【技术实现步骤摘要】
越权漏洞检测方法、系统、设备及存储介质
本专利技术涉及网络安全
,具体地说,涉及一种越权漏洞检测方法、系统、设备及存储介质。
技术介绍
越权漏洞是一种很常见的逻辑安全漏洞。越权漏洞是由于服务器端对用户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致用户只要修改相关参数就可以拥有其他账户的增、删、查、改功能,从而导致越权漏洞的产生。越权漏洞的危害和影响与对应业务的重要性成正相关。如果业务存在平行越权的话,普通用户就可以查看其他普通用户的敏感信息。如果业务存在垂直越权,低权限用户就可以查看高权限用户的敏感信息。越权漏洞具有很强的隐秘性,一旦存在将对企业造成巨大的危害,可能造成企业的用户敏感信息泄露。因此,企业十分有必要加强对越权漏洞的主动识别以及防御。
技术实现思路
针对现有技术中的问题,本专利技术的目的在于提供一种越权漏洞检测方法、系统、设备及存储介质,实现了对越权漏洞的自动化检测,提高了企业业务系统的安全性。为实现上述目的,本专利技术提供了一种越权漏洞检测方法,所述方法
【技术保护点】
1.一种越权漏洞检测方法,其特征在于,包括以下步骤:/nS10,基于第一账户向服务器发送第一登录请求;/nS20,获取关于所述第一登录请求的第一响应信息,所述第一响应信息中包含有用于标识第一账户的第一身份信息;/nS50,获取关于第二账户的第二目标URL地址;并基于所述第一身份信息和所述第二目标URL地址,构建关于第二账户的第二登录请求,向所述服务器发送所述第二登录请求;/nS60,获取关于所述第二登录请求的第二响应信息;/nS70,基于所述第一响应信息和所述第二响应信息,判断所述服务器是否存在越权漏洞。/n
【技术特征摘要】
1.一种越权漏洞检测方法,其特征在于,包括以下步骤:
S10,基于第一账户向服务器发送第一登录请求;
S20,获取关于所述第一登录请求的第一响应信息,所述第一响应信息中包含有用于标识第一账户的第一身份信息;
S50,获取关于第二账户的第二目标URL地址;并基于所述第一身份信息和所述第二目标URL地址,构建关于第二账户的第二登录请求,向所述服务器发送所述第二登录请求;
S60,获取关于所述第二登录请求的第二响应信息;
S70,基于所述第一响应信息和所述第二响应信息,判断所述服务器是否存在越权漏洞。
2.如权利要求1所述的越权漏洞检测方法,其特征在于,所述第一登录请求中包含有目标URL地址;所述步骤S20和步骤S50之间还包括步骤:
S30,判断所述目标URL地址是否在预设名单中;
S40,若所述目标URL地址不在所述预设名单中,判断所述目标URL地址是否包含预设关键字字段;
所述步骤S50包括:
若所述目标URL地址包含预设关键字字段,则获取关于第二账户的第二目标URL地址;并基于所述第一身份信息和所述第二目标URL地址,构建关于第二账户的第二登录请求,向所述服务器发送所述第二登录请求。
3.如权利要求1所述的越权漏洞检测方法,其特征在于,所述步骤S70包括步骤:
S701,分别获取关于所述第一响应信息的第一响应长度以及关于所述第二响应信息的第二响应长度;
S702,判断所述第一响应长度与所述第二响应长度是否相等;
S703,若所述第一响应长度与所述第二响应长度相等,则判定所述服务器存在越权漏洞。
4.如权利要求3所述的越权漏洞检测方法,其特征在于,所述步骤S70还包括步骤:
S704,若所述第一响应长度与所述第二响应长度不相等,则分别获取关于所述第一响应信息的第一响应体以及关于所述第二响应信息的第二响应体;
S705,基于所述第一响应体以及所述第二响应体,获取所述第一响应体与所述第二响应体之间的相似度;
S706,判断所述相似度是否大于预设阈值;
S707,若所述相似度大于所述预设阈值,则判定所述服务器存在越权漏洞。
5.如权利要求4所述的越权漏洞检测方法,其特征在于,所述第一响应体以及所述第二响应体均包含有响应字段以及响应值;
所述步骤S705包括步骤:
S7051,基于所述第一响应体以及所述第二响应体,获取所述第一响应体与所述第二响应体中共同的响应字段,作为第二响应字段;
S7052,获取在所述第一响应体的与所述第二响应字段对应的响应值中,与所述第二响应体中与所述第二响应字段对应的响应值相同的个数;
S7053,将所述相同的个数与所述...
【专利技术属性】
技术研发人员:林子萱,杨晓春,周海刚,孙超,杨凯丽,岳良,陈莹,
申请(专利权)人:携程旅游信息技术上海有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。