【技术实现步骤摘要】
越权漏洞的检测方法、装置、存储介质及计算机设备
本申请涉及计算机安全
,尤其涉及一种越权漏洞的检测方法、装置、存储介质及计算机设备。
技术介绍
在各类安全漏洞中,逻辑漏洞相比于SQL结构化查询语言(StructuredQueryLanguage)注入等传统安全漏洞更加难以发现的,且更容易产生,所以此类漏洞已经成为数据泄露等安全风险的主要原因之一。而在各类逻辑漏洞中越权漏洞则更为常见,开发人员往往无法保障所有的接口都具备完善的权限校验逻辑,导致应用中或多或少的都会存在一定的接口存在越权漏洞,而一但是存在于关键接口,例如获取敏感信息接口,执行敏感操作接口等,则会导致严重的安全问题。相关技术中,通常基于特征检测逻辑漏洞,而基于特征检测的方法是难以适用于越权漏洞的检测的,因为越权漏洞的攻击请求没有固定的请求特征,或者,通过识别请求应答页面中的表单及对应的隐藏域中不可修改参数来检测越权漏洞等,这类方式的检测覆盖范围有限,检测的准确性不佳。
技术实现思路
本申请旨在至少在一定程度上解决相关技术中
【技术保护点】
1.一种越权漏洞的检测方法,其特征在于,所述方法包括:/n接收请求消息;/n确定与所述请求消息对应的第一账户信息;/n确定与所述请求消息对应的会话的第二账户信息;/n根据所述第一账户信息结合所述第二账户信息对所述请求消息进行越权漏洞检测。/n
【技术特征摘要】
1.一种越权漏洞的检测方法,其特征在于,所述方法包括:
接收请求消息;
确定与所述请求消息对应的第一账户信息;
确定与所述请求消息对应的会话的第二账户信息;
根据所述第一账户信息结合所述第二账户信息对所述请求消息进行越权漏洞检测。
2.如权利要求1所述的越权漏洞的检测方法,其特征在于,所述请求消息被用于调用应用程序的目标接口,在所述接收请求消息之后,还包括:
判断目标接口的信息是否在预配置的接口参数表内,所述接口参数表已学习得到样本接口的信息、与所述样本接口的信息对应的可忽略样本账户信息之间的对应关系;
所述根据所述第一账户信息结合所述第二账户信息对所述请求消息进行越权漏洞检测,包括:
根据判断的结果,结合所述第一账户信息以及所述第二账户信息对所述请求消息进行越权漏洞检测。
3.如权利要求2所述的越权漏洞的检测方法,其特征在于,所述根据判断的结果,结合所述第一账户信息以及所述第二账户信息对所述请求消息进行越权漏洞检测,包括:
若所述目标接口的信息不在所述预配置的接口参数表内,或者,若所述目标接口的信息在所述预配置的接口参数表内,并在所述第一账户信息与所述目标接口的信息对应的可忽略的目标账户信息不匹配时,根据所述第一账户信息和所述第二账户信息之间的匹配状态对所述请求消息进行越权漏洞检测;
若所述目标接口的信息在所述预配置的接口参数表内,且所述第一账户信息与所述目标账户信息匹配,则直接确定所述请求消息不存在越权漏洞。
4.如权利要求3所述的越权漏洞的检测方法,其特征在于,所述根据所述第一账户信息和所述第二账户信息的匹配情况对所述请求消息进行越权漏洞检测,包括:
若所述第一账户信息与所述第二账户信息之间的匹配状态为不匹配时,则确定所述请求消息存在越权漏洞;
若所述第一账户信息与所述第二账户信息之间的匹配状态为匹配时,则确定所述请求消息不存在越权漏洞。
5.如权利要求1所述的越权漏洞的检测方法,其特征在于,所述请求消息还包括:请求标识,所述确定与所述请求消息对应的会话的第二账户信息,包括:
从预配置的对应关系表内,确定与所述请求标识匹配的样本请求标识;所述对应关系表,已学习得到样本请求标识、与所述样本请求标识对应的样本会话账号以及样本账户信息之间的对应关系;
将所述样本请求标识对应的样本会话账号,以及与所述样本会话账号对应的样本账户信息共同作为所述第二账户信息。
6.如权利要求1所述的越权漏洞的检测方法,其特征在于,在所述接收请求消息之前,还包括:
获取海量样本请求消息,所述样本请求消息包括样本认证信息;
解析所述样本认证信息,得到所述样本请求消息对应的样本账户信息;
根据所述样本请求消息的历史访问信息,从所述样本账户信息之中识别出可忽略样本账户信息;
解析所述样本请求消息对应的样本接口的信息,并根据所述样本接口的信息、与所述样本接口的信息对应的可忽略样本账户信息建立所述接口参数表。
7.如权利要求4所述的越权漏洞的检测方法,其特征在于,若所述第一账户信息与所述第二账户信息之间的匹配状态为不匹配时,则确定所述请求消息存在越权漏洞之后,还包括:
显示所述第一账户信息与所述第二账户信息之间的匹配状态为不匹配的提示信息,并显示所述第一账户信息和所述目标接口的信息;
响应于用户的选取指令,根据所述选取指令对应的目标信息对所述接口参数表进行补充,其中,所述目标信息为所述第一账户信息和所述目标接口的信息的任一种。
8.一种越权漏洞的检测装置,其特征在于,所述装置包括:
接收模块,用于接收请求消息;
第一确定模块,用于确定与所述请求消息对应的第一账户信息;
第二确定模块,用于确定...
【专利技术属性】
技术研发人员:许祥,
申请(专利权)人:杭州数梦工场科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。