本申请公开了一种越权访问漏洞检测方法、装置、系统和存储介质,方法包括:当接收到用户访问目标网站的http请求时,将http请求发送至目标网站的服务器,并获取目标网站的服务器根据http请求发送的原始返回信息;确定http请求的请求参数,替换请求参数中的cookie信息,生成第一目标http请求;获取目标网站的服务器根据第一目标http请求发送的第一目标返回信息,并对原始返回信息与第一目标返回信息进行比对;根据得到的第一比对结果,生成越权检测结果。通过利用代理服务器统一替换cookie参数的方式,可实现自动化越权检测,且适应性较广,能够及时有效检测越权漏洞,有效提高了越权检测效率。效率。效率。
【技术实现步骤摘要】
一种越权访问漏洞检测方法、装置、系统和存储介质
[0001]本申请涉及网络安全
,特别涉及一种越权访问漏洞检测方法、装置、系统、电子设备和计算机可读存储介质。
技术介绍
[0002]随着计算机网络和通讯技术的快速发展,利用开放的网络环境进行全球通信已成为时代发展的趋势。Web应用越来越广泛,网站建设和网页设计的需求越来越大,但也容易受到网络安全问题的威胁,引起了普遍关注。网站越权访问漏洞是目前网站很常见的一种逻辑安全漏洞,目前多数WEB(World Wide Web)即全球广域网,也称为万维网)应用都具备权限划分和控制,越权漏洞是由于网站服务器端对用户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有其他账户的增删改查功能,从而导致漏洞的产生。其中,越权可理解为超出了权限或权力范围。多数WEB应用都具备权限划分和控制,但是如果权限控制功能设计存在缺陷,那么攻击者就可以通过这些缺陷来访问未经授权的功能或数据,这就是越权漏洞。攻击者越权后就可以进行一些操作,例如查看敏感信息、进行一些增删改查的操作等等。
[0003]相关技术中的越权访问漏洞检测方法,通过爬虫程序等获取到网站的url,人工对获取到的网站url进行分析判断,解析判断出网站对应的私有参数,通过替换用于控制权限访问的私有参数,进行越权访问漏洞检测。该方式无法实现自动化越权检测,也不能够及时发现并处理漏洞,且由于不同网站的私有参数不同,需要解析判断出不同网站各自对应的私有参数,并制定不同的越权检测策略,导致不能实现对所有网站统一越权检测。
技术实现思路
[0004]本申请的目的是提供一种越权访问漏洞检测方法、装置、系统、电子设备和计算机可读存储介质,通过利用代理服务器统一替换cookie参数的方式,可实现自动化越权检测,且适应性较广,无需由于不同网站的私有参数不同而需要制定不同的越权访问漏洞检测策略,能够及时有效检测越权漏洞,有效提高了越权检测效率。其具体方案如下:
[0005]第一方面,本申请公开了一种越权访问漏洞检测方法,包括:
[0006]当接收到用户访问目标网站的http请求时,将所述http请求发送至所述目标网站的服务器,并获取所述目标网站的服务器根据所述http请求发送的原始返回信息;
[0007]确定所述http请求的请求参数,替换所述请求参数中的cookie信息,生成第一目标http请求;
[0008]获取所述目标网站的服务器根据所述第一目标http请求发送的第一目标返回信息,并对所述原始返回信息与所述第一目标返回信息进行比对;
[0009]根据得到的第一比对结果,生成越权检测结果。
[0010]可选的,在所述确定所述http请求的请求参数之后,还包括:
[0011]删除所述请求参数中的cookie信息,生成第二目标http请求;
[0012]获取所述目标网站的服务器根据所述第二目标http请求发送的第二目标返回信息,并对所述原始返回信息与所述第二目标返回信息进行比对,生成第二比对结果;
[0013]根据所述第二比对结果和所述第一比对结果,生成更新后的越权检测结果。
[0014]可选的,所述根据所述第二比对结果和所述第一比对结果,生成更新后的越权检测结果,包括:
[0015]若所述第二比对结果和所述第一比对结果不同,则所述更新后的越权检测结果为所述目标网站存在越权访问漏洞。
[0016]可选的,所述替换所述请求参数中的cookie信息,包括:
[0017]利用库函数替换所述请求参数中的cookie信息。
[0018]第二方面,本申请公开了一种越权访问漏洞检测装置,应用于代理服务器,包括:
[0019]获取模块,用于当接收到用户访问目标网站的http请求时,将所述http请求发送至所述目标网站的服务器,并获取所述目标网站的服务器根据所述http请求发送的原始返回信息;
[0020]替换模块,用于确定所述http请求的请求参数,替换所述请求参数中的cookie信息,生成第一目标http请求;
[0021]第一比对模块,用于获取所述目标网站的服务器根据所述第一目标http请求发送的第一目标返回信息,并对所述原始返回信息与所述第一目标返回信息进行比对;
[0022]第一生成模块,用于根据得到的第一比对结果,生成越权检测结果。
[0023]可选的,还包括:
[0024]删除模块,用于删除所述请求参数中的cookie信息,生成第二目标http请求;
[0025]第二比对模块,用于获取所述目标网站的服务器根据所述第二目标http请求发送的第二目标返回信息,并对所述原始返回信息与所述第二目标返回信息进行比对,生成第二比对结果;
[0026]第二生成模块,用于根据所述第二比对结果和所述第一比对结果,生成更新后的越权检测结果。
[0027]可选的,所述第二生成模块,包括:
[0028]越权检测结果单元,用于若所述第二比对结果和所述第一比对结果不同,则所述更新后的越权检测结果为所述目标网站存在越权访问漏洞。
[0029]第三方面,本申请公开了一种越权访问漏洞检测系统,包括:
[0030]客户端,用于发送访问目标网站的http请求;
[0031]代理服务器,用于执行所述计算机程序时实现如上述的越权访问漏洞检测方法的步骤;
[0032]网站服务器,用于接收所述http请求和第一目标http请求,并发送根据所述http请求生成的原始返回信息以及根据所述第一目标http请求发送的第一目标返回信息至所述代理服务器。
[0033]第四方面,本申请公开了一种电子设备,包括:
[0034]存储器,用于存储计算机程序;
[0035]处理器,用于执行所述计算机程序时实现如上述的越权访问漏洞检测方法的步骤。
[0036]第五方面,本申请公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述的越权访问漏洞检测方法的步骤。
[0037]本申请提供一种越权访问漏洞检测方法,应用于代理服务器,包括:当接收到用户访问目标网站的http请求时,将所述http请求发送至所述目标网站的服务器,并获取所述目标网站的服务器根据所述http请求发送的原始返回信息;确定所述http请求的请求参数,替换所述请求参数中的cookie信息,生成第一目标http请求;获取所述目标网站的服务器根据所述第一目标http请求发送的第一目标返回信息,并对所述原始返回信息与所述第一目标返回信息进行比对;根据得到的第一比对结果,生成越权检测结果。
[0038]可见,本申请通过利用代理服务器替换用户的http请求的cookie参数信息,发起新的http请求即第一目标http请求,再将获取到的原始返回信息与新的返回信息即第一目标返回信息进行比对,得到越权检测结果;即本申请通过利用代理服本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种越权访问漏洞检测方法,其特征在于,应用于代理服务器,包括:当接收到用户访问目标网站的http请求时,将所述http请求发送至所述目标网站的服务器,并获取所述目标网站的服务器根据所述http请求发送的原始返回信息;确定所述http请求的请求参数,替换所述请求参数中的cookie信息,生成第一目标http请求;获取所述目标网站的服务器根据所述第一目标http请求发送的第一目标返回信息,并对所述原始返回信息与所述第一目标返回信息进行比对;根据得到的第一比对结果,生成越权检测结果。2.根据权利要求1所述的越权访问漏洞检测方法,其特征在于,在所述确定所述http请求的请求参数之后,还包括:删除所述请求参数中的cookie信息,生成第二目标http请求;获取所述目标网站的服务器根据所述第二目标http请求发送的第二目标返回信息,并对所述原始返回信息与所述第二目标返回信息进行比对,生成第二比对结果;根据所述第二比对结果和所述第一比对结果,生成更新后的越权检测结果。3.根据权利要求2所述的越权访问漏洞检测方法,其特征在于,所述根据所述第二比对结果和所述第一比对结果,生成更新后的越权检测结果,包括:若所述第二比对结果和所述第一比对结果不同,则所述更新后的越权检测结果为所述目标网站存在越权访问漏洞。4.根据权利要求1所述的越权访问漏洞检测方法,其特征在于,所述替换所述请求参数中的cookie信息,包括:利用库函数替换所述请求参数中的cookie信息。5.一种越权访问漏洞检测装置,其特征在于,应用于代理服务器,包括:获取模块,用于当接收到用户访问目标网站的http请求时,将所述http请求发送至所述目标网站的服务器,并获取所述目标网站的服务器根据所述http请求发送的原始返回信息;替换模块,用于确定所述http请求的请求参数,替换所述请求参数中的co...
【专利技术属性】
技术研发人员:高杨,范渊,黄进,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。