【技术实现步骤摘要】
一种越权漏洞检测方法、装置、电子设备及介质
[0001]本专利技术涉及数据安全领域,特别是涉及一种越权漏洞检测方法、装置、电子设备及介质。
技术介绍
[0002]黑盒扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。现有技术中,黑盒工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。
[0003]越权漏洞是我们在测试过程中遇到比较多的漏洞,我们可以这样来理解越权漏洞,一个用户A一般只能够对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有在信息进行增、删、改、查等时候进行用户判断,从而导致用户A可以对其他用户进行增、删、改、查等等操作。
[0004]现有技术中,黑盒扫描器只能使用两个不同登录态的账户,重放同一个请求,根据请求的返回是否相同来判断,这种情况下的漏报、误报率非常高。
技术实现思路
[0005]鉴于以上所述现有技术的缺点,本专利技术的目的在于提...
【技术保护点】
【技术特征摘要】
1.一种越权漏洞检测方法,其特征在于,包括:根据第一用户的身份信息生成关于所述第一用户的第一操作请求,并发送所述第一操作请求至接口;令数据库探针记录所述接口执行所述第一操作请求的第一执行语句;根据第二用户的身份信息生成关于所述第二用户的第二操作请求,并将所述第二操作请求发送至所述接口;令所述数据库探针记录所述接口执行所述第二操作请求的第二执行语句;当所述数据库探针判断所述第一执行语句和所述第二执行语句相同时,判断存在越权漏洞。2.根据权利要求1所述的越权漏洞检测方法,其特征在于,在令所述数据库探针记录所述第一执行语句后,令所述数据库探针查询关于所述第一执行语句的第一数据库表,且对所述第一数据库表与预设的用户表的关联关系进行判断;当所述数据库探针判断所述第一数据库表与所述用户表存在所述关联关系时,根据所述第二用户的身份信息生成关于所述第二用户的所述第二操作请求,并将所述第二操作请求发送至所述接口。3.根据权利要求2所述的越权漏洞检测方法,其特征在于,所述数据库探针在记录所述第一执行语句时,同时记录所述接口执行所述第一操作请求的第一接口参数;所述数据库探针判断所述第一数据库表与所述用户表存在所述关联关系时,根据所述第一接口参数以及所述第二用户的身份信息生成关于所述第二用户的所述第二操作请求,并将所述第二操作请求发送至所述接口;所述数据库探针在记录所述第二执行语句时,同时记录所述接口执行所述第二操作请求的第二接口参数;其中,所述第一接口参数与所述第二接口参数相同。4.根据权利要求2所述的越权漏洞检测方法,其特征在于,预设所述第一数据库表和所述用户表的映射关系;所述对所述第一数据库表与预设的用户表的关联关系进行判断的步骤还包括:根据所述映射关系对所述第一数据库表与所述用户表的关联关系进行判断;其中,当所述第一数据库表和所述用户表符合所述映射关系时,判断所述第一数据库表与所述用户表存在关联关系。5.根据权利要求2所述的越权漏洞检测方法,其特征在于,当所述数据库探针判断所述第一数据库表与所述用户表不存在关联关系时,判断不存在越权漏洞,且结束所述越权漏洞检测方法。6.根据权利要求1所述的越权漏洞检测方法,其特征在于,所述第一操作请求和所述第二操作请求包括以下中的至少一种:订单取消请求、订单修改请求、订单查询请求以及网页查询请求。7.一种越权漏洞检测装置,其特征在于,包括:第一请求发送模块,用以根据第一用户的身份信息生成关于所述第一用户的第一操作请求,并发送所述第一操作请求至接口;第一记录模块,用以令...
【专利技术属性】
技术研发人员:杨磊,张何钫,
申请(专利权)人:上海钧正网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。