本申请提供一种基于越权访问的漏洞测试方法、装置、设备及存储介质。该方法包括:获取预设的第一用户账号在预设的待测试链接下的页面处理数据;页面处理数据包括登录待测试链接所显示的各页面,以及对各页面进行的请求操作;根据页面处理数据中第一用户账号对各页面进行的请求操作,确定待测试链接在登录预设的第二用户账号后所显示的各页面;第一用户账号的页面处理的权限大于第二用户账号;若第二用户账号登录待测试链接所显示的各页面,与第一用户账号登录待测试链接所显示的各页面一致,则确定存在越权访问的漏洞。本申请通过获取不同权限的用户账号访问网页的信息,对越权访问进行自动检测,提高越权访问的漏洞测试效率。提高越权访问的漏洞测试效率。提高越权访问的漏洞测试效率。
【技术实现步骤摘要】
基于越权访问的漏洞测试方法、装置、设备及存储介质
[0001]本申请涉及自动测试技术,尤其涉及一种基于越权访问的漏洞测试方法、装置、设备及存储介质。
技术介绍
[0002]越权访问是WEB(World Wide Web,全球广域网)应用程序中一种常见的业务逻辑漏洞。由于存在范围广、危害大,曾经被列为WEB应用十大安全隐患的第二名,严重影响系统的正常运行。
[0003]目前对于越权访问漏洞的测试方法是采用人工测试的方法,工作人员模拟没有权限的用户进行越权请求,确定是否请求成功,若是,则确定存在漏洞。但是,这种方法需要耗费大量的人力和时间,容易出错,测试效率较低。
技术实现思路
[0004]本申请提供一种基于越权访问的漏洞测试方法、装置、设备及存储介质,用以提高越权访问的漏洞测试效率。
[0005]第一方面,本申请提供一种基于越权访问的漏洞测试方法,包括:
[0006]获取预设的第一用户账号在预设的待测试链接下的页面处理数据;其中,所述页面处理数据包括登录所述待测试链接后所显示的各页面,以及对各页面进行的请求操作;
[0007]根据所述页面处理数据中所述第一用户账号对各页面进行的请求操作,确定预设的第二用户账号登录所述待测试链接所显示的各页面;其中,所述第一用户账号的页面处理的权限大于所述第二用户账号;
[0008]若所述第二用户账号登录所述待测试链接所显示的各页面,与所述第一用户账号登录所述待测试链接所显示的各页面一致,则确定存在越权访问的漏洞。
[0009]第二方面,本申请提供一种基于越权访问的漏洞测试装置,包括:
[0010]数据获取模块,用于获取预设的第一用户账号在预设的待测试链接下的页面处理数据;其中,所述页面处理数据包括登录所述待测试链接后所显示的各页面,以及对各页面进行的请求操作;
[0011]页面确定模块,用于根据所述页面处理数据中所述第一用户账号对各页面进行的请求操作,确定预设的第二用户账号登录所述待测试链接所显示的各页面;其中,所述第一用户账号的页面处理的权限大于所述第二用户账号;
[0012]漏洞确定模块,用于若所述第二用户账号登录所述待测试链接所显示的各页面,与所述第一用户账号登录所述待测试链接所显示的各页面一致,则确定存在越权访问的漏洞。
[0013]第三方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;
[0014]所述存储器存储计算机执行指令;
[0015]所述处理器执行所述存储器存储的计算机执行指令,以实现如本申请第一方面所述的基于越权访问的漏洞测试方法。
[0016]第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如本申请第一方面所述的基于越权访问的漏洞测试方法。
[0017]第五方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如本申请第一方面所述的基于越权访问的漏洞测试方法。
[0018]本申请提供的一种基于越权访问的漏洞测试方法、装置、设备及存储介质,预设两个用户账号,第一用户账号的权限大于第二用户账号,通过第二用户账号进行越权访问,测试是否存在漏洞。获取第一用户账号登录待测试链接后的页面处理数据,在第二用户账号的权限下执行第一用户账号所做的操作,若显示的页面与第一用户账号所显示的页面相同,则确定第二用户账号能够进行越权访问,即存在漏洞。解决了现有技术中,人工进行测试所造成的测试精度和效率较低的问题。通过两个权限不同的用户账号实现越权访问漏洞的自动测试,节约了人力和时间,减少人为造成的差错,有效提高测试的效率和精度。
附图说明
[0019]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
[0020]图1为本申请实施例提供的一种基于越权访问的漏洞测试方法的流程示意图;
[0021]图2为本申请实施例提供的一种基于越权访问的漏洞测试方法的流程示意图;
[0022]图3为本申请实施例提供的漏洞测试系统的结构示意图;
[0023]图4为本申请实施例提供的一种基于越权访问的漏洞测试装置的结构框图;
[0024]图5为本申请实施例提供的一种基于越权访问的漏洞测试装置的结构框图;
[0025]图6为本申请实施例提供的一种电子设备的结构框图;
[0026]图7为本申请实施例提供的一种电子设备的结构框图。
[0027]通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
[0028]为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例方式作进一步地详细描述。
[0029]应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
[0030]下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0031]在本申请的描述中,需要理解的是,术语“第一”、“第二”、“第三”等仅用于区别类似的对象,而不必用于描述特定的顺序或先后次序,也不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。此外,在本申请的描述中,除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
[0032]需要注意的是,由于篇幅所限,本申请说明书没有穷举所有可选的实施方式,本领域技术人员在阅读本申请说明书后,应该能够想到,只要技术特征不互相矛盾,那么技术特征的任意组合均可以构成可选的实施方式。下面对各实施例进行详细说明。
[0033]越权访问是WEB应用程序中一种常见的业务逻辑漏洞。越权访问可以分为垂直越权访问和水平越权访问。垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限,水平越权是指相同级别用户之间的越权操作。
[0034]越权访问可以是A用户通过越权操作,操作B用户的权限范围内的数据,还可以是A用户通过越权操作,获取管理员权限账户,导致敏感信息泄露或被非法篡改。即,进行越权操作的用户账号只有小权限,但是通过越权操作,获取了更大的权限范围来获得数据。
[0035]目前对本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于越权访问的漏洞测试方法,其特征在于,包括:获取预设的第一用户账号在预设的待测试链接下的页面处理数据;其中,所述页面处理数据包括所述待测试链接在登录后所显示的各页面,以及对各页面进行的请求操作;根据所述页面处理数据中所述第一用户账号对各页面进行的请求操作,确定所述待测试链接在登录预设的第二用户账号后所显示的各页面;其中,所述第一用户账号的页面处理的权限大于所述第二用户账号;若所述待测试链接登录所述第二用户账号所显示的各页面,与所述待测试链接登录所述第一用户账号所显示的各页面一致,则确定存在越权访问的漏洞。2.根据权利要求1所述的方法,其特征在于,获取预设的第一用户账号在预设的待测试链接下的页面处理数据,包括:根据预设的第一用户账号的用户信息,采用预设的待测试链接登录所述第一用户账号;确定在第一用户账号的权限下,所述待测试链接所显示的页面,并根据所述第一用户账号的权限,对所述页面进行请求操作,将所述请求操作确定为所述第一用户账号在所述待测试链接下的页面处理数据。3.根据权利要求2所述的方法,其特征在于,在根据所述第一用户账号的权限,对所述页面进行请求操作之后,还包括:确定在第一用户账号的权限下,所述页面的页面响应状态码,为第一页面响应状态码;其中,所述页面响应状态码用于表示各页面,以及在响应到请求后各页面的页面状态;将所述第一页面响应状态码确定为所述第一用户账号在所述待测试链接下的页面处理数据。4.根据权利要求3所述的方法,其特征在于,根据所述页面处理数据中所述第一用户账号对各页面进行的请求操作,确定所述待测试链接在登录预设的第二用户账号后所显示的各页面,包括:根据预设的第二用户账号的用户信息,采用预设的待测试链接登录所述第二用户账号;根据所述页面处理数据中所述第一用户账号对各页面进行的请求操作,基于所述第二用户账号的权限,对所述待测试链接所显示的页面进行请求操作,得到在第二用户账号的权限下,各页面的页面响应状态码,为第二页面响应状态码。5.根据权利要求4所述的方法,其特征在于,若所述第二用户账号登录所述待测试链接所显示的各页面,与所述第一用户账号登录所述待测试链接所显示的各页面一...
【专利技术属性】
技术研发人员:王阳阳,苏畅,常立志,周永恒,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。