【技术实现步骤摘要】
一种Web应用越权漏洞检测方法、装置、设备和介质
本专利技术涉及计算机
,特别涉及一种Web应用越权漏洞检测方法、装置、设备和介质。
技术介绍
在信息化时代,许多传统企业都在转型升级,运用科技手段来提高生产效率,科技也进入生活的方方面面,无论衣食住行,人们都与互联网紧密相连,没有信息化就没有现代化。在方便生产生活的同时,也存在由于系统漏洞引起信息安全问题的隐患,当前,我国面临的信息安全形势异常严峻复杂,特别在金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是信息安全的重中之重。随着《网络安全法》的实施,网络安全上升为国家战略,没有网络安全就没有国家安全。如何防范信息安全风险,及时封堵漏洞,安心享受信息科技带来的便利,已经成为迫切需要解决的问题。信息科技系统往往设计有多种角色和权限,权限的访问控制如果存在缺陷,极易导致敏感信息泄露,越权漏洞作为Web应用中一种常见的逻辑安全漏洞,其危害和影响与对应业务的重要性成正相关。如果存在平行越权(平行越权是指同一角色用户之间的未授权访问)的话,...
【技术保护点】
1.一种Web应用越权漏洞检测方法,其特征在于:所述方法包括:/n步骤S1、收集所有可访问的页面集以及权限受限页面的关键典型要素;/n步骤S2、在用户登录系统后,启动检测程序,通过检测程序自动遍历所有可访问的页面集,依据权限受限页面的关键典型要素来对可访问的页面集进行权限状态检测,并生成权限状态检测结果。/n
【技术特征摘要】
1.一种Web应用越权漏洞检测方法,其特征在于:所述方法包括:
步骤S1、收集所有可访问的页面集以及权限受限页面的关键典型要素;
步骤S2、在用户登录系统后,启动检测程序,通过检测程序自动遍历所有可访问的页面集,依据权限受限页面的关键典型要素来对可访问的页面集进行权限状态检测,并生成权限状态检测结果。
2.根据权利要求1所述的一种Web应用越权漏洞检测方法,其特征在于:所述步骤S1具体为:
收集系统的所有可访问的页面集;
收集各个角色可访问的页面集;
收集预设的权限受限页面的关键典型要素;
建立和完善词汇库;
设定页面的词汇数量阈值。
3.根据权利要求2所述的一种Web应用越权漏洞检测方法,其特征在于:所述的通过检测程序自动遍历所有可访问的页面集,依据权限受限页面的关键典型要素来对可访问的页面集进行权限状态检测具体为:
通过检测程序自动遍历系统所有可访问的页面集,向服务器发起HTTP请求,获取服务器基于所述HTTP请求返回的响应消息,并检测所述响应消息中的关键典型要素和所述响应信息中所包含词汇在词汇库中的数量;
当用户使用角色登录系统时,如果在角色对应的可访问的页面集内,所述响应消息中未检测到关键典型要素,则认定为权限正常;如果在角色对应的可访问的页面集内,所述响应消息中检测到关键典型要素,且所述响应信息中所包含词汇在词汇库中的数量小于等于设定的词汇数量阈值,则认定为权限异常;如果在角色对应的可访问的页面集内,所述响应消息中检测到关键典型要素,且所述响应信息中所包含词汇在词汇库中的数量大于设定的词汇数量阈值,则认定为权限正常;
如果不在角色对应的可访问的页面集内,所述响应消息中未检测到关键典型要素,则认定为权限异常;如果不在角色对应的可访问的页面集内,所述响应消息中检测到关键典型要素,且所述响应信息中所包含词汇在词汇库中的数量小于等于设定的词汇数量阈值,则认定为权限正常;如果不在角色对应的可访问的页面集内,所述响应消息中检测到关键典型要素,且所述响应信息中所包含词汇在词汇库中的数量大于设定的词汇数量阈值,则认定为权限异常;
当用户未使用角色登录系统时,如果在所述响应消息中未检测到关键典型要素,则认定为权限异常;如果在所述响应消息中检测到关键典型要素,且所述响应信息中所包含词汇在词汇库中的数量小于等于设定的词汇数量阈值,则认定为权限正常;如果在所述响应消息中检测到关键典型要素,且所述响应信息中所包含词汇在词汇库中的数量大于设定的词汇数量阈值,则认定为权限异常。
4.一种Web应用越权漏洞检测装置,其特征在于:所述装置包括收集模块以及检测模块;
所述收集模块,用于收集所有可访问的页面集以及权限受限页面的关键典型要素;
...
【专利技术属性】
技术研发人员:蔡卓明,屈盛知,王燕梅,蔡伟杰,郭超年,王桐森,
申请(专利权)人:福建省农村信用社联合社,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。