语句,判断所述访问接口是否满足预设条件;所述预设条件包括所述数据库查询语句的条件部分包括第二变量,或所述代码文件中存在针对第一变量和所述第二变量的判断表达式;其中,所述第一变量为与用户输入数据关联的接口参数,所述第二变量为与用户标识关联的接口参数;
第二确定模块,响应于所述访问接口满足所述预设条件,确定所述访问接口不存在水平越权漏洞;响应于所述访问接口不满足所述预设条件,确定所述访问接口存在水平越权漏洞。
根据本发明实施例的另一个方面,提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明提供的水平越权漏洞的检测方法。
根据本发明实施例的还一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现本发明提供的水平越权漏洞的检测方法。
上述发明中的一个实施例具有如下优点或有益效果:通过从源代码文件识别访问接口,采用代码分析技术对访问接口进行成分分析,检测访问接口的实现过程中是否存在与接口方法对应的数据库查询语句,即是否存在取数逻辑,在涉及取数逻辑的情况下,进一步判断在取数过程中是否关联用户标识,即是否满足预设条件,预设条件包括数据库查询语句的条件部分包括第二变量,或与访问接口对应的代码文件中存在针对第一变量和第二变量的判断表达式,如果否,则访问接口存在水平越权漏洞,如果是,则访问接口不存在水平越权漏洞。本发明实施例的方法能够在应用程序上线前,通过代码分析技术,对应用程序的所有业务接口进行水平越权漏洞的检测,在检测过程不会对业务数据造成污染。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的一种水平越权漏洞的检测方法的主要流程的示意图;
图2是根据本发明实施例的另一种水平越权漏洞的检测方法的主要流程的示意图;
图3是根据本发明实施例的又一种水平越权漏洞的检测方法的主要流程的示意图;
图4是根据本发明实施例的再一种水平越权漏洞的检测方法的主要流程的示意图;
图5是根据本发明实施例的水平越权漏洞的检测装置的主要模块的示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的一种水平越权漏洞的检测方法的主要流程的示意图,如图1所示,该方法包括以下步骤:
步骤S101:根据应用程序的源代码文件识别出应用程序的访问接口及其接口参数信息,接口参数信息包括接口方法和接口参数;
步骤S102:响应于源代码文件中与访问接口对应的代码文件中不存在与接口方法对应的数据库查询语句,确定访问接口不存在水平越权漏洞;
步骤S103:响应于源代码文件中与访问接口对应的代码文件中存在与接口方法对应的数据库查询语句,判断访问接口是否满足预设条件,预设条件包括数据库查询语句的条件部分包括第二变量,或代码文件中存在针对第一变量和第二变量的判断表达式;其中,第一变量为与用户输入数据关联的接口参数,第二变量为与用户标识关联的接口参数;
步骤S104:响应于访问接口满足预设条件,确定访问接口不存在水平越权漏洞;
步骤S105:响应于访问接口不满足预设条件,确定访问接口存在水平越权漏洞。
在本发明实施例中,应用程序可以对应一个或多个源代码文件,每个源代码文件中可以定义一个或多个接口,根据获取的应用程序的源代码文件识别出该应用程序的访问接口和访问接口的接口参数信息,可以是根据源代码文件构建语法树,基于语法树,结合Spring boot框架特征,识别出访问接口以及接口参数信息,进而可以从源代码文件中确定与访问接口对应的代码文件。其中,语法树是以树状的形式表现变成语言的语法结构,根据语法树和Spring boot框架特征可以识别出源代码文件中所有访问接口。其中,访问接口可以为Java开发中基于Spring boot框架定义的基于http协议的供用户访问的接口,如Controller API接口,用户可以通过http协议对访问接口进行访问。也可以直接从源代码文件中识别出访问接口和接口参数信息。
在识别出应用程序的访问接口的接口方法和接口参数之后,判断代码文件中是否存在与接口方法对应的数据库查询语句,其中,数据库查询语句为用于根据用户输入数据从数据库中获取相应数据即取数的语句,如SQL(Structured Query Language,结构化查询语言)查询语句,以判断该访问接口的实现过程中是否存在取数逻辑,如果存在与接口方法对应的数据库查询语句,则说明该接口的实现过程中存在取数逻辑,则需要进一步检测该访问接口是否存在水平越权漏洞;若不存在与接口方法对应的数据库查询语句,说明接口的实现过程中不存在取数逻辑,则可以判定该访问接口不存在水平越权漏洞。
在本发明实施例中,根据应用程序的源代码文件识别述应用程序的访问接口及其接口参数信息之前,包括:从源代码文件的配置文件中提取出各个数据库查询语句以及与每个数据库查询语句关联的包名和方法名,建立数据库查询语句与接口方法之间的映射关系。其中,配置文件可以为基于Mybatis(一种支持定制化SQL、存储过程以及高级映射的优秀的持久层框架)等框架配置的MAPPER文件,该配置文件中包括数据库查询语句和与数据库查询语句关联的包名和方法名,可以获得数据库查询语句与接口方法的映射关系,根据该映射关系可以判断出是否存在与访问接口的接口方法对应的数据库查询语句,从而确定该访问接口的实现过程是否存在取数逻辑。
在本发明实施例中,如图2所示,判断访问接口是否满足预设条件之前,还包括:
步骤S201:从接口参数中获取与用户输入数据对应的用户输入参数;
步骤S202:将根据用户输入参数确定的接口参数标记为与用户输入数据关联的接口参数,以确定第一变量。
在从接口参数中获取与用户输入数据对应的用户输入数据之前,对接口参数进行标注初始化,对Spring boot框架默认httprequest之外的参数标记为与用户输入数据对应的用户输入参数,跟踪所有和用户输入数据相关的接口参数可以获得与用户输入数据关联的接口参数,即可以获得被用户输入数据感染的第一变量。
在本发明实施例中,如图3所示,判断访问接口是否满足预设条件之前,还包括:
步骤S301:确定获取用户标识的表达式,将表达式的返回值对应的接口参数作为用户标识参数;
步骤S302:将根据用户标识参数确定的接口参数标记为与用户标识关联的接口参数,以确定第二变量。
在本发明式实施例中,如图4所示,该方法包括:
步骤S401:判断代码文件中是否存在获取用户标识的表达式;若是,执行步骤S402,若否,执行步骤S403;
步骤S402:确定获取用户标识的表达式;
步骤S403:确定访问接口存在水平越权漏洞。
如果代码文件中不存在获取用户标识的表达式,则根据用户输入数据从数据库中获取信息时不需要对是否为当前用户进行验证,这种情况下,访问接口会存在水平越权漏洞,使得用户信息存在泄露的风险。在确定获取用户标识的表达式之前,首先需要识别出用户标识对应的参数如userID,然后确定出获取userID的表达式。当确定代码文件中存在获取用户标识的表达式后,获取该表达式的返回值对应的接口参数,作为用户标识参数,跟踪与用户标识参数相关的接口参数可以获得与用户标识关联的接口参数,即可以获得被用户标识传播感染的第二变量。例如,返回值为用户ID,与用户ID关联的接口参数即第二变量,可以是通过a=b的表达式传递得到的,如a为用户ID参数,b为第二变量。其中,用户标识可以为用户ID、邮箱、手机号等用于标识用户身份的信息。
在本发明实施例中,判断表达式可以为判断第一变量和第二变量是否存在从属关系的表达式,如Java开发中的contains表达式。例如,第一变量为用户输入的订单号,第二变量为当前用户的订单列表,如果代码文件中存在判断用户输入的订单号是否属于当前用户的订单列表中的订单号的contains表达式,则说明在获取订单号的订单详细信息时,需要去验证是否属于当前用户的订单列表,则说明该访问接口不存在水平越权漏洞,可以直接获取该订单号对应的订单详细信息。
在本发明实施例中,判断表达式还可以为比对第一变量和第二变量是否相同的表达式,如Java开发中的equals表达式。例如,第一变量可以为用户输入的学历证书编号,第二变量为当前用户的学历证书编号,如果存在比对用户输入的学历证书编号与当前用户的学历证书编号是否相同的equals表达式,则说明获取该证书编号对应的详细学历信息时,需要验证是否为当前用户的学历证书编号,则说明该访问接口不存在水平越权漏洞,可以直接获取该学历证书编号对应的详细学历信息。
如果代码文件中存在针对第一变量和第二变量的判断表达式,则说明第一变量和第二变量存在交汇点,即说明在取数之前需要判断用户输入数据与用户标识是否关联,如果用户输入数据与用户标识关联,则说明没有水平越权漏洞。
如果访问接口代码文件中即访问接口的实现过程中存在与接口方法对应的数据库查询语句,则说明接口实现过程中存在取数逻辑,即存在从数据库中获取数据的行为,则需要进一步判断取数过程中是否与用户标识相关联,即是否满足预设条件,预设条件包括数据库查询语句的条件部分包括第二变量,或代码文件存在针对第一变量和第二变量的判断表达式,如果两个条件都不满足,则说明访问接口存在水平越权漏洞;如果满足其中任何一个条件,则说明不存在水平越权漏洞。也就是说,在确定存在与接口方法对应的数据库查询语句之后,判断数据库查询语句的条件部分是否包括第二变量,如果是,则说明访问接口不存在水平越权漏洞;如果否,则判断代码文件中是否存在针对第一变量和第二变量的判断表达式,若存在,则判定该访问接口不存在水平越权漏洞,如果不存在,则判定该访问接口存在水平越权漏洞。或者,在确定存在与接口方法对应的数据库查询语句之后,判断代码文件中是否存在针对第一变量和第二变量的判断表达式,如果存在,则说明访问接口不存在水平越权漏洞;如果不存在,则判断数据库查询语句的条件部分是否包括第二变量,如果是,则判定该访问接口不存在水平越权漏洞,否则判定该访问接口存在水平越权漏洞。
本发明实施例的方法通过源代码文件识别出访问接口,通过代码分析技术,对访问接口进行接口成分分析,以判断访问接口的实现过程中是否存在取数逻辑,在存在取数逻辑的情况下,判断是否满足预设条件,预设条件包括取数的过程中数据库查询语句条件部分关联用户标识即包括第二变量,或第一变量和第二变量存在交汇点,如果两个条件都不满足,说明访问接口存在水平越权漏洞,如果满足其中任何一个条件,则说明访问接口不存在水平越权漏洞。本发明实施例的方法能够在应用程序上线前,采用代码分析技术,对访问接口进行接口成分分析,实现水平越权漏洞的检测,检测准确率较高;不会对业务造成数据污染;检测能够覆盖应用程序的所有业务接口,克服了现有技术中由于动态渲染机制或防重放策略导致的业务接口覆盖不全的问题。
如图5所示,根据本发明实施例的再一个方面,提供了一种水平越权漏洞的检测装置500,包括:
获取模块501,根据应用程序的源代码文件识别出应用程序的访问接口及其接口参数信息,接口参数信息包括接口方法和接口参数;
第一确定模块502,响应于源代码文件中与访问接口对应的代码文件中不存在与接口方法对应的数据库查询语句,确定访问接口不存在水平越权漏洞;
判断模块503,响应于源代码文件中与访问接口对应的代码文件中存在与接口方法对应的数据库查询语句,判断访问接口是否满足预设条件;预设条件包括数据库查询语句的条件部分包括第二变量,或代码文件中存在针对第一变量和第二变量的判断表达式;其中,第一变量为与用户输入数据关联的接口参数,第二变量为与用户标识关联的接口参数;
第二确定模块504,响应于访问接口满足预设条件,确定访问接口不存在水平越权漏洞;响应于访问接口不满足预设条件,确定访问接口存在水平越权漏洞。
在本发明实施例中,获取模块501,进一步用于,根据应用程序的源代码文件识别出应用程序的访问接口及其接口参数信息之前,从源代码文件的配置文件中提取出各个数据库查询语句以及与每个数据库查询语句关联的包名和方法名,建立数据库查询语句与接口方法之间的映射关系。
在本发明实施例中,判断模块503,进一步用于,在判断访问接口是否满足预设条件之前,从接口参数中获取与用户输入数据对应的用户输入参数;将根据用户输入参数确定的接口参数标记为与用户输入数据关联的接口参数,以确定第一变量。
在本发明实施例中,判断模块503,进一步用于,在判断访问接口是否满足预设条件之前,确定获取用户标识的表达式,将表达式的返回值对应的接口参数作为用户标识参数;将根据用户标识参数确定的接口参数标记为与用户标识关联的接口参数,以确定第二变量。
在本发明实施例中,判断模块503,进一步用于,在确定获取用户标识的表达式之前,确定代码文件中存在获取用户标识的表达式;若不存在,确定访问接口存在水平越权漏洞。
在本发明实施例中,获取模块501,进一步用于,根据源代码文件构建语法树,基于语法树,结合Spring boot框架特征,识别出访问接口以及接口参数信息。
可选地,判断表达式为判断第一变量和第二变量是否存在从属关系的表达式。
根据本发明实施例的另一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本发明提供的水平越权漏洞的检测方法。
根据本发明实施例的还一个方面,提供了一种计算机可读介质,其上存储有计算机程序,程序被处理器执行时实现本发明提供的水平越权漏洞的检测方法。
图6示出了可以应用本发明实施例的水平越权漏洞的检测方法或水平越权漏洞的检测装置的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的产品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、产品信息--仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的水平越权漏洞的检测方法一般由服务器605执行,相应地,水平越权漏洞的检测装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、第一确定模块、判断模块和第二确定模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“根据应用程序的源代码文件识别出应用程序的访问接口及其接口参数信息的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:根据应用程序的源代码文件识别出应用程序的访问接口及其接口参数信息,接口参数信息包括接口方法和接口参数;响应于源代码文件中与访问接口对应的代码文件中不存在与接口方法对应的数据库查询语句,确定访问接口不存在水平越权漏洞;响应于源代码文件中与访问接口对应的代码文件中存在与接口方法对应的数据库查询语句,判断访问接口是否满足预设条件;预设条件包括数据库查询语句的条件部分包括第二变量,或代码文件中存在针对第一变量和第二变量的判断表达式;其中,第一变量为与用户输入数据关联的接口参数,第二变量为与用户标识关联的接口参数;响应于访问接口满足预设条件,确定访问接口不存在水平越权漏洞;响应于访问接口不满足预设条件,确定访问接口存在水平越权漏洞。
根据本发明实施例的技术方案,本发明实施例的方法通过源代码文件识别出访问接口,通过代码分析技术,对访问接口的接口成分分析,以判断访问接口的实现过程中是否存在取数逻辑,在存在取数逻辑的情况下,判断是否满足预设条件,预设条件包括取数的过程中数据库查询语句条件部分关联用户标识即包括第二变量,或第一变量和第二变量存在交汇点,如果两个条件都不满足,说明访问接口存在水平越权漏洞,如果满足其中至少一个条件,则说明访问接口不存在水平越权漏洞。本发明实施例的方法能够在应用程序上线前,采用代码分析技术,对访问接口进行接口成分分析,实现水平越权漏洞的检测,检测准确率较高;不会对业务造成数据污染;检测能够覆盖应用程序的所有业务接口,克服了现有技术中由于动态渲染机制或防重放策略导致的业务接口覆盖不全的问题。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (10)

1.一种水平越权漏洞的检测方法,其特征在于,包括:
根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息,所述接口参数信息包括接口方法和接口参数;
响应于所述源代码文件中与所述访问接口对应的代码文件中不存在与所述接口方法对应的数据库查询语句,确定所述访问接口不存在水平越权漏洞;
响应于所述源代码文件中与所述访问接口对应的代码文件中存在与所述接口方法对应的数据库查询语句,判断所述访问接口是否满足预设条件;所述预设条件包括所述数据库查询语句的条件部分包括第二变量,或所述代码文件中存在针对第一变量和所述第二变量的判断表达式;其中,所述第一变量为与用户输入数据关联的接口参数,所述第二变量为与用户标识关联的接口参数;
响应于所述访问接口满足所述预设条件,确定所述访问接口不存在水平越权漏洞;
响应于所述访问接口不满足所述预设条件,确定所述访问接口存在水平越权漏洞。
2.根据权利要求1所述的方法,其特征在于,根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息之前,包括:
从所述源代码文件的配置文件中提取出各个数据库查询语句以及与每个数据库查询语句关联的包名和方法名,建立数据库查询语句与接口方法之间的映射关系。
3.根据权利要求1所述的方法,其特征在于,判断所述访问接口是否满足预设条件之前,包括:
从所述接口参数中获取与用户输入数据对应的用户输入参数;
将根据所述用户输入参数确定的接口参数标记为所述与用户输入数据关联的接口参数,以确定所述第一变量。
4.根据权利要求1所述的方法,其特征在于,判断所述访问接口是否满足预设条件之前,包括:
确定获取用户标识的表达式,将表达式的返回值对应的接口参数作为用户标识参数;
将根据所述用户标识参数确定的接口参数标记为所述与用户标识关联的接口参数,以确定所述第二变量。
5.根据权利要求4所述的方法,其特征在于,确定获取用户标识的表达式之前,包括:
确定所述代码文件中存在所述获取用户标识的表达式;
若不存在,确定所述访问接口存在水平越权漏洞。
6.根据权利要求1所述的方法,其特征在于,根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息,包括:
根据所述源代码文件构建语法树,基于所述语法树,结合Spring boot框架特征,识别出所述访问接口以及所述接口参数信息。
7.根据权利要求3所述的方法,其特征在于,所述判断表达式为判断所述第一变量和所述第二变量是否存在从属关系的表达式。
8.一种水平越权漏洞的检测装置,其特征在于,包括:
获取模块,根据应用程序的源代码文件识别出所述应用程序的访问接口及其接口参数信息,所述接口参数信息包括接口方法和接口参数;
第一确定模块,响应于所述源代码文件中与所述访问接口对应的代码文件中不存在与所述接口方法对应的数据库查询语句,确定所述访问接口不存在水平越权漏洞;
判断模块,响应于所述源代码文件中与所述访问接口对应的代码文件中存在与所述接口方法对应的数据库查询语句,判断所述访问接口是否满足预设条件;所述预设条件包括所述数据库查询语句的条件部分包括第二变量,或所述代码文件中存在针对第一变量和所述第二变量的判断表达式;其中,所述第一变量为与用户输入数据关联的接口参数,所述第二变量为与用户标识关联的接口参数;
第二确定模块,响应于所述访问接口满足所述预设条件,确定所述访问接口不存在水平越权漏洞;响应于所述访问接口不满足所述预设条件,确定所述访问接口存在水平越权漏洞。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。
CN202210329366.8A 2022-03-31 2022-03-31 一种漏洞的检测方法和装置 Pending CN116933264A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210329366.8A CN116933264A (zh) 2022-03-31 2022-03-31 一种漏洞的检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210329366.8A CN116933264A (zh) 2022-03-31 2022-03-31 一种漏洞的检测方法和装置

Publications (1)

Publication Number Publication Date
CN116933264A true CN116933264A (zh) 2023-10-24

Family

ID=88377701

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210329366.8A Pending CN116933264A (zh) 2022-03-31 2022-03-31 一种漏洞的检测方法和装置

Country Status (1)

Country Link
CN (1) CN116933264A (zh)

Similar Documents

Publication Publication Date Title
CN109040316B (zh) Http服务处理方法和装置
CN110708346B (zh) 信息处理系统和方法
CN111783096B (zh) 检测安全漏洞的方法和装置
CN111740992B (zh) 网站安全漏洞检测方法、装置、介质及电子设备
CN109446445B (zh) 一种资源获取方法及装置
CN114840379A (zh) 日志生成方法、装置、服务器及存储介质
CN109981546B (zh) 获取应用模块间的远程调用关系的方法和装置
CN109145591B (zh) 应用程序的插件加载方法
CN107634942B (zh) 识别恶意请求的方法和装置
CN110348226A (zh) 一种工程文件的扫描方法、装置、电子设备及存储介质
CN113709136B (zh) 一种访问请求验证方法和装置
CN116933264A (zh) 一种漏洞的检测方法和装置
CN112532734B (zh) 报文敏感信息检测方法和装置
US20180109426A1 (en) Host pair detection
CN111597485B (zh) 信息呈现方法和装置
CN108471635B (zh) 用于连接无线接入点的方法和设备
CN113326506A (zh) 一种小程序监控方法及装置
CN112379967A (zh) 模拟器检测方法、装置、设备及介质
CN111488580A (zh) 安全隐患检测方法、装置、电子设备及计算机可读介质
CN111767447A (zh) 用于确定用户流量路径的方法和装置
CN114979132B (zh) 一种集群组件状态探测的方法和装置
CN111371745B (zh) 用于确定ssrf漏洞的方法和装置
CN117195204B (zh) 异常数据检测方法、装置、电子设备及计算机可读介质
CN114356788B (zh) 基于用户信息的应用程序检测方法、装置、设备和介质
CN113297087A (zh) 测试方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination