本发明专利技术涉及安全测试相关技术领域,具体涉及一种越权检测方法和辅助装置。本申请提供的越权检测方法,包括:对待检测系统进行预设置,使得进行越权检测时,角色信息可以自动认证;创建用于进行越权检测的工作空间;对工作空间进行配置,以便于确定测试范围和越权检测时可以进行角色信息替换;从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器中;使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;存储所述响应信息。
【技术实现步骤摘要】
越权检测方法和辅助装置
本专利技术涉及安全测试相关
,具体涉及一种越权检测方法和辅助装置。
技术介绍
随着业务的拓展,应用数量越来越多,应用的复杂度也越来越大。众多安全问题中,逻辑漏洞是自动化扫描工具所难以覆盖到的,而越权便是逻辑漏洞中常见的一个问题。越权大致可分为三种类型:未授权访问、垂直越权和水平越权。目前,安全测试中的越权检测主要还是要依靠人力手动去测试,对于一些复杂的业务系统,需要在不同身份之间切换,且分析大量请求的过程不仅对人力的需求很大,同时容易漏掉一些越权逻辑漏洞。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供一种越权检测方法和辅助装置。基于本申请的第一方面,本申请提供一种越权检测方法,包括:对待检测系统进行预设置,使得进行越权检测时,角色信息可以自动认证;创建用于进行越权检测的工作空间;对工作空间进行配置,以便于确定测试范围和越权检测时可以进行角色信息替换;从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器中;使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;存储所述响应信息。可选的,还包括:|通过websocket或js轮询实时展示所述测试流量在不同角色下的响应信息。可选的,轮询实时监听到所述测试流量在不同角色下的响应信息时,对响应信息完全一样的条目进行高亮标识。可选的,获取第一控制指令;基于第一获取的控制指令,重放、过滤和/或刷新测试操作中的操作。可选的,获取第二控制指令;基于第二获取的控制指令,改变控制该工作空间的状态为开始、暂停或完成。可选的,首页解析包括:使用chromeheadless去打开这个首页地址;通过预先配置的账号模拟登录,模拟点击菜单,并记录下来所有流量;根据流量获取到该工作空间需要测试的范围及一些必要的配置信息。可选的,所述对待检测系统进行预设置包括:若待检测系统为接入统一认证的系统,通过管理员账号进行一定的预配置,以便在扫描时完成角色的自动认证。可选的,实现自动认证的方式包括:与统一认证系统打通,以使得无需特殊配置即可完成身份认证;或者,模拟统一认证的登录过程,通过预先获取的账号配置,保证在越权检测时自动完成身份认证;或者,手动录入待测角色的必要的认证信息。可选的,包括:通过预设的Redis数据库存放一些全局变量以便实现多机器分布式部署;其中所述变量包括:全局的session信息、用户标识、要扫描的任务队列;通过Mongodb数据库存放关系表;其中,所述关系表包括:工作空间、工作空间配置、测试流量;通过ES数据库存放在测试过程中完整的请求响应信息。基于本申请的第二方面,本申请提供越权检测辅助装置,其特征在于,包括:预设模块,用于对待检测系统进行预设置,使得进行越权检测时,进行越权检测的角色信息可以自动认证;创建模块,用于创建用于进行越权检测的工作空间;配置模块,用于以便于确定测试范围和越权检测时可以进行角色信息替换;测试模块,用于从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器;存储模块,用于存储所述响应信息。本专利技术采用以上技术方案,可以实现如下技术效果:本申请提供的方案中,针对需要进行越权检测的系统,采用了最预设的服务器内创建工作空间并对工作空间进行配置,由工作空间进行越权检测,只需相关人员查询响应信息便可以得到对该系统的越权检测结果,如此,本申请提供的方案对于人力的需求更低,同时由于本申请提供的方案中,使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息,而非由人进行越权检测,越权检测的过程中,工作空间会严格按照测试流量对系统以不通身份进行越权检测,得到响应信息不易,漏掉越权逻辑漏洞。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种越权检测方法的流程示意图;图2是本专利技术实施例提供的一种越权检测方法的部分流程示意图;图3是本专利技术实施例提供的一种越权检测方法中首页解析的流程示意图;图4是本执行本申请提供的越权检测方法的系统的架构图:图5是本申请提供的越权检测辅助装置的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行详细的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。一般的系统,随着业务的拓展,应用数量越来越多,应用的复杂度也越来越大,随之而来的便是各种各样的逻辑漏洞,而越权便是逻辑漏洞中常见的一个问题。越权大致可分为三种类型:未授权访问、垂直越权、水平越权。未授权访问实际上可归结于垂直越权。在一个系统中,通常会为一些用户分配上不同的权限。而如果系统内部的某个接口没有做权限校验,导致可以被任何人请求,则该接口是存在未授权访问的。而低权限用户如果可以请求不属于他的接口,则该请求是存在垂直越权问题的,例如普通用户可以请求管理员的“添加账号”功能这就是垂直越权。水平越权则是某个用户可以修改/查看其它用户的数据,比如用户A可以越权删除用户B的订单,这就是水平越权。在现有的安全测试中,主要还是依靠人力去手动测试。对于垂直越权,在测试时需要以不同身份登录,使用低权限用户的认证信息去替换掉高权限用户下的请求中的认证信息,并查看该请求是否可以得到正确的响应。对于一些复杂的业务系统,需要在不同身份之间切换,分析大量请求的过程不仅对人力的需求很大,同时容易漏掉一些越权逻辑漏洞。为了解决上述问题本申请提供一种越权检测方法和辅助装置,并结余下属各个实施例对本申请提供的越权检测方法和辅助装置进行说明。实施例图1是本专利技术实施例提供的一种越权检测方法的流程示意图。参照图1,本申请提供的越权检测方法包括:S101,对待检测系统进行预设置,使得进行越权检测时,角色信息可以自动认证;需要说明的是,对于接入统一认证的系本文档来自技高网...
【技术保护点】
1.一种越权检测方法,其特征在于,包括:/n对待检测系统进行预设置,使得进行越权检测时,角色信息可以自动认证;/n创建用于进行越权检测的工作空间;/n对工作空间进行配置,以便于确定测试范围和越权检测时可以进行角色信息替换;/n从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器中;/n使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;/n存储所述响应信息。/n
【技术特征摘要】
1.一种越权检测方法,其特征在于,包括:
对待检测系统进行预设置,使得进行越权检测时,角色信息可以自动认证;
创建用于进行越权检测的工作空间;
对工作空间进行配置,以便于确定测试范围和越权检测时可以进行角色信息替换;
从redis队列中取得测试流量,流入与所述测试流量匹配的工作空间;其中,所述测试流量为测试人员在点击待测功能时,通过流量传输装置传入服务端在经过身份校验后存入redis服务器中;
使用工作空间,对所述测试流量以不通身份进行重放,得到响应信息;
存储所述响应信息。
2.根据权利要求1所述的越权检测方法,其特征在于,还包括:
|通过websocket或js轮询实时展示所述测试流量在不同角色下的响应信息。
3.根据权利要求2所述的越权检测方法,其特征在于,还包括:
轮询实时监听到所述测试流量在不同角色下的响应信息时,对响应信息完全一样的条目进行高亮标识。
4.根据权利要求1所述的越权检测方法,其特征在于,还包括:
获取第一控制指令;
基于第一获取的控制指令,重放、过滤和/或刷新测试操作中的操作。
5.根据权利要求1所述的越权检测方法,其特征在于,还包括:
获取第二控制指令;
基于第二获取的控制指令,改变控制该工作空间的状态为开始、暂停或完成。
6.根据权利要求1所述的越权检测方法,其特征在于,首页解析包括:
使用chromeheadless去打开这个首页地址;
通过预先配置的账号模拟登录,模拟点击菜单,并记录下来所有流量;
根据流量获取到该工作空间需要测试的范围及一些必要的配置信...
【专利技术属性】
技术研发人员:曹武迅,
申请(专利权)人:上海中通吉网络技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。