一种越权访问的检测方法、装置及存储介质制造方法及图纸

本申请公开了一种越权访问的检测方法、装置及存储介质，具体包括：通过插桩方法采集业务服务过程中的业务服务信息并将其作为采集信息，所述业务服务信息是在实现业务服务时从业务请求方发起请求到业务提供方响应的过程中所产生的信息；根据采集信息进行分析，判断是否存在高风险信息，如果存在高风险信息，则确定业务服务过程的越权访问的检测结果为非法访问；否则确定业务服务过程的越权访问的检测结果为合法访问。本申请实施例将各种场景统一抽象，在请求、访问数据库以及响应等各环节利用插桩技术来实现信息的采集，既可以实现针对各个场景下的越权访问的检测，同时保证检测过程是无侵入式的检测，不影响原有业务服务过程的逻辑。程的逻辑。程的逻辑。

【技术实现步骤摘要】
一种越权访问的检测方法、装置及存储介质


[0001]本申请涉及互联网
，尤其涉及一种越权访问的检测方法，一种越权访问的检测装置，一种计算机可读存储介质和一种计算机程序产品。

技术介绍

[0002]随着互联网技术的发展，越来越多的行业通过网络提供服务。在实际应用中，由于技术上的疏漏，在对业务服务进行访问时有可能发生越权访问的行为。比如某用户A越权访问到用户B的隐私信息。为此，现有技术提出一些针对越权访问的检测。但现有技术通常针对某个单一场景进行检测，很难全面地检测到越权访问的情况。

技术实现思路

[0003]针对上述现有技术，本专利技术实施例公开一种越权访问的检测方法，可以克服针对单一场景检测的缺陷，针对各个场景实现无侵入的检测。
[0004]鉴于此，本申请实施例提出一种越权访问的检测方法，该方法包括：
[0005]通过插桩方法采集业务服务过程中的业务服务信息并将其作为采集信息，所述业务服务信息是在实现业务服务时从业务请求方发起请求到业务提供方响应的过程中所产生的信息；所述业务服务过程是所述业务提供方提供服务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种越权访问的检测方法，其特征在于，该方法包括：通过插桩方法采集业务服务过程中的业务服务信息并将其作为采集信息，所述业务服务信息是在实现业务服务时从业务请求方发起请求到业务提供方响应的过程中所产生的信息；所述业务服务过程是所述业务提供方提供服务且由所述业务请求方访问所述业务提供方所提供的服务的过程；根据所述采集信息进行分析，根据分析结果判断是否存在高风险信息，如果存在高风险信息，则确定所述业务服务过程的越权访问的检测结果为非法访问；如果不存在高风险信息，则确定所述业务服务过程的越权访问的检测结果为合法访问。2.根据权利要求2所述的方法，其特征在于，所述业务服务信息包括：业务服务请求信息、数据库调用信息、调用栈信息、业务服务响应信息；其中，所述业务服务请求信息是所述业务请求方访问所述业务提供方所提供的服务发起请求时需要的信息，所述数据库调用信息是所述业务服务过程中调用数据库的相关信息，所述调用栈信息是记录所述业务服务过程中被调用方法的相关信息，所述业务服务响应信息是所述业务提供方向所述业务请求方返回的信息。3.根据权利要求1所述的方法，其特征在于，所述插桩方法由独立于所述业务服务的代理程序实现，所述代理程序监控虚拟机上运行的所述业务服务的应用程序且通过所述业务服务的应用程序完成所述业务服务信息的采集。4.根据权利要求2所述的方法，其特征在于，所述通过插桩方法采集业务服务过程中的业务服务信息的步骤由越权检测客户端实施，且由所述越权检测客户端将所述采集信息发送给越权检测服务端；所述通过插桩方法采集业务服务过程中的业务服务信息的步骤与所述根据所述采集信息进行分析的步骤之间，该方法进一步包括：所述越权检测服务端对所述采集信息进行预处理，所述预处理包括去重处理和参数过滤处理；所述越权检测服务端对所述采集信息进行预处理的步骤与所述根据所述采集信息进行分析的步骤之间，该方法进一步包括：所述越权检测服务端确定所述采集信息是否包括事先设置的敏感信息，并为包括所述敏感信息的采集信息进行标记，并根据所述采集信息确定并标记所述业务服务过程所属的业务场景。5.根据权利要求4所述的方法，其特征在于，所述业务服务请求信息包括请求域名、请求路径、请求路径参数、请求方法、浏览器标识。6.根据权利要求5所述的方法，其特征在于，所述去重处理包括：根据所述业务服务请求信息中的所述请求域名、所述请求路径和所述请求路径参数判别所述采集信息是否为重复的采集信息，如果为重复的采集信息，则丢弃所述采集信息，且结束所述业务服务过程的越权访问检测；如果不为重复的采集信息，则继续执行；所述参数过滤处理包括：判别所述业务服务请求信息中的所述请求路径参数是否为已有的系统参数或已有的公共参数，如果为所述系统参数或公共参数，则丢弃所述采集信息，
且结束所述业务服务过程的越权访问检测；如果不为所述系统参数或公共参数，则继续执行。7.根据权利要求5所述的方法，其特征在于，所述越权检测服务端确定所述采集信息是否包括事先设置的敏感信息，并为包括所述敏感信息的采集信息进行标记，并根据所述采集信息确定并标记所述业务服务过程所属的业务场景的步骤包括：判断所述业务服务请求信息中的所述请求方法是否为事先设置的敏感方法，如果为所述敏感方法，则标记所述业务服务请求信息中的所述请求方法包含所述敏感信息；判断所述业务服务请求信息中的所述请求路径是否为事先设置的敏感特征路径，如果为所述敏感特征路径，则标记所述业务服务请求信息中的所述请求路径包含所述敏感信息；判断所述业务服务请求信息中的所述请求路径参数是否包含可控的用户标识，如果包含所述可控的用户标识，则标记所述业务服务请求信息中的所述请求路径参数包含所述敏感信息；判断所述数据库调用信息中是否包含事先设置的敏感操作，如果包含所述敏感操作，则标记所述数据库调用信息包含所述敏感信息；判断所述数据库调用信息中...

【专利技术属性】
技术研发人员：张栋，
申请(专利权)人：贝壳找房北京科技有限公司，
类型：发明
国别省市：