辅助确定垂直越权、确定垂直的方法、装置及电子设备制造方法及图纸

本发明专利技术公开了一种辅助确定垂直越权、确定垂直越权的方法、装置及电子设备，所述辅助确定垂直越权的方法可以接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问。

Auxiliary method, device and electronic equipment for determining vertical overstepping and verticality

【技术实现步骤摘要】
辅助确定垂直越权、确定垂直的方法、装置及电子设备
本申请涉及计算机
，尤其涉及一种辅助确定垂直越权、确定垂直越权的方法、装置及电子设备。
技术介绍
随着应用数量的日益增多，应用的安全问题也日益严峻，针对应用的各种攻击手段层出不穷，例如，针对应用的业务逻辑漏洞的攻击呈上升趋势。应用的业务逻辑漏洞，是因业务开发人员对业务逻辑的处理不够严谨，导致的应用在业务逻辑处理上存在的缺陷。越权是常见的业务逻辑漏洞类型之一，越权又可以细分为垂直越权和平行越权。在一个应用中，通常会为不同的用户分配不同的权限，如果低权限用户能够使用仅对高权限用户开放的功能，这种使用行为即被称为垂直越权，例如普通用户能够使用管理员用户的权限的行为就是一种垂直越权行为。垂直越权漏洞的存在，可能会导致用户敏感信息被泄露、用户信息被恶意修改或删除等危害，因此有必要对应用的垂直越权访问进行检测，以及时发现垂直越权，防止应用受到针对垂直越权漏洞的攻击。目前，主要依靠人工对应用的垂直越权访问进行检测，但是人工检测方式虽然准确率较高但检测效率很低。
技术实现思路
本说明书实施例提供了一种辅助确定垂直越权、确定垂直越权的方法、装置及电子设备，以提高垂直越权访问的检测效率。为解决上述技术问题，本申请实施例是这样实现的：第一方面，提出了一种辅助确定垂直越权的方法，所述方法包括：接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问，所述目标类别为发起所述合法访问请求的用户的类别。第二方面，提出了一种确定垂直越权的方法，所述方法包括：接收访问目标应用的待测访问请求；获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列，所述实时调用序列包括所述待测访问请求已调用和当前正在调用的所述目标应用的关键函数，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述实时调用序列；基于所述实时调用序列与预设特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，所述预设特征库是基于预设类别的用户采用合法业务逻辑调用所述目标应用的关键函数的调用序列生成的，所述预设类别与发起所述待测访问请求的用户的类别相同。第三方面，提出了一种辅助确定垂直越权的装置，所述装置包括：第一接收模块，用于接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；第一获取模块，用于获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；第一生成模块，用于基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问，所述目标类别为发起所述合法访问请求的用户的类别。第四方面，提出了一种确定垂直越权的装置，所述装置包括：第三接收模块，用于接收访问目标应用的待测访问请求；第三获取模块，用于获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列，所述实时调用序列包括所述待测访问请求已调用和当前正在调用的所述目标应用的关键函数，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述实时调用序列；第二确定模块，用于基于所述实时调用序列与预设特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，所述预设特征库是基于预设类别的用户采用合法业务逻辑调用所述目标应用的关键函数的调用序列生成的，所述预设类别与发起所述待测访问请求的用户的类别相同。第五方面，提出了一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行以下操作：接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问，所述目标类别为发起所述合法访问请求的用户的类别。第六方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问，所述目标类别为发起所述合法访问请求的用户的类别。第七方面，提出了一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行以下操作：接收访问目标应用的待测访问请求；获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列，所述实时调用序列包括所述待测访问请求已调用和当前正在调用的所述目标应用的关键函数，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述实时调用序列；基于所述实时调用序列与预设特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，所述预设特征库是基于预设类别的用户采用合法业务逻辑调用所述目标应用的关键函数的调用序列生成的，所述预设类别与发起所述待测访问请求的用户的类别相同。第八方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：接收访问目标应用的待测访问请求；获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列，所述实时调用序列包括所述待测访问请求已调用和当前正在调用的所述目标应用的关键函数，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述实时调用序列；基于所述实时调用序列与预设特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，所述预设特征库是基于预设类别的用户采用合法业务逻辑调用所述目标应用的关键函数的调用序列生成的，所述预设类别与发起所述待测访问请求的用户的类别相同。由以上本申请实施例提供的技术方案可见，本申请实施例提供的方案至少具备如下一种技术效果：由于可以在对目标应用的关键函数进行AOP处理之后，基于目标类别的用户采用合法业务逻辑调用目标应用的关键函数的合法调用序列，生成针对目标类别的用户的特征库，该特征库可以用于自动辅助确定针对目标应用的垂直越权访问，因此，可以提高目标应用的垂直越权检测效率。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不本文档来自技高网...

【技术保护点】
1.一种辅助确定垂直越权的方法，所述方法包括：接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问，所述目标类别为发起所述合法访问请求的用户的类别。

【技术特征摘要】
1.一种辅助确定垂直越权的方法，所述方法包括：接收访问目标应用的合法访问请求，所述合法访问请求用于采用预设合法业务逻辑访问所述目标应用；获取所述合法访问请求调用所述目标应用的关键函数的合法调用序列，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述合法调用序列；基于所述合法调用序列生成目标类别的用户的特征库，所述特征库用于辅助确定针对所述目标应用的垂直越权访问，所述目标类别为发起所述合法访问请求的用户的类别。2.根据权利要求1所述的方法，其中，所述基于所述合法调用序列生成目标类别的用户的特征库，包括：将所述合法调用序列作为特征进行保存，得到所述目标类别的用户的特征库。3.根据权利要求2所述的方法，还包括：接收所述目标类别的用户访问所述目标应用的待测访问请求；获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列，所述实时调用序列包括所述待测访问请求已调用和当前正在调用的所述目标应用的关键函数；基于所述实时调用序列与所述特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果。4.根据权利要求3所述的方法，其中，所述基于所述实时调用序列与所述特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，包括：在所述实时调用序列与所述特征库中的特征均不匹配的情况下，确定所述待测访问请求为垂直越权访问请求；否则，返回执行所述获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列的步骤，直到所述待测访问请求对所述目标应用的关键函数的调用结束。5.根据权利要求4所述的方法，还包括：在确定所述待测访问请求为垂直越权访问请求的情况下，阻断所述待测访问请求对所述目标应用的代码的继续调用。6.根据权利要求5所述的方法，其中，所述阻断所述待测访问请求对所述目标应用的代码的继续调用，包括：通过AOP对所述目标应用的关键函数进行代码阻断控制，以阻断所述待测访问请求对所述目标应用的代码的继续调用。7.根据权利要求6所述的方法，其中，所述通过AOP对所述目标应用的关键函数进行代码阻断控制，包括：通过AOP对所述待测访问请求当前正在调用的所述目标应用的关键函数进行代码阻断控制。8.根据权利要求1-7任一项所述的方法，所述关键函数包括API接口和逻辑处理函数中的至少一种。9.一种确定垂直越权的方法，所述方法包括：接收访问目标应用的待测访问请求；获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列，所述实时调用序列包括所述待测访问请求已调用和当前正在调用的所述目标应用的关键函数，所述目标应用的关键函数经过面向切面编程AOP处理，以便于获取所述实时调用序列；基于所述实时调用序列与预设特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，所述预设特征库是基于预设类别的用户采用合法业务逻辑调用所述目标应用的关键函数的调用序列生成的，所述预设类别与发起所述待测访问请求的用户的类别相同。10.根据权利要求9所述的方法，其中，所述基于所述实时调用序列与预设特征库中的特征的匹配关系，确定所述待测访问请求对应的垂直越权检测结果，包括：在所述实时调用序列与预设特征库中的特征均不匹配的情况下，确定所述待测访问请求为垂直越权访问请求；否则，返回执行所述获取所述待测访问请求调用所述目标应用的关键函数的实时调用序列的步骤，直到所述待测访问请求对所述目标应用的关键函数的调用结束。11.根据权利要求10所述的方法，还包括：在确定所述待测访问请求为垂直越权访问请求的情况下，阻断所述待测访问请求对所述目标应用的代码的继续调用。12.根据权利要求11所述的方法，其中，所述阻断所述待测访问请求对所述目标应用的代码的继续调用，包括：通过AOP对所述目标应用的关键函数进行代码阻断控制，以阻断所述待测访问请求对所述目标应用的代码的继续调用。13.根据权利要求12所述的方法，其中，所述通过AOP对所述目标应用的关键函数进行代码阻断控制，包括：通过AOP对所述待测访问请求当前正在调用的所述目标应用的关键函数进行代码阻断控制。14.根据权利要求9-13任一项所述的方法，在接收访问目标应用的待测访问请求之前，所述方法还包括：基于AOP对所述目标应用的关键函数进行处理。15.根据权利要求14所述的方法，在基于AOP对所述目标应用的关键函数进行处理之后，在接收访问目标应用的待测访问请求之前，所述方法还包括：接收所述预设类别的用户访问所述...

【专利技术属性】
技术研发人员：周航，王依民，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY