WO2020000749A1

WO2020000749A1 - 一种越权漏洞检测方法及装置

Info

Publication number: WO2020000749A1
Application number: PCT/CN2018/108712
Authority: WO
Inventors: 熊庆昌
Original assignee: 平安科技（深圳）有限公司
Priority date: 2018-06-30
Filing date: 2018-09-29
Publication date: 2020-01-02
Also published as: CN108769070A

Abstract

一种越权漏洞检测方法及装置，其中方法包括：终端向服务器发送第一请求和第二请求（S101），该第一请求包括目标URL，该第二请求包括该目标URL和第一标识，若服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配，终端向该服务器发送第三请求（S102），该第三请求包括该目标URL和第二标识，若服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配，则终端确定目标URL存在越权漏洞（S103）。可以减少人工处理环节，节约时间，提高越权漏洞检测的效率。

Description

一种越权漏洞检测方法及装置

本申请要求于2018年6月30日提交中国专利局、申请号为2018107060270、申请名称为“一种越权漏洞检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及互联网技术领域，尤其涉及一种越权漏洞检测方法及装置。

背景技术

随着近期爆发的各种高危漏洞，网络安全问题引起了越来越多的关注。越权漏洞，是万维网(world wide web，WEB)应用程序中一种常见的安全漏洞，是指由于程序员疏忽，没有对某个操作所需的权限或用户进行严格的限制，导致本应没有操作权限的用户可正常进行操作，其威胁在于一个账户即可控制网站或服务器的所有用户数据。例如攻击者使用一个合法账户，就可对存在越权漏洞的其他账户数据进行非法操作，例如查询、删除、修改等常规数据库命令。

目前业内对于越权漏洞的检测基本都是人工检测，如测试人员对WEB程序进行渗透测试，人工测试耗费时间长，效率低。

发明内容

本申请实施例提供一种越权漏洞检测方法及装置，可减少人工处理环节，节约时间，提高检测效率。

第一方面，本申请实施例提供了一种越权漏洞检测方法，该方法包括：

向服务器发送第一请求和第二请求，该第一请求包括目标统一资源定位符URL，该第二请求包括该目标URL和第一标识，该第一标识用于标识第一用户的身份信息；

若该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配，向该服务器发送第三请求，该第三请求包括该目标URL和第二标识，该第二标识用于标识第二用户的身份信息；

若该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配，则确定该目标URL存在越权漏洞。

第二方面，本申请实施例提供了一种越权漏洞检测装置，该装置包括：

发送模块，用于向服务器发送第一请求和第二请求，该第一请求包括目标统一资源定位符URL，该第二请求包括该目标URL和第一标识，该第一标识用于标识第一用户的身份信息；

该发送模块，还用于当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，向该服务器发送第三请求，该第三请求包括该目标URL和第二标识，该第二标识用于标识第二用户的身份信息；

第一确定模块，用于当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则确定该目标URL存在越权漏洞。

第三方面，本申请实施例提供了一种终端，包括处理器、输入设备、输出设备和存储器，该处理器、输入设备、输出设备和存储器相互连接，其中，该存储器用于存储支持终端执行上述方法的计算机程序，该计算机程序包括程序指令，该处理器被配置用于调用该程序指令，执行上述第一方面的越权漏洞检测方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，该计算机存储介质存储有计算机程序，该计算机程序包括程序指令，该程序指令当被处理器执行时使该处理器执行上述第一方面的越权漏洞检测方法。

采用本申请实施例，可以减少人工处理环节，节约时间，提高越权漏洞检测的效率。

附图说明

图1是本申请实施例提供的越权漏洞检测方法的一示意流程图；

图2是本申请实施例提供的越权漏洞检测方法的另一示意流程图；

图3是本申请实施例提供的越权漏洞检测装置的一示意性框图；

图4是本申请实施例提供的终端的一示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例中的越权漏洞可以指垂直越权、水平越权或交叉越权中的任一种。其中，垂直越权是基于用户的控制，即低权限的合法用户通过一些途径，获得高权限用户的能力，此时本申请实施例中的第一用户和第二用户所拥有的权限也就不相同，如第一用户是低权限的合法用户，第二用户是高权限的合法用户。水平越权是基于数据的控制访问，即同等权限的合法用户不但能够访问自己私有的数据，还能访问与其同等权限的其他人私有的数据，此时本申请实施例中的第一用户和第二用户所拥有的权限也就相同。交叉越权是垂直越权和水平越权的交集。本申请实施例中第一用户和第二用户之间的权限关系不做限定。

本申请实施例提供的越权漏洞检测方法可适用于智能手机、平板电脑、台式电脑等终端。可选的，本申请实施例提供的越权漏洞检测方法可由上述任一类型的任一终端执行，也可为上述任一类型的任一终端中的功能模块(比如浏览器等)执行，在此不做限制。为方便描述，下面将以终端为例进行说明。

下面将结合图1至图4，对本申请实施例提供的越权漏洞检测方法及装置进行说明。

本申请实施例中的第一标识和第二标识可以用不同的cookie来表示，如第一标识用cookie1表示，第二标识用cookie2来表示。其中，cookie指存储在用户本地终端上的数据。大部分WEB网站或服务器都是使用cookie来标识用户身份，用户在终端上使用用户名和密码登陆网站或服务器后，网站或服务器会给该用户的终端返回一个cookie信息，在后续的访问中，该终端再次访问该网站或服务器就会自动带上该cookie，而该网站或服务器通过该cookie可以识别用户的身份信息。为了便于理解，本申请实施例以第一标识为cookie1，第二标识为cookie2为例，cookie1用于标识第一用户的身份信息，cookie2用于标识第二用户的身份信息。其中，该第一用户和该第二用户分别用于表示两个不同的合法用户。

参见图1，是本申请实施例提供的越权漏洞检测方法的一示意流程图。如图1所示，该越权漏洞检测方法可包括步骤：

S101，终端向服务器发送第一请求和第二请求。

在一些可行的实施方式中，目标用户可利用终端在服务器提供的WEB应用程序上注册两个不同的合法用户，如第一用户和第二用户，在第一用户和第二用户注册成功后，服务器给该目标用户对应的终端返回两个标识，分别为cookie1和cookie2。其中cookie1用于标识第一用户的身份信息，cookie2用于标识第二用户的身份信息。终端可以使用cookie1或cookie2登录服务器，再利用爬虫工具(如WEB爬虫Heritrix、Scrapy等)爬取该服务器登录状态下的一个或多个目标URL。针对爬取到的每个目标URL，终端可以向该服务器发送包括该目标URL的第一超文本传输协议(hypertext transfer protocol，HTTP)请求以及包括该目标URL和cookie1的第二HTTP请求。服务器接收终端发送的该第一HTTP请求和该第二HTTP请求，并可以针对该第一HTTP请求返回该第一HTTP请求对应的页面内容和针对该第二HTTP请求返回该第二HTTP请求对应的页面内容。

在一些可行的实施方式中，可以在终端设置一些越权漏洞检测的条件，如设置至少一个目标参数特征，与该至少一个目标参数特征中的任一参数特征匹配的URL都需要进行越权漏洞检测。具体地，终端在向服务器发送上述第一HTTP请求和上述第二HTTP请求之前，可以使用cookie1或cookie2登录服务器，再利用爬虫工具爬取该服务器登录状态下的至少一个原始URL。终端可以获取该至少一个原始URL中每个原始URL的参数部分，并检测该每个原始URL的参数部分是否包括预设的一个或多个目标参数特征，若某个原始URL的参数部分包括预设的一个或多个目标参数特征，则可以说明该某个原始URL的参数部分与目标参数特征匹配，并可以将该至少一个原始URL中参数部分与该目标参数特征匹配的原始URL确定为目标URL。若某个原始URL的参数部分不包括任一目标参数特征，则说明该某个原始URL的参数部分与目标参数特征不匹配，则可以不作任何处理。针对每个目标URL，终端可以向服务器发送包括该目标URL的第一HTTP请求和包括该目标URL和cookie1的第二HTTP请求。服务器接收终端发送的该第一HTTP请求和该第二HTTP请求，并可以针对该第一HTTP请求返回该第一HTTP请求对应的页面内容和针对该第二HTTP请求返回该第二HTTP请求对应的页面内容。其中，预设的目标参数特征可以为URL参数部分中的ID、user_id、order_id或userid等用于标识不同用户的字段。本申请实施例通过参数特征匹配，从爬取到的所有原始URL中筛选出需要进行越权漏洞检测的目标URL，在保证准确性的同时，减少了越权漏洞检测的目标URL数量，同时提高了越权漏洞检测的处理效率。

例如，终端使用cookie1登录淘宝的服务器，爬取登录状态的所有原始URL。假设爬取到的原始URL有URL1、URL4、URL7这三个URL，检测爬取到的每个URL的参数部分是否包括ID、user_id、order_id、userid等一个或多个字段，若URL1的参数部分包括user_id字段，URL7的参数部分包括ID和order_id字段，则终端可以分别将URL1和URL7确定为目标URL，即从爬取到的原始URL中筛选出需要进行越权漏洞检测的目标URL。终端再针对URL1向服务器发送包含URL1的HTTP请求以及包含URL1和cookie1的HTTP 请求，针对URL7向服务器发送包含URL7的HTTP请求以及包含URL7和cookie1的HTTP请求。

在一些可行的实施方式中，可以在终端设置一些越权漏洞检测的条件，如至少一个目标页面特征，与该至少一个目标页面特征中的任一页面特征匹配的页面内容对应的URL都需要进行越权漏洞检测。具体地，终端在向服务器发送上述第一HTTP请求和上述第二HTTP请求之前，可以使用cookie1或cookie2登录服务器，再利用爬虫工具爬取该服务器登录状态下的至少一个原始URL。终端可以获取该至少一个原始URL中每个原始URL对应的页面内容，并检测该每个原始URL对应的页面内容是否包括预设的一个或多个目标页面特征，若某个原始URL对应的页面内容包括预设的一个或多个目标页面特征，则可以说明该某个原始URL对应的页面内容与目标页面特征匹配，并可以将该至少一个原始URL中页面内容与该目标页面特征匹配的原始URL确定为目标URL。若某个原始URL的页面内容不包括任一目标页面特征，则说明该某个原始URL对应的页面内容与目标页面特征不匹配，则可以不作任何处理。针对每个目标URL，终端可以向服务器发送包括该目标URL的第一HTTP请求和包括该目标URL和cookie1的第二HTTP请求。服务器接收终端发送的该第一HTTP请求和该第二HTTP请求，并可以针对该第一HTTP请求返回该第一HTTP请求对应的页面内容和针对该第二HTTP请求返回该第二HTTP请求对应的页面内容。其中，预设的目标页面特征可以为页面内容中的保单号、联系方式、地址、身份证ID等与用户信息相关的关键字。因为一旦与用户私密信息(如保单号、联系方式、地址、身份证ID等)对应的URL存在越权漏洞，就可能导致用户的私密信息被泄露或更改，所以本申请实施例通过页面特征匹配，从爬取到的所有原始URL中筛选出需要进行越权漏洞检测的目标URL(即与用户私密信息对应的URL)，在保证准确性的同时，减少了越权漏洞检测的目标URL数量，同时提高了越权漏洞检测的处理效率。

例如，终端使用cookie1登录淘宝的服务器，爬取登录状态的所有原始URL。假设爬取到的原始URL有URL1、URL4、URL7这三个URL，URL1对应的页面内容为C1，URL4对应的页面内容为C4，URL7对应的页面内容为C7。终端通过关键字检测的方法分别检测页面内容C1、C4以及C7中是否包括保单号、联系方式、地址、身份证ID等一个或多个关键字，若页面内容C4中包括保单号和身份证ID这两个关键字，终端就将页面内容C4对应的URL4确定为目标URL，即从爬取到的原始URL中筛选出需要进行越权漏洞检测的目标URL。终端再针对URL4向服务器发送包含URL4的HTTP请求以及包含URL4和cookie1的HTTP请求。

在一些可行的实施方式中，可以在终端设置一些越权漏洞检测的条件，如至少一个目标参数特征和至少一个目标页面特征，与该至少一个目标参数特征中的任一参数特征匹配的URL和/或与该至少一个目标页面特征中的任一页面特征匹配的页面内容对应的URL都需要进行越权漏洞检测。具体地，终端在向服务器发送上述第一HTTP请求和上述第二HTTP请求之前，可以使用cookie1或cookie2登录服务器，再利用爬虫工具爬取该服务器登录状态下的至少一个原始URL。终端可以获取该至少一个原始URL中每个原始URL的参数部分和该每个原始URL对应的页面内容，并可以检测该每个原始URL的参数部分是否包括预设的一个或多个目标参数特征，和/或检测该每个原始URL对应的页面内容是否包括预设的一个或多个目标页面特征，若某个原始URL的参数部分包括预设的一个或多个目标参数特征，和/或该某个原始URL对应的页面内容包括预设的一个或多个目标页面特征，终端可以将该某个原始URL确定为目标URL。针对每个目标URL，终端可以向服务器发送包括该目标URL的第一HTTP请求和包括该目标URL和cookie1的第二HTTP请求。服务器接收终端发送的该第一HTTP请求和该第二HTTP请求，并可以针对该第一HTTP请求返回该第一HTTP请求对应的页面内容和针对该第二HTTP请求返回该第二HTTP请求对应的页面内容。其中，预设的目标参数特征可以为URL参数部分中的ID、user_id、order_id或userid等用于标识不同用户的字段；预设的目标页面特征可以为页面内容中的保单号、联系方式、地址、身份证ID等与用户信息相关的关键字。本申请实施例针对可能存在越权漏洞的目标URL，通过参数特征和/或页面特征匹配，从爬取到的所有原始URL中筛选出需要进行越权漏洞检测的目标URL，可以提高越权漏洞检测的准确性。

例如，终端使用cookie1登录淘宝的服务器，爬取登录状态的所有原始URL。假设爬取到的原始URL有URL1、URL4、URL7、URL8这四个URL，URL1对应的页面内容为C1，URL4对应的页面内容为C4，URL7对应的页面内容为C7，URL8对应的页面内容为C8。终端检测爬取到的每个原始URL的参数部分是否包括ID、user_id、order_id、userid等一个或多个字段，若URL1包括user_id字段，URL7包括ID和order_id这两个字段，终端可以直接将URL1和URL7确定为目标URL，不再检测URL1对应的页面内容、URL7对应的页面内容中是否包括保单号、联系方式、地址、身份证ID等关键字。终端再利用关键字检测方法分别检测页面内容C4和C8中是否包括保单号、联系方式、地址、身份证ID等关键字，若页面内容C4中包括保单号和身份证ID这两个关键字，则终端就将页面内容C4对应的URL4确定为目标URL。其中，URL8的参数部分不包括ID、user_id、order_id、userid等任一字段，且URL8对应的页面内容C8也不包括保单号、联系方式、地址、身份证ID等任一关键字，所以URL8不是目标URL。

S102，若服务器针对第一请求返回的页面内容与针对第二请求返回的页面内容不匹配，终端向服务器发送第三请求。

在一些可行的实施方式中，终端可以接收上述服务器针对上述第一HTTP请求返回的页面内容和针对上述第二HTTP请求返回的页面内容，并可以检测该第一HTTP请求返回的页面内容是否与该第二HTTP请求返回的页面内容相同。若不相同，则说明该第一HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容不匹配，即该目标URL不可以被任意用户(这里指合法用户和游客，这里的游客指未在服务器提供的WEB应用程序上注册的用户)访问，那么进一步可以说明该目标URL是合法用户才能访问的，就可能存在一个合法用户越权修改或查看另一合法用户的信息，则终端可以向该服务器发送包含上述目标URL和cookie2的第三HTTP请求，该服务器接收该第三HTTP请求，并可以针对该第三HTTP请求返回该第三HTTP请求对应的页面内容。该cookie2用于标识第二用户的身份信息。若相同，则说明该第一HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容匹配，即该目标URL可以被任意用户访问，那就不存在一个合法用户越权修改或查看另一合法用户的信息，终端就可以直接确定该目标URL不存在越权漏洞。本申请实施例通过比较第一HTTP请求(游客身份)返回的页面内容和包含cookie1(用于标识合法用户的身份信息)的第二HTTP请求返回的页面内容之间是否相同，来判断该目标URL是否可以被任意用户(这里指合法用户和游客)访问，若相同，则说明该目标URL可以被任意用户访问，那么该目标URL就不存在越权漏洞，可以提高越权漏洞检测的准确性和处理效率。

S103，若服务器针对第三请求返回的页面内容与针对第二请求返回的页面内容匹配，则终端确定目标URL存在越权漏洞。

在一些可行的实施方式中，终端可以接收上述服务器针对上述第三HTTP请求返回的页面内容，并可以比较该第三HTTP请求返回的页面内容是否与上述第二HTTP请求返回的页面内容相同。若相同，说明该第三HTTP请求返回的页面内容与上述第二HTTP请求返回的页面内容匹配，即不同的合法用户访问该目标URL返回的页面内容相同，则终端可以确定上述目标URL存在越权漏洞。若不相同，说明该第三HTTP请求返回的页面内容与上述第二HTTP请求返回的页面内容不匹配，即不同的合法用户访问该目标URL返回的页面内容不相同，则终端可以确定上述目标URL不存在越权漏洞。可以理解，第一HTTP请求返回的页面内容是针对游客返回的，第二HTTP请求返回的页面内容是针对cookie1(用于标识第一用户的身份信息，第一用户是合法用户)返回的，当第一HTTP请求返回的页面内容与第二HTTP请求返回的页面内容不相同时，说明该目标URL不能被任意用户访问。第三HTTP请求返回的页面内容是针对cookie2(用于标识第二用户的身份信息，第二用户是与第一用户不同的合法用户)返回的，如果第二HTTP请求返回的页面内容和第三HTTP请求返回的页面内容匹配，说明第一用户和第二用户可以看到对方的信息，那么该目标URL就存在用户信息泄露的危险，则可以确定该目标URL存在越权漏洞。

本申请实施例通过向服务器发送包括目标URL的第一请求和包括该目标URL和第一标识的第二请求，该第一标识用于标识第一用户的身份信息，当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，向该服务器发送包括该目标URL和第二标识的第三请求，该第二标识用于标识第二用户的身份信息，当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则确定该目标URL存在越权漏洞，可以减少人工处理环节，节约时间，提高越权漏洞检测的效率。

参见图2，是本申请实施例提供的越权漏洞检测方法的另一示意流程图。如图2所示，该越权漏洞检测方法可包括步骤：

S201，终端向服务器发送第一请求和第二请求。

本申请实施例中上述步骤S201的实现方式可参考图1所示实施例的步骤S101所提供的实现方式，在此不再赘述。

S202，若服务器针对第一请求返回的页面内容与针对第二请求返回的页面内容不匹配，终端向服务器发送第三请求。

S203，若服务器针对第一请求返回的页面内容与针对第二请求返回的页面内容匹配，则终端输出安全提示信息。

在一些可行的实施方式中，终端可以接收上述服务器针对上述第一HTTP请求返回的页面内容和针对上述第二HTTP请求返回的页面内容，并可以检测该第一HTTP请求返回的页面内容是否与该第二HTTP请求返回的页面内容相同。若不相同，则说明该第一HTTP 请求返回的页面内容与该第二HTTP请求返回的页面内容不匹配，即该目标URL不可以被任意用户(这里指合法用户和游客，这里的游客指未在服务器提供的WEB应用程序上注册的用户)访问，那么进一步可以说明该目标URL是合法用户才能访问的，就可能存在一个合法用户越权修改或查看另一合法用户的信息，则终端可以向该服务器发送包含上述目标URL和cookie2的第三HTTP请求，该服务器接收该第三HTTP请求，并可以针对该第三HTTP请求返回该第三HTTP请求对应的页面内容。该cookie2用于标识第二用户的身份信息。若相同，则说明该第一HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容匹配，即该目标URL可以被任意用户访问，那就不存在一个合法用户越权修改或查看另一合法用户的信息，终端就可以直接确定该目标URL不存在越权漏洞，且终端可以输出包括上述目标URL的安全提示信息。该安全提示信息用于提示该目标URL已检测且不存在越权漏洞。本申请实施例通过比较第一HTTP请求(游客身份)返回的页面内容和包含cookie1(用于标识合法用户的身份信息)的第二HTTP请求返回的页面内容之间是否相同，来判断该目标URL是否可以被任意用户(这里指合法用户和游客)访问，若相同，则说明该目标URL可以被任意用户访问，那么该目标URL就不存在越权漏洞，可以提高越权漏洞检测的准确性和处理效率。

在一些可行的实施方式中，终端可以接收服务器针对上述第一HTTP请求返回的页面内容和针对上述第二HTTP请求返回的页面内容，并可以利用页面相似度算法(如局部敏感哈希算法simhash或最小哈希算法minhash等)计算该第一HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容之间的相似度值，比较该相似度值与预设的第一相似度阈值(如99％)之间的大小关系，若该相似度值小于预设的第一相似度阈值，说明该第一HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容不匹配，则终端可以向该服务器发送包含上述目标URL和cookie2的第三HTTP请求，该服务器接收该第三HTTP请求，并可以针对该第三HTTP请求返回该第三HTTP请求对应的页面内容。若该相似度值大于或等于预设的第一相似度阈值，说明该第一HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容匹配，终端就可以直接确定该目标URL不存在越权漏洞，且终端可以输出包括上述目标URL的安全提示信息。该安全提示信息用于提示该目标URL已检测且不存在越权漏洞。本申请实施例通过计算第一HTTP请求返回的页面内容和第二HTTP请求返回的页面内容之间的相似度值，可以防止页面内容之间的微小差异导致的检测结果不准确的情况，进一步提高越权漏洞检测的准确性。

S204，终端获取服务器针对第三请求返回的页面内容与针对第二请求返回的页面内容之间的相似度值。

S205，若相似度值大于相似度阈值，则终端确定目标URL存在越权漏洞。

在一些可行的实施方式中，终端可以接收服务器针对上述第三HTTP请求返回的页面内容，并可以利用页面相似度算法如simhash或minhash等计算该第三HTTP请求返回的页面内容与上述第二HTTP请求返回的页面内容之间的相似度值，比较该相似度值与预设的第二相似度阈值(如95％)之间的大小关系，若该相似度值大于或等于第二相似度阈值，说明该第三HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容匹配，则终端可以确定上述目标URL存在越权漏洞。若该相似度值小于第二相似度阈值，说明该第三 HTTP请求返回的页面内容与该第二HTTP请求返回的页面内容不匹配，则终端可以确定上述目标URL不存在越权漏洞，且终端可以输出包括上述目标URL的安全提示信息。该安全提示信息用于提示目标用户该目标URL已检测且不存在越权漏洞。。其中，该第二相似度阈值与上述第一相似度阈值可以相同，也可以不相同。本申请实施例通过计算第三HTTP请求返回的页面内容和第二HTTP请求返回的页面内容之间的相似度值，可以防止页面内容之间的微小差异导致的检测结果不准确的情况，进一步提高越权漏洞检测的准确性。

在一些可行的实施方式中，终端在确定上述目标URL存在越权漏洞之后，可以输出包括上述目标URL的报警提示信息。该报警提示信息用于提示目标用户处理该目标URL的该越权漏洞，该目标用户接收到该报警提示信息可以增加对该目标URL上的操作所需的权限进行严格的限制，以使该目标URL的该越权漏洞被修复，进而阻止信息泄露，提高用户体验。本申请实施例通过在确定该目标URL存在越权漏洞之后，输出报警提示信息，可以及时通知目标用户对该目标URL存在的越权漏洞进行修补，从而保证服务器中存储的信息的安全性。

本申请实施例通过向服务器发送包括目标URL的第一请求和包括该目标URL和第一标识的第二请求，该第一标识用于标识第一用户的身份信息，当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，向该服务器发送包括该目标URL和第二标识的第三请求，该第二标识用于标识第二用户的身份信息，当该服务器针对第一请求返回的页面内容与针对第二请求返回的页面内容匹配时，则输出安全提示信息，获取该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容之间的相似度值，比较该相似度值是否大于相似度阈值，若大于，则确定该目标URL存在越权漏洞，不仅可以减少人工处理环节，节约时间，提高越权漏洞检测的效率，还可以防止页面内容之间的微小差异给检测结果带来的影响，从而提高了越权漏洞检测的准确性。

参见图3，是本申请实施例提供的越权漏洞检测装置的一示意性框图。本申请实施例的越权漏洞检测装置包括：

发送模块10，用于向服务器发送第一请求和第二请求，该第一请求包括目标统一资源定位符URL。其中，该第二请求包括该目标URL和第一标识，该第一标识用于标识第一用户的身份信息；

该发送模块10，还用于当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，向该服务器发送第三请求。其中，该第三请求包括该目标URL和第二标识，该第二标识用于标识第二用户的身份信息；

第一确定模块20，用于当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则确定该目标URL存在越权漏洞。

在一些可行的实施方式中，该装置还包括第一获取模块30、第二获取模块40以及第二确定模块50。该第一获取模块30，用于获取至少一个原始URL；该第二获取模块40，用于获取该至少一个原始URL中每个原始URL的参数部分，并检测该每个原始URL的参数部分是否与目标参数特征匹配；该第二确定模块50，用于将该至少一个原始URL中参数部分与该目标参数特征匹配的原始URL确定为目标URL。

在一些可行的实施方式中，该装置还包括第三获取模块60、第四获取模块70以及第三确定模块80。该第三获取模块60，用于获取至少一个原始URL；该第四获取模块70，用于获取针对该至少一个原始URL中每个原始URL对应的页面内容，并检测该每个原始URL对应的页面内容是否与目标页面特征匹配；该第三确定模块80，用于将该至少一个原始URL中页面内容与该目标页面特征匹配的原始URL确定为目标URL。

在一些可行的实施方式中，上述第一确定模块20包括获取单元201和确定单元202。该获取单元201，用于获取该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容之间的相似度值；该确定单元202，用于当该相似度值大于相似度阈值时，则确定该目标URL存在越权漏洞。

在一些可行的实施方式中，该装置还包括输出模块90，该输出模块90用于输出报警提示信息。其中，该报警提示信息包括该目标URL，该报警提示信息用于提示目标用户处理该目标URL的该越权漏洞。

在一些可行的实施方式中，上述输出模块90还用于当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则输出安全提示信息。其中，该安全提示信息包括该目标URL，该安全提示信息用于提示该目标URL已检测且不存在该越权漏洞。

在一些可行的实施方式中，上述第一确定模块20还用于当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，确定该目标URL不存在越权漏洞。

在一些可行的实施方式中，上述输出模块90还用于当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容匹配时，输出安全提示信息，该安全提示信息用于提示该目标URL已检测且不存在该越权漏洞。

具体实现中，上述越权漏洞检测装置可通过上述各个模块执行上述图1或者图2所提供的实现方式中各个步骤所提供的实现方式，实现上述各实施例中所实现的功能，具体可参见上述图1或图2所示的方法实施例中各个步骤提供的相应描述，在此不再赘述。

在本申请实施例中，越权漏洞检测装置可通过向服务器发送第一请求和第二请求，该第一请求包括目标URL，该第二请求包括该目标URL和第一标识，当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，向该服务器发送第三请求，该第三请求包括该目标URL和第二标识，当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则确定该目标URL存在越权漏洞，可以减少人工处理环节，节约时间，提高越权漏洞检测的效率。

参见图4，是本申请实施例提供的终端的一示意性框图。如图4所示，本申请实施例中的终端可以包括：一个或多个处理器401；一个或多个输入设备402，一个或多个输出设备403和存储器404。上述处理器401、输入设备402、输出设备403和存储器404通过总线405连接。存储器402用于存储计算机程序，该计算机程序包括程序指令，处理器401用于执行存储器402存储的程序指令。其中：

上述输出设备403用于向服务发送第一请求和第二请求，该第一请求包括目标统一资源定位符URL，该第二请求包括该目标URL和第一标识，该第一标识用于标识第一用户的身份信息。

上述输入设备402用于接收该服务器针对该第一请求返回的页面内容和针对该第二请求返回的页面内容。

上述处理器401被配置用于调用该程序指令执行检测该服务器针对该第一请求返回的页面内容是否与针对该第二请求返回的页面内容匹配。

当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，上述输出设备403还用于向该服务器发送第三请求，该第三请求包括该目标URL和第二标识，该第二标识用于标识第二用户的身份信息。

上述输入设备402还用于接收该服务器针对该第三请求返回的页面内容。

上述处理器401被配置用于调用该程序指令执行检测该服务器针对该第三请求返回的页面内容是否与针对该第二请求返回的页面内容匹配，当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则确定该目标URL存在越权漏洞。

应当理解，在本申请实施例中，所称处理器401可以是中央处理单元(central processing unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现成可编程门阵列(field-programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

输入设备402可以包括接收器、接收程序接口等，输出设备403可以包括发送器、发送程序接口等。

该存储器404可以包括只读存储器和随机存取存储器，并向处理器401提供指令和数据。存储器404的一部分还可以包括非易失性随机存取存储器。例如，存储器404还可以存储设备类型的信息。

具体实现中，本申请实施例中所描述的处理器401、输入设备402、输出设备403可执行本申请实施例提供的越权漏洞检测方法中所描述的实现方式，也可执行本申请实施例所描述的越权漏洞检测装置的实现方式，在此不再赘述。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序包括程序指令，该程序指令被处理器执行时实现图1或图2所示的越权漏洞检测方法，具体细节请参照图1或图2所示实施例的描述，在此不再赘述。

上述计算机可读存储介质可以是前述任一实施例所述的越权漏洞检测装置或终端的内部存储单元，例如终端的硬盘或内存。该计算机可读存储介质也可以是该终端的外部存储设备，例如该终端上配备的插接式硬盘，智能存储卡(smart media card,SMC)，安全数字(secure digital,SD)卡，闪存卡(flash card)等。进一步地，该计算机可读存储介质还可以既包括该终端的内部存储单元也包括外部存储设备。该计算机可读存储介质用于存储该计算机程序以及该终端所需的其他程序和数据。该计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

一种越权漏洞检测方法，其特征在于，包括：

向服务器发送第一请求和第二请求，所述第一请求包括目标统一资源定位符URL，所述第二请求包括所述目标URL和第一标识，所述第一标识用于标识第一用户的身份信息；

若所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容不匹配，向所述服务器发送第三请求，所述第三请求包括所述目标URL和第二标识，所述第二标识用于标识第二用户的身份信息，所述第二用户为与所述第一用户不同的用户；

若所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配，则确定所述目标URL存在越权漏洞。
根据权利要求1所述的方法，其特征在于，所述向服务器发送第一请求和第二请求之前，所述方法还包括：

获取至少一个原始URL；

获取所述至少一个原始URL中每个原始URL的参数部分，并检测所述每个原始URL的参数部分是否与目标参数特征匹配；

将所述至少一个原始URL中参数部分与所述目标参数特征匹配的原始URL确定为目标URL。
根据权利要求1所述的方法，其特征在于，向服务器发送第一请求和第二请求之前，所述方法还包括：

获取至少一个原始URL；

获取针对所述至少一个原始URL中每个原始URL对应的页面内容，并检测所述每个原始URL对应的页面内容是否与目标页面特征匹配；

将所述至少一个原始URL中页面内容与所述目标页面特征匹配的原始URL确定为目标URL。
根据权利要求1-3任意一项所述的方法，其特征在于，所述若所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配，则确定所述目标URL存在越权漏洞，包括：

获取所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容之间的相似度值；

若所述相似度值大于相似度阈值，则确定所述目标URL存在越权漏洞。
根据权利要求1-4任意一项所述的方法，其特征在于，所述确定所述目标URL存在越权漏洞之后，所述方法还包括：

输出报警提示信息，所述报警提示信息包括所述目标URL，所述报警提示信息用于提示目标用户处理所述目标URL的所述越权漏洞。
根据权利要求1-5任意一项所述的方法，其特征在于，所述方法还包括：

若所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容不匹配，则确定所述目标URL不存在越权漏洞。
根据权利要求1-6任意一项所述的方法，其特征在于，所述在向服务器发送第一请求和第二请求之后，所述方法还包括：

若所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容匹配，输出安全提示信息，所述安全提示信息用于提示所述目标URL已检测且不存在所述越权漏洞。
一种越权漏洞检测装置，其特征在于，包括：

发送模块，用于向服务器发送第一请求和第二请求，所述第一请求包括目标统一资源定位符URL，所述第二请求包括所述目标URL和第一标识，所述第一标识用于标识第一用户的身份信息；

所述发送模块，还用于当所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容不匹配时，向所述服务器发送第三请求，所述第三请求包括所述目标URL和第二标识，所述第二标识用于标识第二用户的身份信息；

第一确定模块，用于当所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配时，则确定所述目标URL存在越权漏洞。
根据权利要求8所述的装置，其特征在于，其特征在于，所述装置还包括：

第一获取模块，用于获取至少一个原始URL；

第二获取模块，用于获取所述至少一个原始URL中每个原始URL的参数部分，并检测所述每个原始URL的参数部分是否与目标参数特征匹配；

第二确定模块，用于将所述至少一个原始URL中参数部分与所述目标参数特征匹配的原始URL确定为目标URL。
根据权利要求8所述的装置，其特征在于，所述装置还包括：

第三获取模块，用于获取至少一个原始URL；

第四获取模块，用于获取针对所述至少一个原始URL中每个原始URL对应的页面内容，并检测所述每个原始URL对应的页面内容是否与目标页面特征匹配；

第三确定模块，将所述至少一个原始URL中页面内容与所述目标页面特征匹配的原始URL确定为目标URL。
根据权利要求8-10任意一项所述的装置，其特征在于，所述第一确定模块，包括：

获取单元，用于获取所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容之间的相似度值；

确定单元，用于当所述相似度值大于相似度阈值时，确定所述目标URL存在越权漏洞。
根据权利要求8-11任意一项所述的装置，其特征在于，所述装置还包括：

输出模块，用于输出报警提示信息，所述报警提示信息包括所述目标URL，所述报警提示信息用于提示目标用户处理所述目标URL的所述越权漏洞。
根据权利要求8-12任意一项所述的装置，其特征在于，所述第一确定模块还用于：

当所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容不匹配时，确定所述目标URL不存在越权漏洞。
根据权利要求8-12任意一项所述的装置，其特征在于，所述输出模块还用于：

当所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容匹配时，输出安全提示信息，所述安全提示信息用于提示所述目标URL已检测且不存在所述越权漏洞。
一种终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器用于执行所述存储器的所述程序指令，其中：

所述输出设备，用于向服务器发送第一请求和第二请求，所述第一请求包括目标统一资源定位符URL，所述第二请求包括所述目标URL和第一标识，所述第一标识用于标识第一用户的身份信息；

所述输入设备，用于接收所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容；

所述处理器，用于检测所述服务器针对所述第一请求返回的页面内容是否与针对所述第二请求返回的页面内容匹配；

所述输出设备，还用于当所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容不匹配时，向所述服务器发送第三请求，所述第三请求包括所述目标URL和第二标识，所述第二标识用于标识第二用户的身份信息，所述第二用户为与所述第一用户不同的用户；

所述输入设备，还用于接收所述服务器针对所述第三请求返回的页面内容；

所述处理器，还用于检测所述服务器针对所述第三请求返回的页面内容是否与针对所述第二请求返回的页面内容匹配，当所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配时，则确定所述目标URL存在越权漏洞。
根据权利要求15所述的终端，其特征在于，所述处理器还用于：

获取至少一个原始URL；

获取所述至少一个原始URL中每个原始URL的参数部分，并检测所述每个原始URL的参数部分是否与目标参数特征匹配；

将所述至少一个原始URL中参数部分与所述目标参数特征匹配的原始URL确定为目标URL。
根据权利要求15所述的终端，其特征在于，所述处理器还用于：

获取至少一个原始URL；

获取针对所述至少一个原始URL中每个原始URL对应的页面内容，并检测所述每个原始URL对应的页面内容是否与目标页面特征匹配；

将所述至少一个原始URL中页面内容与所述目标页面特征匹配的原始URL确定为目标URL。
根据权利要求15-17任意一项所述的终端，其特征在于，所述处理器具体用于：

获取所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容之间的相似度值；

若所述相似度值大于相似度阈值，则确定所述目标URL存在越权漏洞。
根据权利要求15-18任意一项所述的终端，其特征在于，所述输出设备还用于：

在确定所述目标URL存在越权漏洞之后，输出报警提示信息，所述报警提示信息包括所述目标URL，所述报警提示信息用于提示目标用户处理所述目标URL的所述越权漏洞。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。