【技术实现步骤摘要】
一种越权访问漏洞测试方法
[0001]本专利技术涉及计算机数据安全
,具体涉及一种越权访问漏洞测试方法。
技术介绍
[0002]在互联网业务系统运行过程中,需要设置每一用户的访问权限,使得每一用户仅能操作自己的数据信息,保证数据隔离以及权限隔离。但是由于在客户端的业务应用程序提交数据请求时,服务器端可能会忽略账户操作权限的判断,导致攻击者可以使用一个合法账户,即可对存在越权访问漏洞的其他账户的数据进行非法的操作,导致被攻击的账户无法使用或被消耗掉可用资源。
[0003]现有技术中,为应对越权访问漏洞的问题,技术人员可以使用越权访问漏洞扫描工具,例如Burp Suite,进行抓包操作,然后修改请求参数,对比接口返回报文结果来确定是否包含敏感信息,然后作用于其他可能存在缺陷的接口中,从而实现对Web应用程序的一些常规越权访问漏洞的测试。但上述解决方案存在使用人员学习成本高,以及需要进行大量的重复工作,因而非常依赖安全测试人员的主观经验,由此造成较大的人力资源消耗,同时也存在操作步骤频繁复杂,检测效率低下与被测程序不...
【技术保护点】
【技术特征摘要】
1.一种越权访问漏洞测试方法,其特征在于,所述方法包括:获取已经登录的第一账户的功能接口,作为第一测试接口;所述第一测试接口包含所述第一账户的第一登录信息;使用接口测试工具,根据第二账户的第二登录信息修改所述第一登录信息,得到第二测试接口;使用所述接口测试工具,通过所述第二测试接口对测试账户发起功能测试;所述测试账户为所述第一账户,或者,所述测试账户为所述第二账户;若针对所述功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞。2.根据权利要求1所述的方法,其特征在于,获取已经登录的第一账户的功能接口,作为第一测试接口,包括:通过全球广域网web浏览器登录第一账户;打开web浏览器的开发者工具Network,并且开启录制功能;获取所述第一账户的所有可用的功能接口,作为第一测试接口。3.根据权利要求2所述的方法,其特征在于,所述第一测试接口的接口类型包括字典请求、控制器与动作Controller And Action、即时编译编程语言JavaScript、超文本标记语言HTML和模型请求中的一种或多种。4.根据权利要求1所述的方法,其特征在于,所述使用接口测试工具,根据第二账户的第二登录信息修改所述第一登录信息,得到第二测试接口,包括:获取第二账户的第二登录信息的第一身份验证证明字段;使用接口测试工具,将所述第一登录信息的第二身份验证证明字段替换为所述第一身份验证证明字段。5.根据权利要求4所述的方法,其特征在于,所述功能测试对应的数据操作包括增加数据、删除数据、修改...
【专利技术属性】
技术研发人员:赵绪龙,王士义,许健康,
申请(专利权)人:珍岛信息技术上海股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。