【技术实现步骤摘要】
本申请涉及互联网
,尤其涉及一种漏洞检测方法和装置。
技术介绍
水平权限漏洞一般出现在一个用户对象关联多个其他对象(订单和/或地址等)、并且要实现对关联对象的增加、读取、更新和删除操作(CreateRetrieveUpdateDelete;以下简称:CRUD)的时候。开发者一般习惯性地在生成CRUD表单的时候根据认证过的用户身份来找出其有权限的被操作对象的标识,提供入口,然后让用户提交请求,并根据这个标识来操作相关对象。在处理CRUD请求时,往往默认只有有权限的用户才能得到入口,进而才能操作相关对象,因此就不再校验权限了。但是大多数被操作对象的标识都被设置为自增整型,所以攻击者只要对相关标识加1或减1、直至遍历,就可以操作其他用户所关联的对象了,这就形成了水平权限漏洞。由于这类关联对象的操作都和业务相关,且接口独立,所以很难实现通用的预防或解决方案,现有技术中也没有提供一种容易实现且能够有效地对水平权限漏洞进行检测的技术方案。
技术实现思路
本申请的目的旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本申请的第一个目的在于提出一种漏洞检测方法。该方法根...
【技术保护点】
一种漏洞检测方法,其特征在于,包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。2.根据权利要求1所述的方法,其特征在于,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:如果所述URL对应的返回结果中包括设定的关键字,则确定所述URL不存在水平权限漏洞;如果所述URL对应的返回结果中不包括设定的关键字,则确定所述URL存在水平权限漏洞的风险。3.根据权利要求1所述的方法,其特征在于,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:如果所述URL对应的返回结果中包括设定的信息,则确定所述URL存在劫持漏洞风险;如果所述URL对应的返回结果中不包括设定的信息,则确定所述URL不存在劫持漏洞。4.根据权利要求1所述的方法,其特征在于,所述访问请求还包括设定的字符,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:如果所述URL对应的返回结果中所述设定的字符已经被转义,则确定所述URL不存在反射型跨站脚本攻击漏洞;如果所述URL对应的返回结果中所述设定的字符未被转义,则确定所述URL存在反射型跨站脚本攻击漏洞风险。5.根据权利要求1-4任意一项所述的方法,其特征在于,所述向所述网站中的统一资源定位符URL对应的服务器发送访问请求包括:在接收并保存网站的登录信息之后,将所述网站中的URL生成超文本标记语言文件,打开所述超文本标记语言文件,读取所述超文本标记语言文件中的URL,并向所述URL对应的服务器发送访问请求。6.一种漏洞检测装置,其特征在于,包括:接收...
【专利技术属性】
技术研发人员:余成章,王意林,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。