检测web应用越权的方法及系统技术方案

本发明专利技术公开了一种检测web应用越权的方法及系统，其中，方法包括如下步骤：S1)、通过两个不同的用户账号登陆待检测应用程序，并遍历应用程序中的所有功能；S2)、收集并记录当前浏览器的所有请求信息和响应信息，从而形成request表和reponse表；S3)、将分别与两个用户所对应的请求中的要素彼此作全部或部分替换，形成水平和/或垂直权限请求回放记录表；S4)、回放替换后的请求，生成回放响应表；S5)、对比reponse表和回放响应表，得出响应相似度。由此可知，通过上述检测方法，不需要了解应用程序的所有接口，即可分析系统是否存在越权漏洞，属于半自动方式检测，另外，基于替换请求要素然后计算响应相似度的方式来检测是否存在越权漏洞，准确率高。

The method and system of detecting web application exceeding authority

【技术实现步骤摘要】
检测web应用越权的方法及系统
本专利技术涉及web应用越权检测
，尤其涉及一种基于请求参数替换的检测web应用越权的方法及系统。
技术介绍
越权缺陷漏洞是web应用常见的业务逻辑漏洞之一，也是现在很多公司比较看重的，它的形成原因是由于服务器端对客户端的数据操作请求过分信任，忽略了对该用户操作权限的判定。越权缺陷漏洞包括有水平越权和垂直越权，水平越权也叫横向越权，指的是攻击者尝试访问与他拥有相同权限的用户的资源，垂直越权也叫纵向越权，指的是一个低级别攻击者尝试访问高级别用户的资源。由于这种越权操作的判定和检测依赖于业务逻辑，所以在检测的时候不同于其他的漏洞检测，情况会很复杂，对于垂直越权的场景来说，不同的客户会有不同的权限组织结构，不能用统一的级别角色来做检测依据；对于水平越权的场景来说，不同的客户会有不同的资源，对资源的保护也不一样，所以无法统一规范资源，从而无法判断是否越权访问资源。正是由于这种和业务逻辑紧密关联在一起的特性，导致现在几乎没有一个很好的完美解决水平垂直越权的检测产品和工具。现在很多公司对产品的越权权限漏洞的检测本文档来自技高网...

【技术保护点】
1.一种检测web应用越权的方法，其特征在于，包括如下步骤：/nS1)、通过两个不同的用户账号登陆待检测应用程序，并遍历所述应用程序中的所有功能；/nS2)、收集并记录当前浏览器的所有请求信息和响应信息，从而形成request表和reponse表，并根据为所述应用程序的各个用户角色配置的用户信息，形成请求、角色和用户的对应关系关联表；/nS3)、当所述步骤1中的两个用户账号属于同一角色时，根据所述关联表，将分别与两个用户所对应的请求中的参数彼此作全部或部分替换，将替换后的请求进行存储，形成水平权限请求回放记录表；/n当所述步骤1中的两个用户账号分别属于两个角色时，根据所述关联表，将分别与两个用...

【技术特征摘要】
1.一种检测web应用越权的方法，其特征在于，包括如下步骤：
S1)、通过两个不同的用户账号登陆待检测应用程序，并遍历所述应用程序中的所有功能；
S2)、收集并记录当前浏览器的所有请求信息和响应信息，从而形成request表和reponse表，并根据为所述应用程序的各个用户角色配置的用户信息，形成请求、角色和用户的对应关系关联表；
S3)、当所述步骤1中的两个用户账号属于同一角色时，根据所述关联表，将分别与两个用户所对应的请求中的参数彼此作全部或部分替换，将替换后的请求进行存储，形成水平权限请求回放记录表；
当所述步骤1中的两个用户账号分别属于两个角色时，根据所述关联表，将分别与两个用户所对应的请求的主体作彼此替换，且参数作全部或部分替换，将替换后的请求进行存储，形成垂直权限请求回放记录表；
S4)、回放所述步骤3中形成的水平权限请求回放记录表和/或垂直权限请求回放记录表中所存储的请求，并分别记录每条请求所形成的响应，生成回放响应表；
S5)、对比所述reponse表和所述回放响应表，得出响应相似度，从而生成并上报用于判断是否越权的相似度分析结果。


2.根据权利要求1所述的检测web应用越权的方法，其特征在于，在所述步骤5中，所述响应相似度得出方法具体包括：将通过替换后形成的多个请求所对应的响应值逐一与原请求所对应的响应值进行比较，从而分别计算出一相似度；所述相似度分析结果包括若干组展示表，每一组所述展示表中包括有一原请求、一原响应、一替换后的请求、一替换后的响应及所述原响应与所述替换后的响应之间的相似度，此处，所述替换后的请求为对原请求进行替换后形成的多个请求中与原请求相似度最高者。


3.根据权利要求2所述的检测web应用越权的方法，其特征在于，所述展示表中，还可根据需求全部展示与所述原请求对应的多个替换后的请求、替换后的响应、替换的要素以及相似度。


4.根据权利要求1所述的检测web应用越权的方法，其特征在于，还包括步骤S6)：根据所述相似度分析结果以及所述应用程序的实际逻辑设置，对所述请求回放记录表中的请求的主体和/或参数进行标记，通过对所述请求的主体进行标记，以判断所述请求是否越权，通过对所述请求的参数进行标记，以判断所述参数是否影响越权。


5.根据权利要求1所述的检测web应用越权的方法，其特征在于，所述应用程序在工作过程中，实时收集请求流量和响应流量，以对所述request表和reponse表进行更新，进而对所述请求回放记录表进行更新。


6.一种检测web应用越权的系统，其特征在于，包括遍历模块、数据收集模块、数据处理模块、回放模块以及分析上报模块；
所述遍历模块，用于通过使用不同的用户账号登陆待检测应用程序，以遍历所述应用程序中的所有功能；
所述数据收集模块，用于收集并记录当前浏览器的所有原始请求信息和原始响应信息，从而形成request表和reponse表，并根据为所述应用程序的各个用户角色配置的用户信息，形成请求、角色和用户的对应关系...

【专利技术属性】
技术研发人员：汪杰，万振华，李华，潘志祥，王颉，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：广东;44