水平越权漏洞检测方法、设备及计算机可读存储介质技术

本发明专利技术公开了一种水平越权漏洞检测方法、设备及计算机可读存储介质，该方法包括以下步骤：遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数；根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问；根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞。本发明专利技术因用于确定web应用是否存在水平越权漏洞的响应结果依据待检测参数生成，而待检测参数来源于访问请求，使得针对web应用中各功能的访问请求均可触发检测，确保了检测的灵活性和全面性。

Detection method, equipment and computer readable storage medium of horizontal ultra vires vulnerability

【技术实现步骤摘要】
水平越权漏洞检测方法、设备及计算机可读存储介质
本专利技术涉及互联网
，尤其涉及一种水平越权漏洞检测方法、设备及计算机可读存储介质。
技术介绍
随着互联网技术的发展，web(WorldWideWeb，全球广域网，也称为万维网)应用的普及程度越来越高。web应用是通过web访问的应用程序，只需要在终端中安装浏览器，即可实现对各应用软件进行访问，方便了对应用软件的访问需求。但是，互联网在给人们生活带来便利的同时，也使得不法分子对互联网的网络攻击大幅增加。web应用中，水平越权漏洞是常见的安全漏洞，攻击者利用该漏洞可能造成大量用户敏感数据泄密丢失、用户资金恶意盗刷等安全问题。因此，如何增强web应用的水平越权漏洞，提前发现安全隐患，已成为当前web应用的迫切需要。现阶段对Web应用的安全检测主要是通过通用扫描工具或者人工渗透来实现，但是通用扫描工具只能覆盖常规漏洞，针对产品个性化特点的漏洞，通用扫描工具则无法检测，检测的灵活性差。而人工渗透需要反复投入人力，且在web应用所支持功能较多的情况下，容易遗漏。从而如何提高web应用水平越权漏洞的灵活性和全面性，是当前亟待解决的技术问题。
技术实现思路
本专利技术的主要目的在于提供一种水平越权漏洞检测方法、设备及计算机可读存储介质，旨在解决现有技术如何提高web应用水平越权漏洞的灵活性和全面性的技术问题。为实现上述目的，本专利技术提供一种水平越权漏洞检测方法，所述水平越权漏洞检测方法包括以下步骤：遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数；根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问；根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞。可选地，所述根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问的步骤包括：对各所述待检测参数进行组合，生成组合参数，并从预设资源库中查找目标访问请求，其中所述目标访问请求的访问地址与所述待检测访问请求的访问地址相同；查找所述目标访问请求中与所述组合参数对应的目标参数，用所述组合参数对所述目标参数进行替换，生成待验证访问请求，并基于所述待验证访问请求发起访问。可选地，所述根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞的步骤包括：获取所述待验证访问请求发起访问所生成的响应结果，并调用所述待检测访问请求对应的目标访问结果；生成所述响应结果和所述目标访问结果之间的相似度值，并判断所述相似度值是否大于预设阈值；若所述相似度值大于所述预设阈值，则判定与所述访问请求对应的web应用存在水平越权漏洞；若所述相似度值不大于所述预设阈值，则判定与所述访问请求对应的web应用不存在水平越权漏洞。可选地，所述对所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数的步骤包括：将各所述访问请求作为处理单位进行单独处理，均执行以下步骤：根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件，若符合预设过滤条件，则对所述访问请求进行过滤；若不符合预设过滤条件，则将所述访问请求作为待检测访问请求，并对各所述入参参数进行过滤，生成待检测参数。可选地，所述根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件的步骤包括：判断所述访问请求中入参参数的参数类型是否均为预设类型，若所述参数类型均为预设类型，则判定所述访问请求符合预设过滤条件；若所述参数类型不均为预设类型，则判断所述访问请求的响应属性是否为预设属性；若所述响应属性为预设属性，则判定所述访问请求符合预设过滤条件；若所述响应属性不为预设属性，则判定所述访问请求不符合预设过滤条件。可选地，所述根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件的步骤包括：判断所述预设资源库中是否存在与所述访问请求对应的待对比访问请求，其中所述待对比访问请求和所述访问请求之间具有相同的固定参数和参数值；若存在与所述访问请求对应的待对比访问请求，则判断所述访问请求符合预设过滤条件；若不存在与所述访问请求对应的待对比访问请求，则判定所述访问请求不符合预设过滤条件。可选地，所述对各所述入参参数进行过滤，生成待检测参数的步骤包括：将所述访问请求中参数类型为预设类型的入参参数剔除，得到所述访问请求中的待过滤参数；筛选出各所述待过滤参数中参数长度大于预设长度的目标待过滤参数，并将各所述目标待过滤参数中参数值为预设值的目标待过滤参数剔除，生成待检测参数。可选地，所述确定与所述访问请求对应的web应用是否存在水平越权漏洞的步骤之后包括：若与所述访问请求对应的web应用存在水平越权漏洞，则对所述web应用所存在的水平越权漏洞进行标记，并对经标记的所述水平越权漏洞输出提示信息。进一步地，为实现上述目的，本专利技术还提供一种水平越权漏洞检测设备，所述水平越权漏洞检测设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的水平越权漏洞检测程序，所述水平越权漏洞检测程序被所述处理器执行时实现如上述所述的水平越权漏洞检测方法的步骤。进一步地，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有水平越权漏洞检测程序，所述水平越权漏洞检测程序被处理器执行时实现如上所述的水平越权漏洞检测方法的步骤。本专利技术的水平越权漏洞检测方法，通过预先设置预设资源库来存放对web应用进行访问的访问请求，并对其中所存放的访问请求进行过滤，生成待检测访问请求及其待检测参数；此后依据该待检测参数来生成待验证访问请求，并在待验证访问请求的基础上发起访问，得到访问结果；进而依据访问结果来确定访问请求所访问的web应用是否存在水平越权漏洞。因用于确定web应用是否存在水平越权漏洞的响应结果依据待检测参数生成，而待检测参数来源于访问请求，使得针对web应用中各功能的访问请求均可触发检测，确保了检测的灵活性和全面性。附图说明图1为本专利技术水平越权漏洞检测设备实施例方案涉及的设备硬件运行环境的结构示意图；图2为本专利技术水平越权漏洞检测方法第一实施例的流程示意图；图3为本专利技术水平越权漏洞检测方法第二实施例的流程示意图；图4为本专利技术水平越权漏洞检测方法第三实施例的流程示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。本专利技术提供一种水平越权漏洞检测设备，参照图1，图1为本专利技术水平越权漏洞检测设备实施例方案涉及的设备硬件运行环境的结构示意图。如图1所示，该水平越权漏洞检测设备可以包括：处理器1001，本文档来自技高网...

【技术保护点】
1.一种水平越权漏洞检测方法，其特征在于，所述水平越权漏洞检测方法包括以下步骤：/n遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数；/n根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问；/n根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞。/n

【技术特征摘要】
1.一种水平越权漏洞检测方法，其特征在于，所述水平越权漏洞检测方法包括以下步骤：
遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数；
根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问；
根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞。


2.如权利要求1所述的水平越权漏洞检测方法，其特征在于，所述根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问的步骤包括：
对各所述待检测参数进行组合，生成组合参数，并从预设资源库中查找目标访问请求，其中所述目标访问请求的访问地址与所述待检测访问请求的访问地址相同；
查找所述目标访问请求中与所述组合参数对应的目标参数，用所述组合参数对所述目标参数进行替换，生成待验证访问请求，并基于所述待验证访问请求发起访问。


3.如权利要求2所述的水平越权漏洞检测方法，其特征在于，所述根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞的步骤包括：
获取所述待验证访问请求发起访问所生成的响应结果，并调用所述待检测访问请求对应的目标访问结果；
生成所述响应结果和所述目标访问结果之间的相似度值，并判断所述相似度值是否大于预设阈值；
若所述相似度值大于所述预设阈值，则判定与所述访问请求对应的web应用存在水平越权漏洞；
若所述相似度值不大于所述预设阈值，则判定与所述访问请求对应的web应用不存在水平越权漏洞。


4.如权利要求1所述的水平越权漏洞检测方法，其特征在于，所述对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数的步骤包括：
将各所述访问请求作为处理单位进行单独处理，均执行以下步骤：
根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件，若符合预设过滤条件，则对所述访问请求进行过滤；
若不符合预设过滤条件，则将所述访问请求作为待检测访问请求，并对各所述入参参数进行过滤，生成待检测参数。


5.如权利要求4所述的水平越权漏洞检测方法，其特征在于，所述根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件...

【专利技术属性】
技术研发人员：章二林，姚旺，寇相礼，
申请(专利权)人：招商银行股份有限公司，
类型：发明
国别省市：广东;44