【技术实现步骤摘要】
一种接口的权限测试方法、系统、设备以及介质
[0001]本专利技术涉及测试领域,具体涉及一种接口的权限测试方法、系统、设备以及存储介质。
技术介绍
[0002]越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。越权访问漏洞主要分为横向越权、纵向越权。
[0003]为减轻安全测评工程师的工作量,提高检测效率,工程师通常会开发自动化测试工具或脚本进行越权问题的检测。纵向越权问题检测只需要考虑接口地址、不同权限用户的认证信息即可,不需要考虑资源数据,因此只需要一个接口请求,通过对比响应内容便可判断该接口是否存在纵向越权问题。而横向越...
【技术保护点】
【技术特征摘要】
1.一种接口的权限测试方法,其特征在于,包括以下步骤:获取接口权限表,其中所述接口权限表中记录了每一个待测接口的多个测试参数;获取每一个待测接口的多个参数中的若干个参数对应的值;利用每一个待测接口的多个参数和所述若干个参数对应的值生成请求并发送到对应的待测接口;响应于接收到对应的待测接口返回的响应,获取并根据所述对应的待测接口的匹配规则和预期响应对所述对应的待测接口返回的响应进行校验。2.如权利要求1所述的方法,其特征在于,获取每一个待测接口的多个参数中的若干个参数对应的值,进一步包括:将若干个参数对应的值添加到所述接口权限表中以从所述接口权限表中获取所述若干个参数对应的值;或,向预设接口发送辅助请求以获取所述若干个参数对应的值。3.如权利要求2所述的方法,其特征在于,向预设接口发送辅助请求以获取所述若干个参数对应的值,进一步包括:通过表达式对所述预设接口返回的响应进行筛选以得到所述若干个参数对应的值。4.如权利要求1所述的方法,其特征在于,获取预期响应,进一步包括:将所述预期响应添加到所述接口权限表中以从所述接口权限表中获取所述预期响应;或,向预设接口发送辅助请求以获取所述预期响应。5.一种接口的权限测试系统,其特征在于,包括:第一获取模块,配置为获取接口权限表,其中所述接口权限表中记录了每一个待测接口的多个测试参数;第二获取模块,配置为获取每一个待测接口的多个参数中的若干个参...
【专利技术属性】
技术研发人员:李勇,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。