本申请提出一种漏洞检测方法和装置,该漏洞检测方法包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。本申请根据URL对应的返回结果检测URL是否存在漏洞,可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
【技术实现步骤摘要】
本申请涉及互联网
,尤其涉及一种漏洞检测方法和装置。
技术介绍
水平权限漏洞一般出现在一个用户对象关联多个其他对象(订单和/或地址等)、并且要实现对关联对象的增加、读取、更新和删除操作(CreateRetrieveUpdateDelete;以下简称:CRUD)的时候。开发者一般习惯性地在生成CRUD表单的时候根据认证过的用户身份来找出其有权限的被操作对象的标识,提供入口,然后让用户提交请求,并根据这个标识来操作相关对象。在处理CRUD请求时,往往默认只有有权限的用户才能得到入口,进而才能操作相关对象,因此就不再校验权限了。但是大多数被操作对象的标识都被设置为自增整型,所以攻击者只要对相关标识加1或减1、直至遍历,就可以操作其他用户所关联的对象了,这就形成了水平权限漏洞。由于这类关联对象的操作都和业务相关,且接口独立,所以很难实现通用的预防或解决方案,现有技术中也没有提供一种容易实现且能够有效地对水平权限漏洞进行检测的技术方案。
技术实现思路
本申请的目的旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本申请的第一个目的在于提出一种漏洞检测方法。该方法根据统一资源定位符(UniformResourceLocator;以下简称:URL)对应的返回结果检测URL是否存在漏洞,可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。本申请的第二个目的在于提出一种漏洞检测装置。为了实现上述目的,本申请第一方面实施例的漏洞检测方法,包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。本申请实施例的漏洞检测方法中,接收并保存网站的登录信息之后,向上述网站中的URL对应的服务器发送访问请求,上述访问请求中携带上述网站的登录信息;然后接收上述服务器发送的上述URL对应的返回结果,根据上述URL对应的返回结果检测上述URL是否存在漏洞,从而可以实现根据URL对应的返回结果检测URL是否存在漏洞,进而可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。为了实现上述目的,本申请第二方面实施例的漏洞检测装置,包括:接收模块,用于接收网站的登录信息;保存模块,用于保存所述接收模块接收的网站的登录信息;发送模块,用于向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述保存模块保存的网站的登录信息;所述接收模块,还用于接收所述服务器发送的所述URL对应的返回结果;检测模块,用于根据所述接收模块接收的所述URL对应的返回结果检测所述URL是否存在漏洞。本申请实施例的漏洞检测装置中,接收模块接收网站的登录信息,保存模块保存接收模块接收的登录信息,然后发送模块向上述网站中的URL对应的服务器发送访问请求,上述访问请求中携带上述网站的登录信息;然后接收模块接收上述服务器发送的上述URL对应的返回结果,检测模块根据上述URL对应的返回结果检测上述URL是否存在漏洞,从而可以实现根据URL对应的返回结果检测URL是否存在漏洞,进而可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。附图说明本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:图1为本申请漏洞检测方法一个实施例的流程图;图2为本申请漏洞检测方法另一个实施例的流程图;图3为本申请漏洞检测装置一个实施例的结构示意图;图4为本申请漏洞检测装置另一个实施例的结构示意图。具体实施方式下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。相反,本申请的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。图1为本申请漏洞检测方法一个实施例的流程图,如图1所示,该漏洞检测方法可以包括:步骤101,接收并保存网站的登录信息。本实施例中,在通过浏览器登录网站之后,浏览器可以接收到网站的登录信息,然后浏览器可以保存上述网站的登录信息。步骤102,向上述网站中的URL对应的服务器发送访问请求。其中,上述访问请求包括上述网站的登录信息。本实施例中,浏览器中安装的浏览器插件,可以访问上述网站中的URL对应的服务器,在向上述URL对应的服务器发送的访问请求中携带上述网站的登录信息,这样,在接收到上述访问请求之后,上述服务器会认为已经登录上述网站并返回上述URL对应的返回结果。步骤103,接收上述服务器发送的上述URL对应的返回结果。步骤104,根据上述URL对应的返回结果检测上述URL是否存在漏洞。本实施例中,上述浏览器插件接收上述服务器发送的上述URL对应的返回结果之后,可以根据上述URL对应的返回结果检测上述URL是否存在漏洞。具体地,一种实现方式中,根据上述URL对应的返回结果检测上述URL是否存在漏洞可以为:如果上述URL对应的返回结果中包括设定的关键字,则确定上述URL不存在水平权限漏洞;如果上述URL对应的返回结果中不包括设定的关键字,则确定上述URL存在水平权限漏洞的风险。其中,上述设定的关键字可以包括:“您无权”、“不属于您”或者“状态错误”等,当然本实施例并不仅限于此,上述设定的关键字还可以根据实际需要进行添加,本实施例对上述设定的关键字不作限定。进一步地,步骤104之后,可以将步骤104的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在确定上述URL存在水平权限漏洞的风险之后,可以人工对上述URL是否确实存在水平权限漏洞进行确认,由于可以确定出不存在水平权限漏洞的URL,因此需要人工排查的URL的数量明显减少,比如有10000个URL需要进行检测,通过本申请提供的漏洞检测方法进行自动检测之后,只需人工排查1000个URL或更少,节省了大量的人力成本。另一种实现方式中,根据上述URL对应的返回结果检测上述URL是否存在漏洞包括:如果上述URL对应的返回结果中包括设定的信息,则确定上述URL存在劫持漏洞风险;如果上述URL对应的返回结果中不包括设定的信息,则确定上述URL不存在劫持漏洞。其中,上述设定的信息可以为敏感信息,上述敏感信息可以利用正则表达式校验出来,本实施例对上述设定的信息的具体内容不作限定。上述劫持漏洞可以为jsonp劫持漏洞。进一步地,步骤104之后,可以将步骤104的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在确定上述URL存在jsonp劫持漏洞风险之后,可以人工对上述URL是否确实存在jsonp劫持漏洞进行确认,由于可以确定出不存在jsonp劫持漏洞的URL,因此需要人工排查的URL的数量明显减少,节省本文档来自技高网...
【技术保护点】
一种漏洞检测方法,其特征在于,包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。2.根据权利要求1所述的方法,其特征在于,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:如果所述URL对应的返回结果中包括设定的关键字,则确定所述URL不存在水平权限漏洞;如果所述URL对应的返回结果中不包括设定的关键字,则确定所述URL存在水平权限漏洞的风险。3.根据权利要求1所述的方法,其特征在于,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:如果所述URL对应的返回结果中包括设定的信息,则确定所述URL存在劫持漏洞风险;如果所述URL对应的返回结果中不包括设定的信息,则确定所述URL不存在劫持漏洞。4.根据权利要求1所述的方法,其特征在于,所述访问请求还包括设定的字符,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:如果所述URL对应的返回结果中所述设定的字符已经被转义,则确定所述URL不存在反射型跨站脚本攻击漏洞;如果所述URL对应的返回结果中所述设定的字符未被转义,则确定所述URL存在反射型跨站脚本攻击漏洞风险。5.根据权利要求1-4任意一项所述的方法,其特征在于,所述向所述网站中的统一资源定位符URL对应的服务器发送访问请求包括:在接收并保存网站的登录信息之后,将所述网站中的URL生成超文本标记语言文件,打开所述超文本标记语言文件,读取所述超文本标记语言文件中的URL,并向所述URL对应的服务器发送访问请求。6.一种漏洞检测装置,其特征在于,包括:接收...
【专利技术属性】
技术研发人员:余成章,王意林,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。