web访问的越权漏洞检测方法及装置制造方法及图纸

本发明专利技术公开了一种web访问的越权漏洞检测方法，包括以下步骤：采集预设时间内待检测的HTTP流量信息，所述HTTP流量信息包括URL参数及会话标识，其中，所述URL参数信息包括URL参数及参数值；根据所述URL参数信息及会话标识按预设规则识别出所述URL参数中用于索引服务器资源的索引参数，并从所述索引参数中提取出用于索引用户私有资源的私有参数；对每一所述私有参数进行预设的越权漏洞测试操作，根据测试结果确定存在越权漏洞的私有参数。本发明专利技术还公开了一种web访问的越权漏洞检测装置。本发明专利技术能覆盖检测测试范围内所有存在越权漏洞的URL参数，识别率高。

【技术实现步骤摘要】

本专利技术涉及网络安全
，尤其涉及一种web访问的越权漏洞检测方法及装置。
技术介绍
目前互联网中存在的最严重的漏洞之一是越权访问这类漏洞，如在统一资源定位符(Uniform Resource Locator，简称URL)越权漏洞中，由于web程序设计缺陷，利用URL传入参数的可猜测性，通过变更输入的参数值，就可能造成横向越权访问，拿到他人私有信息。URL越权漏洞是一种危害非常大的业务逻辑漏洞，它可以直接绕过基础的网络安全服务防御，越权漏洞发现难度大。现有技术中，网站设计者会对这些参数进行权限校验，确保用户仅能访问到属于自己的资源，但是在这类应用中，诸如此类的数据如此之多，从地址数据、订单信息、支付信息等，无一不需要小心处理。当业务复杂到一定程度之后，很难保证这些数据的访问都经过了严格的权限校验，从而产生了 URL越权漏洞。URL越权漏洞能够被攻击者利用，造成横向越权访问，导致用户敏感信息的泄漏。现有技术中，对URL越权漏洞的检测主要是通过测试人员对web程序进行渗透测试，人工检测出漏洞，即全凭人工对各种URL参数进行无差别的人工检测处理来找到存在越权漏洞的URL参数，不仅效率较低，耗费人力，而且不能确保覆盖检测到测试范围内的所有URL参数。
技术实现思路
本专利技术的主要目的在于提供一种web访问的越权漏洞检测方法及装置，旨在高效率地覆盖检测测试范围内所有存在越权漏洞的URL参数。为实现上述目的，本专利技术提供的一种web访问的越权漏洞检测方法，所述方法包括以下步骤:采集预设时间内待检测的HTTP流量信息，所述HTTP流量信息包括URL参数信息及会话标识，其中，所述URL参数信息包括URL参数及参数值；根据所述URL参数信息及会话标识按预设规则识别出所述URL参数中用于索引服务器资源的索引参数，并从所述索引参数中提取出用于索引用户私有资源的私有参数；对每一所述私有参数进行预设的越权漏洞测试操作，根据测试结果确定存在越权漏洞的私有参数。优选地，所述根据所述URL参数信息及会话标识按预设规则识别出所述URL参数中用于索引服务器资源的索引参数，并从所述索引参数中提取出用于索引用户私有资源的私有参数的步骤包括:获取所述HTTP流量信息中URL参数对应的参数值的取值特征，将取值特征符合预设条件的URL参数识别为索引参数，所述索引参数用于索引服务器资源；根据所述会话标识获取每一索引参数的平均单个会话访问的不同参数值个数，若索引参数的平均单个会话访问的不同参数值个数小于预设个数，则识别该索引参数为私有参数，所述私用参数用于索引用户私有资源。优选地，所述统计获取所述HTTP流量信息中URL参数对应的参数值的取值特征，将取值特征符合预设条件的URL参数识别为索引参数的步骤包括:统计所述HTTP流量信息中每一 URL参数的不同取值个数及访问每一 URL参数的访问记录条数；若所述访问记录条数达到预设条数，且URL参数的不同取值个数在所述访问记录条数中所占比例达到预设比例，则识别该URL参数为索引参数。优选地，当所述会话标识包括第一会话标识和第二会话标识时，所述对每一所述私有参数进行预设的越权漏洞测试操作，根据测试结果确定存在越权漏洞的私有参数的步骤包括:若监测到第一 HTTP请求以第一会话标识访问私有参数，获取在所述第一会话标识对应的会话中所述私有参数的第一参数值，并记录反馈的第一返回信息；若监测到第二 HTTP请求以第二会话标识访问所述私有参数，获取在所述第二会话标识对应的会话中所述私有参数的第二参数值，并记录反馈的第二返回信息；构造使用所述第二会话标识及所述第一参数值的HTTP测试请求来访问所述私有参数，并记录反馈的测试返回信息；若所述第一返回信息与所述第二返回信息不同，且所述测试返回信息与所述第一返回信息相同，则确定所述私有参数存在越权漏洞。优选地，所述对每一所述私有参数进行预设的越权漏洞测试操作，根据测试结果确定存在越权漏洞的私有参数的步骤之后还包括:展示存在越权漏洞的私有参数，以供用户针对存在越权漏洞的私有参数进行相应的风险防护操作。此外，为实现上述目的，本专利技术还提供一种web访问的越权漏洞检测装置，所述web访问的越权漏洞检测装置包括:采集模块，用于采集预设时间内待检测的HTTP流量信息，所述HTTP流量信息包括URL参数信息及会话标识，其中，所述URL参数信息包括URL参数及参数值；识别模块，用于根据所述URL参数信息及会话标识按预设规则识别出所述URL参数中用于索引服务器资源的索引参数，并从所述索引参数中提取出用于索引用户私有资源的私有参数；测试模块，用于对每一所述私有参数进行预设的越权漏洞测试操作，根据测试结果确定存在越权漏洞的私有参数。优选地，所述识别模块具体用于:获取所述HTTP流量信息中URL参数对应的参数值的取值特征，将取值特征符合预设条件的URL参数识别为索引参数，所述索引参数用于索引服务器资源；根据所述会话标识获取每一索引参数的平均单个会话访问的不同参数值个数，若索引参数的平均单个会话访问的不同参数值个数小于预设个数，则识别该索引参数为私有参数，所述私用参数用于索引用户私有资源。优选地，所述识别模块具体用于:统计所述HTTP流量信息中每一 URL参数的不同取值个数及访问每一 URL参数的访问记录条数；若所述访问记录条数达到预设条数，且URL参数的不同取值个数在所述访问记录条数中所占比例达到预设比例，则识别该URL参数为索引参数。优选地，当所述会话标识包括第一会话标识和第二会话标识时，所述测试模块具体用于:若监测到第一 HTTP请求以第一会话标识访问私有参数，获取在所述第一会话标识对应的会话中所述私有参数的第一参数值，并记录反馈的第一返回信息；若监测到第二 HTTP请求以第二会话标识访问所述私有参数，获取在所述第二会话标识对应的会话中所述私有参数的第二参数值，并记录反馈的第二返回信息；构造使用所述第二会话标识及所述第一参数值的HTTP测试请求来访问所述私有参数，并记录反馈的测试返回信息；若所述第一返回信息与所述第二返回信息不同，且所述测试返回信息与所述第一返回信息相同，则确定所述私有参数存在越权漏洞。优选地，所述web访问的越权漏洞检测装置还包括:展示模块，用于展示存在越权漏洞的私有参数，以供用户针对存在越权漏洞的私有参数进行相应的风险防护操作。本专利技术提出的一种web访问的越权漏洞检测方法及装置，通过采集的预设时间内待检测的URL参数信息及会话标识按预设规则识别出待检测的URL参数中用于索引服务器资源的索引参数，并从所述索引参数中提取出用于索引用户私有资源的私有参数；对每一所述私有参数进行预设的越权漏洞测试操作确定存在越权漏洞的私有参数。由于只识别测试范围内所有URL参数中的索引参数，并只对从所述索引参数中提取出的私有参数进行越权漏洞测试，极大地提高了检测效率，且能覆盖检测测试范围内所有存在越权漏洞的URL参数，识别率高。【附图说明】图1为本专利技术web访问的越权漏洞检测方法第一实施例的流程示意图； 图2为本专利技术web访问的越权漏洞检测方法第二实施例的流程示意图；图3为本专利技术web访问的越权漏洞检测装置第一实施例的功能模块示意图；图4为本专利技术web访问的越权漏洞检测装置第二实施本文档来自技高网...

【技术保护点】
一种web访问的越权漏洞检测方法，其特征在于，所述方法包括以下步骤：采集预设时间内待检测的HTTP流量信息，所述HTTP流量信息包括URL参数信息及会话标识，其中，所述URL参数信息包括URL参数及参数值；根据所述URL参数信息及会话标识按预设规则识别出所述URL参数中用于索引服务器资源的索引参数，并从所述索引参数中提取出用于索引用户私有资源的私有参数；对每一所述私有参数进行预设的越权漏洞测试操作，根据测试结果确定存在越权漏洞的私有参数。

【技术特征摘要】

【专利技术属性】
技术研发人员：王蔚，
申请(专利权)人：深圳市深信服电子科技有限公司，
类型：发明
国别省市：广东;44