【技术实现步骤摘要】
【国外来华专利技术】安全诊断装置以及安全诊断方法
本专利技术涉及对权限管理的缺陷进行诊断的安全诊断装置。
技术介绍
互联网上公开的Web应用的脆弱性每天都被发现,有恶意的攻击者进行的攻击是必须警戒的威胁之一。在确认有无Web应用的脆弱性的方法中,具有Web应用诊断工具、安全诊断服务。这些方法通过对Web应用实施模拟攻击,诊断有无已知的脆弱性。Web应用的脆弱性之一是权限管理的缺陷。权限管理的缺陷是指如下情况:在存在具有不同权限的2个账户的情况下,仅一个账户可转移的页面或有效的功能,另一个账户也能够转移或执行。以往,诊断的实施者通过目视来确认与可转移的页面或有效的功能有关的账户之间的差异,设定于工具或手动地执行模拟攻击,从而诊断权限管理的缺陷。然而,由于花费人力成本,因此要求削减人力成本。在专利文献1中,通过跟踪访问对象时的权限要求API的调用和实际的访问API的调用,制作假设的访问API,确认是否与实际的访问API的调用对应。在实际的访问API不与假设的访问API对应的情况下,专利文献1判断为违反最小权限。现有技...
【技术保护点】
1.一种安全诊断装置,其特征在于,该安全诊断装置具备:/n提取部,其提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数;/n请求生成部,其在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数包含有由所述提取部提取出的所述固定参数,且值与特权的账户的值不同的情况下,输出对所述固定参数设定了特权的账户的值的HTTP请求;/n请求发送接收部,其用普通权限的账户将所述HTTP请求发送到所述转移终点URL,接收HTTP响应;以及/n判定部,其根据所述HTTP响应来判定所...
【技术特征摘要】
【国外来华专利技术】1.一种安全诊断装置,其特征在于,该安全诊断装置具备:
提取部,其提取由特权的第1账户发送到转移终点URL的HTTP请求中包含的参数中的、值与由特权的第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数;
请求生成部,其在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数包含有由所述提取部提取出的所述固定参数,且值与特权的账户的值不同的情况下,输出对所述固定参数设定了特权的账户的值的HTTP请求;
请求发送接收部,其用普通权限的账户将所述HTTP请求发送到所述转移终点URL,接收HTTP响应;以及
判定部,其根据所述HTTP响应来判定所述转移终点URL的脆弱性。
2.根据权利要求1所述的安全诊断装置,其特征在于,
在由普通权限的账户发送到所述转移终点URL的HTTP请求的参数不包含由所述提取部提取出的所述固定参数的情况下,所述请求生成部将设定了特权的账户的值的所述固定参数追加到HTTP请求中,输出追加有所述固定参数的HTTP请求。
3.根据权利要求1或2所述的安全诊断装置,其特征在于,
所述提取部提取由所述第1账户发送到所述转移终点URL的HTTP请求中包含的参数中的、值与由所述第2账户发送到所述转移终点URL的HTTP请求中包含的参数不同的变动参数,
在未由普通权限的账户转移到所述转移终点URL的情况下,所述请求生成部对由特权的账户发送到所述转移终点URL的HTTP请求中的由所述提取部提取出的所述变动参数,设定由普通权限的账户发送到所述转移终点URL的HTTP请求的参数的值,输出设定了值的HTTP请求。
4.根据权利要求1~3中的任意一项所述的安全诊断装置,其特征在于,
关于由所述第1账户发送到所述转移终点URL的HTTP请求中包含的参数中的、值与由所述第2账户发送到所述转移终点URL的HTTP请求中包含的参数相同的固定参数,在从所述第1账户向所述转移终点URL多次发送的HTTP请求中包含的所述固定参数的值不同的情况下,所述提取部提取所述固定参数,作为由与所述转移终点UR...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。