本发明专利技术公开了一种越权检测方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:预设基于第一账号访问预设线性表中的资源定位地址,生成第一请求并发送至服务端,以接收服务端反馈的第一报文;基于第二账号访问资源定位地址,生成第二请求;获取第一请求中的第一cookie,将第二请求中的第二cookie替换为第一cookie,发送替换后的第二请求至所述服务端,以接收服务端反馈的第二报文;若第一报文和第二报文相同,则确定在资源定位地址中,第二账号对第一账号存在越权行为。该实施方式基于账号cookie替换的方式,将响应报文进行比对并自动化校验,以此核对账号之间是否存在越权行为。
【技术实现步骤摘要】
一种越权检测方法和装置
本专利技术涉及计算机
,尤其涉及一种越权检测方法和装置。
技术介绍
安全测试领域中的越权漏洞主要分为两类,一类是水平越权,即权限平等的两个用户,可以互相看到对方的敏感数据;一类是垂直越权,即低权限的用户可以看到高权限用户的数据。现有漏洞检测过程,主要依赖于人工分析Web页面的URL(UniformResourceLocator,统一资源定位符)链接,分析其参数(例如订单号、用户名),猜测是否存在越权的可能性。在实现本专利技术的过程中,专利技术人发现现有技术至少存在如下问题:通过猜想是否越权并且通过手工方式验证,无法自动化校验并锁定是否越权的URL范围,且无法单一使用爬虫方法获取所有URL。
技术实现思路
有鉴于此,本专利技术实施例提供一种越权检测方法和装置,至少能够解决现有技术中无法爬取所有url,且对url是否存有越权漏洞验证艰难的问题。为实现上述目的,根据本专利技术实施例的一个方面,提供了一种越权检测方法,包括:预设基于第一账号访问预设线性表中的资源定位地址,生成第一请求并发送至服务端,以接收所述服务端反馈的第一报文;基于第二账号访问所述资源定位地址,生成第二请求;其中,所述第二账号与所述第一账号具有不同的权限;获取所述第一请求中的第一cookie,将所述第二请求中的第二cookie替换为所述第一cookie,发送替换后的第二请求至所述服务端,以接收所述服务端反馈的第二报文;若所述第一报文和所述第二报文相同,则确定在所述资源定位地址中,所述第二账号对所述第一账号存在越权行为。可选的,在所述预设基于第一账号访问预设线性表中的资源定位地址之前,还包括:确定应用页面中的操作项,获取与各操作项对应的页面元素;根据所述页面元素中的超文本引用属性进行所述资源定位地址确定,之后将所述资源定位地址存储至所述线性表中。可选的,所述将所述资源定位地址存储至所述线性表中,还包括:响应于对所述资源定位地址的点击操作,若页面跳转成功,则将所述资源定位地址存储至所述线性表中。可选的,还包括:确定跳转页面中的第一操作项,将与所述第一操作项对应的元素作为所述页面元素的子元素;根据所述子元素的超文本引用属性进行第一资源定位地址确定,之后将所述第一资源定位地址存储至所述线性表中;重复上述页面跳转以及子元素获取操作,直至不存在与当前页面元素对应的子元素时停止。为实现上述目的,根据本专利技术实施例的另一方面,提供了一种越权检测装置,包括:地址访问模块,用于预设基于第一账号访问预设线性表中的资源定位地址,生成第一请求并发送至服务端,以接收所述服务端反馈的第一报文;请求生成模块,用于基于第二账号访问所述资源定位地址,生成第二请求;其中,所述第二账号与所述第一账号具有不同的权限;信息替换模块,用于获取所述第一请求中的第一cookie,将所述第二请求中的第二cookie替换为所述第一cookie,发送替换后的第二请求至所述服务端,以接收所述服务端反馈的第二报文;越权确定模块,用于若所述第一报文和所述第二报文相同,则确定在所述资源定位地址中,所述第二账号对所述第一账号存在越权行为。可选的,还包括地址确定模块,用于:确定应用页面中的操作项,获取与各操作项对应的页面元素;根据所述页面元素中的超文本引用属性进行所述资源定位地址确定,之后将所述资源定位地址存储至所述线性表中。可选的,所述地址确定模块,还用于:响应于对所述资源定位地址的点击操作,若页面跳转成功,则将所述资源定位地址存储至所述线性表中。可选的,还包括地址扩展模块,用于:确定跳转页面中的第一操作项,将与所述第一操作项对应的元素作为所述页面元素的子元素;根据所述子元素的超文本引用属性进行第一资源定位地址确定,之后将所述第一资源定位地址存储至所述线性表中;重复上述页面跳转以及子元素获取操作,直至不存在与当前页面元素对应的子元素时停止。为实现上述目的,根据本专利技术实施例的再一方面,提供了一种越权检测电子设备。本专利技术实施例的电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述任一所述的越权检测方法。为实现上述目的,根据本专利技术实施例的再一方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一所述的越权检测方法。根据本专利技术所述提供的方案,上述专利技术中的一个实施例具有如下优点或有益效果:对于一个页面,基于该页面的页面元素确定多个跳转页面,在各个跳转页面中,又基于其页面元素进行跳转页面确定,以此类推,可以得到与该页面关联的所有页面URL,实现页面关联线性表的构建;以爬取到的URL为输入,校验不同账号的http请求响应,鉴别账号和URL是否存在越权行为。上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。附图说明附图用于更好地理解本专利技术,不构成对本专利技术的不当限定。其中:图1是根据本专利技术实施例的一种越权检测方法的主要流程示意图;图2是根据本专利技术实施例的一种可选的越权检测方法的流程示意图;图3是根据本专利技术实施例的另一种可选的越权检测方法的流程示意图;图4是根据本专利技术实施例的一种越权检测装置的主要模块示意图;图5是本专利技术实施例可以应用于其中的示例性系统架构图;图6是适于用来实现本专利技术实施例的移动设备或服务器的计算机系统的结构示意图。具体实施方式以下结合附图对本专利技术的示范性实施例做出说明,其中包括本专利技术实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本专利技术的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。本专利技术涉及的词语,做解释如下:白盒测试也称结构测试或逻辑驱动测试,它是按照程序内部的结构测试程序,通过测试来检测产品内部动作是否按照设计规格说明书的规定正常进行,检验程序中的每条通路是否都能按预设要求正确工作。这一方法是把测试对象看作一个打开的盒子,测试人员依据程序内部逻辑结构相关信息,设计或选择测试用例,对程序所有逻辑路径进行测试,通过在不同点检查程序的状态,确定实际的状态是否与预期的状态一致。白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指的是盒子是可视的,你清楚盒子内部的东西以及里面是如何运作的。"白盒"法全面了解程序内部逻辑结构、对所有逻辑路径进行测试。"白盒"法是穷举路径测试。在使用这一方案时,测试者必须检查程序的内部结构,从检查程序的逻辑着手,得出测试数据。贯穿程序的独立路径数是天文数字。参见图1,示出的是本专利技术实施例提供的一种越权检测方法的主要本文档来自技高网...
【技术保护点】
1.一种越权检测方法,其特征在于,包括:/n基于第一账号访问预设线性表中的资源定位地址,生成第一请求并发送至服务端,以接收所述服务端反馈的第一报文;/n基于第二账号访问所述资源定位地址,生成第二请求;其中,所述第二账号与所述第一账号具有不同的权限;/n获取所述第一请求中的第一cookie,将所述第二请求中的第二cook ie替换为所述第一cookie,发送替换后的第二请求至所述服务端,以接收所述服务端反馈的第二报文;/n若所述第一报文和所述第二报文相同,则确定在所述资源定位地址中,所述第二账号对所述第一账号存在越权行为。/n
【技术特征摘要】
1.一种越权检测方法,其特征在于,包括:
基于第一账号访问预设线性表中的资源定位地址,生成第一请求并发送至服务端,以接收所述服务端反馈的第一报文;
基于第二账号访问所述资源定位地址,生成第二请求;其中,所述第二账号与所述第一账号具有不同的权限;
获取所述第一请求中的第一cookie,将所述第二请求中的第二cookie替换为所述第一cookie,发送替换后的第二请求至所述服务端,以接收所述服务端反馈的第二报文;
若所述第一报文和所述第二报文相同,则确定在所述资源定位地址中,所述第二账号对所述第一账号存在越权行为。
2.根据权利要求1所述的方法,其特征在于,在所述预设基于第一账号访问预设线性表中的资源定位地址之前,还包括:
确定应用页面中的操作项,获取与各操作项对应的页面元素;
根据所述页面元素中的超文本引用属性进行所述资源定位地址确定,之后将所述资源定位地址存储至所述线性表中。
3.根据权利要求2所述的方法,其特征在于,所述将所述资源定位地址存储至所述线性表中,还包括:
响应于对所述资源定位地址的点击操作,若页面跳转成功,则将所述资源定位地址存储至所述线性表中。
4.根据权利要求3所述的方法,其特征在于,还包括:
确定跳转页面中的第一操作项,将与所述第一操作项对应的元素作为所述页面元素的子元素;...
【专利技术属性】
技术研发人员:李一伟,付勇勇,
申请(专利权)人:北京沃东天骏信息技术有限公司,北京京东世纪贸易有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。