本申请实施例公开了一种接口的权限检测方法、装置、介质及电子设备。该方法包括:获取目标接口的原请求包,并基于所述原请求包对所述目标接口进行重新请求,获取响应数据;其中,所述原请求包包括原始认证信息;去除所述原请求包中的原始认证信息,得到去认证包,并基于所述去认证包对所述目标接口进行请求,获取响应数据;以及,采用预设数量的测试认证信息替换所述原始认证信息,得到重新构造包,并基于所述重新构造包对所述目标接口进行重新请求,获取响应数据;根据所述响应数据确定目标接口是否越权。通过上述技术方案,减少了安全工程师主动点击访问的工作,提高了越权检测的效率,从而保证了应用产品发布到生产环境前已通过安全检测。过安全检测。过安全检测。
【技术实现步骤摘要】
一种接口的权限检测方法、装置、介质及电子设备
[0001]本申请实施例涉及计算机应用
,尤其涉及一种接口的权限检测方法、装置、介质及电子设备。
技术介绍
[0002]越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。
[0003]在半自动化越权检测方法中,常通过代理或插件等形式被动的获取流量,需测试人员在本地浏览器安装插件或代理并配置好待测系统,然后手动去访问页面及点击页面内功能按钮从而获取流量。
[0004]但是,半自动化越权检测方法需要渗透测试人员介入去获取流量,增加了人力成本。加之测试人员对页面功能的不熟悉,很可能会漏掉一些功能,从而带来安全隐患。此外,由于互联网产品版本更新快,每次版本更新都需要测试,采用这种线下人工的方式比较低效。
技术实现思路
[0005]本申请实施例提供一种接口的权限检测方法、装置、介质及电子设备,以提高越权检测的效率。
[0006]第一方面,本申请实施例提供了一种接口的权限检测方法,所述方法包括:
[0007]获取目标接口的原请求包,并基于所述原请求包对所述目标接口进行重新请求,获取响应数据;其中,所述原请求包包括原始认证信息;
[0008]去除所述原请求包中的原始认证信息,得到去认证包,并基于所述去认证包对所述目标接口进行请求,获取响应数据;以及,采用预设数量的测试认证信息替换所述原始认证信息,得到重新构造包,并基于所述重新构造包对所述目标接口进行重新请求,获取响应数据;
[0009]根据所述响应数据确定目标接口是否越权。
[0010]可选的,根据所述响应数据确定目标接口是否越权,包括:
[0011]确定所述响应数据中表示接口有效的响应数据的数量;
[0012]若存在至少两个表示接口有效的响应数据,则根据至少两个表示接口有效的响应数据,确定目标接口是否越权。
[0013]可选的,根据至少两个表示接口有效的响应数据,确定目标接口是否越权,包括:
[0014]若原请求包的响应数据无效,则从所有表示接口有效的响应数据中任选两个响应数据;
[0015]对比任选两个响应数据是否相同;
[0016]若相同,则确定目标接口越权。
[0017]可选的,根据至少两个表示接口有效的响应数据,确定目标接口是否越权,包括:
[0018]若原请求包的响应数据有效,则确定去认证包的响应数据是否有效;
[0019]若有效,对比原请求包的响应数据和去认证包的响应数据是否相同;
[0020]若相同,则确定目标接口未授权。
[0021]可选的,在确定所述响应数据中表示接口有效的响应数据的数量之后,所述方法还包括:
[0022]若表示接口有效的响应数据的数量小于两个,则生成人工介入审核的提示信息。
[0023]可选的,确定响应数据是否相同,包括:
[0024]若返回包为html,则两个响应数据的html字符串完全相同,确定为响应数据相同;
[0025]若返回包为json,则两个响应数据的key相同,且value的值吻合度大于设定阈值,确定为响应数据相同。
[0026]可选的,获取目标接口的原请求包,包括:
[0027]当检测到应用发布到PaaS的测试环境时,根据应用名称从Nginx流量镜像库里查询该应用下所有的接口的原请求包。
[0028]第二方面,本申请实施例提供了一种接口的权限检测装置,所述装置包括:
[0029]响应数据获取模块,用于获取目标接口的原请求包,并基于所述原请求包对所述目标接口进行重新请求,获取响应数据;其中,所述原请求包包括原始认证信息;
[0030]响应数据获取模块,还用于去除所述原请求包中的原始认证信息,得到去认证包,并基于所述去认证包对所述目标接口进行请求,获取响应数据;以及,采用预设数量的测试认证信息替换所述原始认证信息,得到重新构造包,并基于所述重新构造包对所述目标接口进行重新请求,获取响应数据;
[0031]接口越权确定模块,用于根据所述响应数据确定目标接口是否越权。
[0032]第三方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请任一实施例所述的接口的权限检测方法。
[0033]第四方面,本申请实施例提供了一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,所述处理器执行所述计算机程序时实现如本申请任一实施例所述的接口的权限检测方法。
[0034]本申请实施例所提供的技术方案,通过获取目标接口的原请求包,并基于所述原请求包对所述目标接口进行重新请求,获取响应数据;其中,所述原请求包包括原始认证信息;去除所述原请求包中的原始认证信息,得到去认证包,并基于所述去认证包对所述目标接口进行请求,获取响应数据;以及,采用预设数量的测试认证信息替换所述原始认证信息,得到重新构造包,并基于所述重新构造包对所述目标接口进行重新请求,获取响应数据;根据所述响应数据确定接口是否越权。通过上述技术方案,减少了安全工程师主动点击访问的工作,提高了越权检测的效率,从而保证了应用产品发布到生产环境前已通过安全检测。
附图说明
[0035]图1是本申请实施例一提供的一种接口的权限检测方法的流程图;
[0036]图2是本申请实施例二提供的一种接口的权限检测方法的示意图;
[0037]图3是本申请实施例三提供的一种接口的权限检测方法的示意图;
[0038]图4是本申请实施例四提供的一种接口的权限检测装置的结构示意图;
[0039]图5是本申请实施例五提供的一种电子设备的结构示意图。
具体实施方式
[0040]下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
[0041]在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
[0042]实施例一
[0043]图1是本申请实施例一提供的一种接口的权限检测方法的流程图,本实施例可适用于接口的权限检测的情况,该方法可以由本申请实施例所提供的接口的权限检测装置执行,该装置可以由软件和/或硬件的方式来实现,并可集成于承载接口的权限检测功能的电子设备中。...
【技术保护点】
【技术特征摘要】
1.一种接口的权限检测方法,其特征在于,所述方法包括:获取目标接口的原请求包,并基于所述原请求包对所述目标接口进行重新请求,获取响应数据;其中,所述原请求包包括原始认证信息;去除所述原请求包中的原始认证信息,得到去认证包,并基于所述去认证包对所述目标接口进行请求,获取响应数据;以及,采用预设数量的测试认证信息替换所述原始认证信息,得到重新构造包,并基于所述重新构造包对所述目标接口进行重新请求,获取响应数据;根据所述响应数据确定目标接口是否越权。2.根据权利要求1所述的方法,其特征在于,根据所述响应数据确定目标接口是否越权,包括:确定所述响应数据中表示接口有效的响应数据的数量;若存在至少两个表示接口有效的响应数据,则根据至少两个表示接口有效的响应数据,确定目标接口是否越权。3.根据权利要求2所述的方法,其特征在于,根据至少两个表示接口有效的响应数据,确定目标接口是否越权,包括:若原请求包的响应数据无效,则从所有表示接口有效的响应数据中任选两个响应数据;对比任选两个响应数据是否相同;若相同,则确定目标接口越权。4.根据权利要求2所述的方法,其特征在于,根据至少两个表示接口有效的响应数据,确定目标接口是否越权,包括:若原请求包的响应数据有效,则确定去认证包的响应数据是否有效;若有效,对比原请求包的响应数据和去认证包的响应数据是否相同;若相同,则确定目标接口未授权。5.根据权利要求2所述的方法,其特征在于,在确定所述响应数据中表示接口有效的响应数据的数量之后,所述方法还包括:若表示接口有效的响应数据的数量小于两个,则生成人工介入审核的提示信...
【专利技术属性】
技术研发人员:潘清剑,宋亚男,邓贞明,
申请(专利权)人:江苏满运物流信息有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。