【技术实现步骤摘要】
系统安全漏洞的检测方法和装置
本专利技术涉及计算机
,尤其涉及一种系统安全漏洞的检测方法和装置。
技术介绍
现有的Web应用系统中往往存在一种或多种安全漏洞,例如由于系统缺少对用户相关权限的验证,没有权限的非法用户能够执行该权限内的业务功能,从而形成巨大的安全隐患。在目前的安全漏洞检测方法中,无论是手工检测还是自动化检测均存在检测准确性低的问题。
技术实现思路
有鉴于此,本专利技术实施例提供一种系统安全漏洞的检测方法和装置,能够准确检测待测系统中存在的、因缺少对用户登录凭证进行验证而产生的安全漏洞。为实现上述目的,根据本专利技术的一个方面,提供了一种系统安全漏洞的检测方法。本专利技术实施例的系统安全漏洞的检测方法包括:获取针对待测系统的第一访问请求,该第一访问请求携带第一用户的登录状态信息;对第一访问请求数据包中的登录凭证信息进行更改,生成针对待测系统的第一测试请求;向待测系统发送第一访问请求和第一测试请求;比较待测系统针对第一访问请求返回的第一响应与针对第一测试请求返回的第二响应,...
【技术保护点】
1.一种系统安全漏洞的检测方法,其特征在于,包括:/n获取针对待测系统的第一访问请求,该第一访问请求携带第一用户的登录状态信息;/n对第一访问请求数据包中的登录凭证信息进行更改,生成针对待测系统的第一测试请求;/n向待测系统发送第一访问请求和第一测试请求;以及/n比较待测系统针对第一访问请求返回的第一响应与针对第一测试请求返回的第二响应,根据比较结果判断待测系统中是否存在安全漏洞。/n
【技术特征摘要】
1.一种系统安全漏洞的检测方法,其特征在于,包括:
获取针对待测系统的第一访问请求,该第一访问请求携带第一用户的登录状态信息;
对第一访问请求数据包中的登录凭证信息进行更改,生成针对待测系统的第一测试请求;
向待测系统发送第一访问请求和第一测试请求;以及
比较待测系统针对第一访问请求返回的第一响应与针对第一测试请求返回的第二响应,根据比较结果判断待测系统中是否存在安全漏洞。
2.根据权利要求1所述的方法,其特征在于,所述对第一访问请求数据包中的登录凭证信息进行更改,包括:
将第一访问请求数据包中的登录凭证信息替换为预先存储的第二用户的登录凭证信息;或者
将第一访问请求数据包中的登录凭证信息删除。
3.根据权利要求1所述的方法,其特征在于,所述根据比较结果判断待测系统中是否存在安全漏洞,包括:
在第一响应携带的请求数据与第二响应携带的请求数据相同时,确定待测系统中存在安全漏洞。
4.根据权利要求1所述的方法,其特征在于,所述根据比较结果判断待测系统中是否存在安全漏洞,包括:
在第一响应携带的请求数据与第二响应携带的请求数据的格式相同时,确定待测系统中存在安全漏洞。
5.根据权利要求1所述的方法,其特征在于,所述根据比较结果判断待测系统中是否存在安全漏洞,包括:
在第一响应的数据包大小与第二响应的数据包大小的差值小于预设的第一阈值时,确定待测系统中存在安全漏洞。
6.根据权利要求4所述的方法,其特征在于,所述方法进一步包括:
在第一响应携带的请求数据与第二响应携带的请求数据的格式相同时,获取针对待...
【专利技术属性】
技术研发人员:刘刚,
申请(专利权)人:泰康保险集团股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。