【技术实现步骤摘要】
水平越权漏洞检测方法、设备及计算机可读存储介质
本专利技术涉及互联网
,尤其涉及一种水平越权漏洞检测方法、设备及计算机可读存储介质。
技术介绍
随着互联网技术的发展,web(WorldWideWeb,全球广域网,也称为万维网)应用的普及程度越来越高。web应用是通过web访问的应用程序,只需要在终端中安装浏览器,即可实现对各应用软件进行访问,方便了对应用软件的访问需求。但是,互联网在给人们生活带来便利的同时,也使得不法分子对互联网的网络攻击大幅增加。web应用中,水平越权漏洞是常见的安全漏洞,攻击者利用该漏洞可能造成大量用户敏感数据泄密丢失、用户资金恶意盗刷等安全问题。因此,如何增强web应用的水平越权漏洞,提前发现安全隐患,已成为当前web应用的迫切需要。现阶段对Web应用的安全检测主要是通过通用扫描工具或者人工渗透来实现,但是通用扫描工具只能覆盖常规漏洞,针对产品个性化特点的漏洞,通用扫描工具则无法检测,检测的灵活性差。而人工渗透需要反复投入人力,且在web应用所支持功能较多的情况下,容易遗漏。从而...
【技术保护点】
1.一种水平越权漏洞检测方法,其特征在于,所述水平越权漏洞检测方法包括以下步骤:/n遍历预设资源库中的访问请求,并对各所述访问请求进行过滤,生成待检测访问请求以及所述待检测访问请求的待检测参数;/n根据各所述待检测参数,生成待验证访问请求,并基于所述待验证访问请求发起访问;/n根据访问所生成的响应结果,确定与所述访问请求对应的web应用是否存在水平越权漏洞。/n
【技术特征摘要】
1.一种水平越权漏洞检测方法,其特征在于,所述水平越权漏洞检测方法包括以下步骤:
遍历预设资源库中的访问请求,并对各所述访问请求进行过滤,生成待检测访问请求以及所述待检测访问请求的待检测参数;
根据各所述待检测参数,生成待验证访问请求,并基于所述待验证访问请求发起访问;
根据访问所生成的响应结果,确定与所述访问请求对应的web应用是否存在水平越权漏洞。
2.如权利要求1所述的水平越权漏洞检测方法,其特征在于,所述根据各所述待检测参数,生成待验证访问请求,并基于所述待验证访问请求发起访问的步骤包括:
对各所述待检测参数进行组合,生成组合参数,并从预设资源库中查找目标访问请求,其中所述目标访问请求的访问地址与所述待检测访问请求的访问地址相同;
查找所述目标访问请求中与所述组合参数对应的目标参数,用所述组合参数对所述目标参数进行替换,生成待验证访问请求,并基于所述待验证访问请求发起访问。
3.如权利要求2所述的水平越权漏洞检测方法,其特征在于,所述根据访问所生成的响应结果,确定与所述访问请求对应的web应用是否存在水平越权漏洞的步骤包括:
获取所述待验证访问请求发起访问所生成的响应结果,并调用所述待检测访问请求对应的目标访问结果;
生成所述响应结果和所述目标访问结果之间的相似度值,并判断所述相似度值是否大于预设阈值;
若所述相似度值大于所述预设阈值,则判定与所述访问请求对应的web应用存在水平越权漏洞;
若所述相似度值不大于所述预设阈值,则判定与所述访问请求对应的web应用不存在水平越权漏洞。
4.如权利要求1所述的水平越权漏洞检测方法,其特征在于,所述对各所述访问请求进行过滤,生成待检测访问请求以及所述待检测访问请求的待检测参数的步骤包括:
将各所述访问请求作为处理单位进行单独处理,均执行以下步骤:
根据所述访问请求的入参参数,判断所述访问请求是否符合预设过滤条件,若符合预设过滤条件,则对所述访问请求进行过滤;
若不符合预设过滤条件,则将所述访问请求作为待检测访问请求,并对各所述入参参数进行过滤,生成待检测参数。
5.如权利要求4所述的水平越权漏洞检测方法,其特征在于,所述根据所述访问请求的入参参数,判断所述访问请求是否符合预设过滤条件...
【专利技术属性】
技术研发人员:章二林,姚旺,寇相礼,
申请(专利权)人:招商银行股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。