本公开提出一种越权漏洞检测方法和装置,涉及网络安全领域。该方法包括:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。在web应用访问过程中,自动捕获和收集相关的访问信息,根据访问信息是否包括敏感信息和访问过程是否与合规模型匹配的判定结果,确定web应用访问过程是否存在越权漏洞,从而实现一种能够自动检测的通用性好的越权漏洞检测方案。越权漏洞检测方案。越权漏洞检测方案。
【技术实现步骤摘要】
越权漏洞检测方法和装置
[0001]本公开涉及网络安全领域,特别涉及一种越权漏洞检测方法和装置。
技术介绍
[0002]越权漏洞的发生,一般是对数据或者资源的使用超出用户权限造成的。
[0003]在一些相关技术中,通过人工审查代码的方式检测越权漏洞。但是人工检测效率低,而且受检测人员业务水平的限制。
[0004]在另一些相关技术中,通过模拟低权限用户(如普通用户)是否能访问高权限用户(如管理员)的URL(Uniform Resource Locator,统一资源定位器)检测越权漏洞。需要预设不同权限的用户和不同的URL,并且需要针对请求返回结果进行针对性对比,通用性差。
[0005]在另一些相关技术中,收集所有可访问的页面集以及访问受限的页面集,然后对这些页面进行模拟访问,通过比对模拟访问的结果与这些页面的实际访问权限检测越权漏洞。需要先对页面地址进行分类,并逐一的进行模拟访问,工作量大,通用性差。
技术实现思路
[0006]本公开实施例的目的是提出一种能够自动检测的通用性好的越权漏洞检测方案。
[0007]本公开实施例提出一种越权漏洞检测方法,包括:
[0008]捕获web应用的访问请求;
[0009]收集所述访问请求涉及的数据库访问信息;
[0010]捕获所述访问请求相应的访问响应;
[0011]判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;
[0012]判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;
[0013]根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
[0014]在一些实施例中,捕获web应用的访问请求包括:
[0015]获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址。
[0016]在一些实施例中,收集所述访问请求涉及的数据库访问信息包括:
[0017]基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情;
[0018]基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后插入数据库元数据信息查询命令。
[0019]在一些实施例中,捕获所述访问请求相应的访问响应包括:
[0020]通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应;
[0021]获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
[0022]在一些实施例中,判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息包括:
[0023]将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联;
[0024]将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息。
[0025]在一些实施例中,判断所述访问请求的数据访问过程是否与预设的合规模型匹配包括:
[0026]判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数;
[0027]如果均符合,判定匹配,如果任意一项不符合,判定不匹配。
[0028]在一些实施例中,根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞包括:
[0029]如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞;
[0030]如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞;
[0031]如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
[0032]在一些实施例中,通过hookMethod方法的insertAfter操作修改数据库连接函数。
[0033]在一些实施例中,由设置于web应用系统的代理执行:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;由越权漏洞检测的检测器执行:判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
[0034]本公开一些实施例提出一种越权漏洞检测装置,包括:
[0035]设置于web应用系统的代理,被配置为捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;
[0036]越权漏洞检测的检测器,被配置为判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
[0037]在一些实施例中,所述代理被配置为:
[0038]获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址;
[0039]或者,基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情,基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的
数据库连接函数在原始数据库连接操作之后插入数据库元数据信息查询命令;
[0040]或者,通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应,获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
[0041]在一些实施例中,所述检测器被配置为:
[0042]将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联,将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息;
[0043]或者,判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数,如果均符合,判定匹配,如果任意一项不符合,判定不匹配;
[0044]或者,如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞,如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞,如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种越权漏洞检测方法,其特征在于,包括:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。2.根据权利要求1所述的方法,其特征在于,捕获web应用的访问请求包括:获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址。3.根据权利要求1所述的方法,其特征在于,收集所述访问请求涉及的数据库访问信息包括:基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情;基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后插入数据库元数据信息查询命令。4.根据权利要求1所述的方法,其特征在于,捕获所述访问请求相应的访问响应包括:通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应;获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。5.根据权利要求1所述的方法,其特征在于,判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息包括:将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联;将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息。6.根据权利要求1所述的方法,其特征在于,判断所述访问请求的数据访问过程是否与预设的合规模型匹配包括:判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数;如果均符合,判定匹配,如果任意一项不符合,判定不匹配。7.根据权利要求1所述的方法,其特征在于,根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞包括:如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞;如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞;如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
8.根据权利要求3所述的方法,其特征在于,通过hookMethod方法的insertAfter操作修改数据库连接函数。9.根据权利要求1
‑
8任一项所述的方法,其特征在于,由设置于web应用系统的代理执行:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应...
【专利技术属性】
技术研发人员:王伟,张超,司琛芝,
申请(专利权)人:北京京东世纪贸易有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。