本申请公开了一种越权漏洞检测方法、装置、设备及存储介质,包括:接收检测指令,并根据所述检测指令确定相应的目标检测模式;其中,所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式;利用所述目标检测模式对待检测系统进行越权漏洞检测;基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。本申请根据不同的检测指令灵活选择不同的检测模式对待检测系统的越权漏洞进行全方位、自动化检测,能够较大程度上减少安全测试人员的工作量,提高越权漏洞的检测效率和识别精度。
【技术实现步骤摘要】
一种越权漏洞检测方法、装置、设备及存储介质
本专利技术涉及信息安全
,特别涉及一种越权漏洞检测方法、装置、设备及存储介质。
技术介绍
在信息安全领域的安全测试方向中,安全测试工作者经常会面对各种各样的逻辑漏洞,而在这些逻辑漏洞中最为常见的就是越权漏洞。在安全权威机构OWASP制定的OWASPTop10漏洞中,越权漏洞长期活跃在榜单,一方面是由于越权漏洞造成的危害通常较大,如越权获取用户的敏感信息、越权删除他人创建的订单、越权修改管理员的账号等,另一方面,相对于SQL注入漏洞、跨站脚本攻击(XSS,crossSiteScripting)等其他常见的漏洞,难以对越权漏洞进行全方面的检测。目前,主流的Web应用安全测试技术主要分为三大类:DAST动态应用程序安全测试(DynamicApplicationSecurityTesting)、SAST静态应用程序安全测试(StaticApplicationSecurityTesting)、IAST交互式应用程序安全测试(InteractiveApplicationSecurityTesting)。DAST动态应用程序测试是一种黑盒测试技术,是目前使用最广泛、最简单的一种Web应用安全测试技术;SAST静态应用程序安全测试技术是一种在开发阶段对源代码进行安全测试的一种技术,具有代码高度可视性、检测问题类型丰富等优势,但其误报多,不能确认漏洞的可利用性;IAST交互式应用程序安全测试技术,曾被Gartner咨询公司列为网络安全领域的Top10之一,融合了DAST与SAST的优势,漏洞检测率高,误报率低,同时可以定位到API接口和代码片段。当前,现有技术中对越权漏洞的检测,局限于人工或者单一的漏洞检测方式对越权漏洞进行检测,无法根据用户需求提供多元化的自主检测模式。一方面,依赖人工来获取账户数据并进行修改、删除等操作一步一步进行检测,耗费大量的时间、人力成本,安全测试人员的增长速度赶不上安全测试需求的增加速度,严重影响了业务发布的效率;另一方面基于DAST动态应用程序测试技术利用代理模式对越权漏洞进行检测,上述检测方法覆盖范围有限,无法定位漏洞的具体位置,无法精确判断越权漏洞,且漏洞的检测率无法满足企业日益增长的安全需求。综上所述,现有技术中至少存在对越权漏洞的检测模式单一、检测效率较低、识别精度不高等技术问题。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种越权漏洞检测方法、装置、设备及存储介质,根据不同的检测指令灵活选择不同的检测模式对待检测系统的越权漏洞进行全方位、自动化检测,能够较大程度上减少安全测试人员的工作量,提高越权漏洞的检测效率和识别精度。其具体方案如下:本申请的第一方面提供了一种越权漏洞检测方法,包括:接收检测指令,并根据所述检测指令确定相应的目标检测模式;其中,所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式;利用所述目标检测模式对待检测系统进行越权漏洞检测;基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。可选的,所述接收检测指令,并根据所述检测指令确定相应的目标检测模式,包括:接收表征将代理模式与插桩模式相结合的检测指令,并将所述代理模式与所述插桩模式相结合的混合模式确定为目标检测模式;相应的,所述利用所述目标检测模式对待检测系统进行越权漏洞检测,包括:对所述待检测系统进行认证,通过所述代理模式对所述待检测系统进行越权漏洞检测,以得到第一检测结果;获取所述待检测系统的源代码,通过所述插桩模式对所述待检测系统的所述源代码进行越权漏洞检测,以得到第二检测结果;将所述第一检测结果和所述第二检测结果确定为所述目标检测模式的检测结果。可选的,所述对所述待检测系统进行认证,包括:对接入统一认证的所述待检测系统进行自动认证;若所述待检测系统未接入统一认证,则通过手工录入的方式对所述待检测系统进行认证。可选的,所述对所述待检测系统进行认证之前,还包括:创建并配置对所述待检测系统进行检测的工作区间;其中,所述工作区间用于存放所述待检测系统对应的登录用户的属性信息。可选的,所述通过所述代理模式对所述待检测系统进行越权漏洞检测,以得到第一检测结果,包括:利用流量传输装置收集用户流量;根据所述属性信息,对所述用户流量对应的用户身份进行验证;利用通过验证的所述用户流量对所述待检测系统进行越权漏洞检测,以得到第一检测结果。可选的,所述根据所述属性信息,对所述用户流量对应的用户身份进行验证之后,还包括:返回与通过验证的所述用户流量对应的用户的标识信息。可选的,所述通过所述插桩模式对所述待检测系统的所述源代码进行越权漏洞检测,以得到第二检测结果,包括:利用主动插桩和\或被动插桩对所述待检测系统的所述源代码进行越权漏洞检测,以得到第二检测结果。可选的,所述基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞,包括:将所述目标检测模式的检测结果输出至人机交互界面;获取所述人机交互界面返回的针对所述目标检测模式的所述检测结果的人工审计结果;基于所述人工审计结果确定所述待检测系统的越权漏洞。本申请的第二方面提供了一种越权漏洞检测装置,包括:接收模块,用于接收检测指令,并根据所述检测指令确定相应的目标检测模式;其中,所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式;检测模块,用于利用所述目标检测模式对待检测系统进行越权漏洞检测;确定模块,用于基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。本申请的第三方面提供了一种电子设备,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现前述越权漏洞检测方法。本申请的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述越权漏洞检测方法。本申请中,先接收检测指令,并根据所述检测指令确定相应的目标检测模式;其中,所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式,然后利用所述目标检测模式对待检测系统进行越权漏洞检测,最后基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。本申请根据不同的检测指令灵活选择不同的检测模式对待检测系统的越权漏洞进行全方位、自动化检测,能够较大程度上减少安全测试人员的工作量,提高越权漏洞的检测效率和识别精度。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创本文档来自技高网...
【技术保护点】
1.一种越权漏洞检测方法,其特征在于,包括:/n接收检测指令,并根据所述检测指令确定相应的目标检测模式;其中,所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式;/n利用所述目标检测模式对待检测系统进行越权漏洞检测;/n基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。/n
【技术特征摘要】
1.一种越权漏洞检测方法,其特征在于,包括:
接收检测指令,并根据所述检测指令确定相应的目标检测模式;其中,所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式;
利用所述目标检测模式对待检测系统进行越权漏洞检测;
基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。
2.根据权利要求1所述的越权漏洞检测方法,其特征在于,所述接收检测指令,并根据所述检测指令确定相应的目标检测模式,包括:
接收表征将代理模式与插桩模式相结合的检测指令,并将所述代理模式与所述插桩模式相结合的混合模式确定为目标检测模式;
相应的,所述利用所述目标检测模式对待检测系统进行越权漏洞检测,包括:
对待检测系统进行认证,通过所述代理模式对所述待检测系统进行越权漏洞检测,以得到第一检测结果;
获取所述待检测系统的源代码,通过所述插桩模式对所述待检测系统的所述源代码进行越权漏洞检测,以得到第二检测结果;
将所述第一检测结果和所述第二检测结果确定为所述目标检测模式的检测结果。
3.根据权利要求2所述的越权漏洞检测方法,其特征在于,所述对待检测系统进行认证,包括:
对接入统一认证的待检测系统进行自动认证;
若所述待检测系统未接入统一认证,则通过手工录入的方式对所述待检测系统进行认证。
4.根据权利要求3所述的越权漏洞检测方法,其特征在于,所述对待检测系统进行认证之前,还包括:
创建并配置对待检测系统进行检测的工作区间;其中,所述工作区间用于存放所述待检测系统对应的登录用户的属性信息。
5.根据权利要求4所述的越权漏洞检测方法,其特征在于,所述通过所述代理模式对所述待检测系统进行越权漏洞检测,以得到第一检测结果,包括:
利用流量传输装置收集用户流量;
根据所述属性信息,对所述用户流量对应的用户身份进行验证;
【专利技术属性】
技术研发人员:尹伟成,汤磊,朱军,
申请(专利权)人:上海微盟企业发展有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。