本申请实施例公开了一种业务逻辑漏洞检测方法、装置、存储介质以及终端。所述方法包括:获取web应用生成的第一HTTP流量,所述第一HTTP流量携带第一数据流,将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量,基于所述第二HTTP流量进行访问,获取访问过程中触发的第二数据流,基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。本申请根据流量中触发的数据流来判断是否存在越权漏洞,可以减小漏洞检测的误报率,同时还能避免产生更少的脏数据。能避免产生更少的脏数据。能避免产生更少的脏数据。
【技术实现步骤摘要】
业务逻辑漏洞检测方法、装置、存储介质以及终端
[0001]本申请涉及计算机
,尤其涉及一种业务逻辑漏洞检测方法、装置、存储介质以及终端。
技术介绍
[0002]随着互联网的发展,网络安全问题引起了越来越多的关注。其中,web应用导致的安全漏洞占比是最大的,利用web应用漏洞攻击者可以进入企业内网,极易导致用户信息泄漏、恶意勒索等非常严重的安全事件发生。大部分传统扫描器很难发现web应用中存在的逻辑漏洞,特别是越权漏洞。虽然已经有一些自动化越权检测工具出现,但是检测思路都是基于比对请求响应内容,存在非常高的误报率,同时极易带来大量脏数据,给测试人员带来非常大的干扰。
技术实现思路
[0003]本申请实施例提供了一种业务逻辑漏洞检测方法、装置、计算机存储介质以及终端,旨在解决如何检测web应用中的越权漏洞的技术问题。所述技术方案如下:
[0004]第一方面,本申请实施例提供了一种业务逻辑漏洞检测方法,所述方法包括:
[0005]获取web应用生成的第一HTTP流量;其中,所述第一HTTP流量携带第一数据流;
[0006]将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量;
[0007]基于所述第二HTTP流量进行访问,获取访问过程中触发的第二数据流,基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。
[0008]第二方面,本申请实施例提供了一种业务逻辑漏洞检测装置,所述装置包括:
[0009]请求采集模块,用于获取web应用生成的第一HTTP流量;其中,所述第一HTTP流量携带第一数据流;
[0010]请求处理模块,用于将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量;
[0011]请求检测模块,用于基于所述第二HTTP流量进行访问,获取访问过程中触发的第二数据流,基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。
[0012]第三方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质有多条指令,所述指令适于由处理器加载并执行上述的方法步骤。
[0013]第四方面,本申请实施例提供了一种终端,可包括:存储器和处理器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述存储器加载并执行上述的方法步骤。
[0014]本申请实施例提供的技术方案带来的有益效果至少包括:
[0015]本申请实施例的方案在执行时,通过服务器获取web应用生成的第一HTTP流量,第一HTTP流量中携带第一数据流,然后将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量,再基于所述第二HTTP流量进行访问,获取访问过程中触发的第二数据流,基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。本申请根据HTTP流量
中触发的数据流,来判断是否存在越权漏洞,减小了越权漏洞的误报率,还能够避免产生更少的脏数据。
附图说明
[0016]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0017]图1是本申请实施例提供的一种业务逻辑漏洞检测方法的系统架构示意图;
[0018]图2是本申请实施例提供的一种业务逻辑漏洞检测方法的流程示意图;
[0019]图3是本申请实施例提供的一种业务逻辑漏洞检测方法的流程示意图;
[0020]图4是本申请实施例提供的一种业务逻辑漏洞检测装置的结构示意图;
[0021]图5是本申请实施例提供的终端的结构示意图;
[0022]图6是本申请实施例提供的操作系统和用户空间的结构示意图;
[0023]图7是图5中安卓操作系统的架构图;
[0024]图8是图5中IOS操作系统的架构图。
具体实施方式
[0025]为使得本申请实施例的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而非全部实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0026]下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0027]在本申请的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
[0028]请参见图1,图1示出应用于本申请实施例的业务逻辑漏洞检测方法或者业务逻辑漏洞检测装置的应用场景示意图。如图1所示,系统架构100可以包括第一终端101、102、103中的一种或多种,网络104,多个服务器105和第二终端106、107、108中的一种或多种。网络104用以在终端101、102、103和服务器105之间提供通信链路。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
[0029]应该理解,图1中的第一终端101、网络104、第二终端106和服务器105的数目仅仅是示意性的。根据现实需要,可以具有任意数目第一终端101、网络104、教第二终端106和服务器105。比如服务器105可以是多个服务器组成的服务器集群等。第一终端101、102、103和第二终端106、107、108可以通过网络104与服务器105交互,以接收或发送消息等。第一终端
101、102、103和第二终端106、107、108可以是具有显示屏的各种电子设备,包括但不限于智能终端、个人电脑、平板电脑、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。在不同的网络中终端可以叫做不同的名称,例如:用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、个人数字处理(personal digital assistant,PDA)、5G网络或未来演进网络中的终端设备等。
[0030]在本申请中,第一终端可以为测试人员的终端,第二终端可以为安全人员的终端,测试人员在进行web测试时,会生成多个HTTP流量,那么测试人员的终端上的web客户端会将这些流量上传至web服务器,安全人员的终端再从web服务器获取测试人员的多个流量,并对这些流量进行越权漏洞的检测。
[0031]本申请实施例所提供的业务逻辑漏洞检测方法一般由的第二终端106执行本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种业务逻辑漏洞检测方法,其特征在于,所述方法包括:获取web应用生成的第一HTTP流量;其中,所述第一HTTP流量携带第一数据流;将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量;基于所述第二HTTP流量进行访问,获取访问过程中触发的第二数据流,基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。2.根据权利要求1所述的方法,其特征在于,所述第一HTTP流量包括第一HTTP请求信息和所述第一数据流;其中,所述第一HTTP请求信息包含第一用户身份信息。3.根据权利要求2所述的方法,其特征在于,所述将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量,包括:将所述第一HTTP请求信息进行标记,以及将所述第一用户身份信息替换为第二用户身份信息,得到所述第二HTTP流量。4.根据权利要求1所述的方法,其特征在于,所述第一数据流包括第一SQL语句,以及所述第二数据流包括第二SQL语句。5.根据权利要求4所述的方法,其特征在于,所述获取访问过程中触发的第二数据流,基于所述第一数据流和所述第二数据流判断是否存在越权漏洞,包括:获取所述第二HTTP流量在访问过程中执行的所述第二SQL语句;若所述第二HTTP流量执行的所述第二SQL语句和所述第一HTTP流量执行的所述第一SQL语句相同,则存在越权漏洞。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:若所述第二HTTP流量执行的所述第二SQL语句和所述第一HTTP流量执行的所述第一SQL语句不相同,则不存在越权漏洞。7.根据权利要求5或6...
【专利技术属性】
技术研发人员:汪金花,
申请(专利权)人:北京大米科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。