【技术实现步骤摘要】
处理逻辑漏洞的方法、装置及应用
[0001]本专利技术涉及信息安全
,尤其涉及处理逻辑漏洞的方法。
技术介绍
[0002]现如今,越权和逻辑漏洞在网络漏洞中的占比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。这其中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。
[0003]逻辑漏洞是和系统自身功能和逻辑有关系的设计缺陷,攻击者往往会利用业务/功能上的设计缺陷,来获取敏感信息或破坏业务的完整性。一般出现在密码修改,确权访问,密码找回,交易支付金额等功能处。
[0004]由于逻辑漏洞的破坏方式并非是向程序添加破坏内容,而是利用逻辑处理不严密或者代码问题或固有不足,其在操作上并不影响程序的允许,在逻辑上是顺利执行的。
[0005]考虑到逻辑漏洞产生的核心原因是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”。但是,开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了逻辑漏洞的产生。
[0006...
【技术保护点】
【技术特征摘要】
1.一种处理逻辑漏洞的方法,其特征在于,包括:获取网络中的逻辑漏洞,并进行分析以得到前述逻辑漏洞的逻辑关系;基于前述逻辑关系,确定该逻辑漏洞的漏洞点,并对该漏洞点进行漏洞修复。2.根据权利要求1所述的方法,其特征在于,所述逻辑漏洞包括身份逻辑漏洞、权限逻辑漏洞、图形验证码逻辑漏洞、找回密码逻辑漏洞、业务数据篡改逻辑漏洞和执行顺序逻辑漏洞。3.根据权利要求1所述的方法,其特征在于,对前述逻辑漏洞的分析时,所述分析具体包括:读取前述逻辑漏洞的执行条件;所述执行条件包括允许该逻辑漏洞运行的权限范围;所述执行条件与逻辑漏洞切片形成的逻辑片段相对应;对应着前述逻辑漏洞的执行条件进行切片,将前述逻辑漏洞按照逻辑片段依序分为多片逻辑漏洞,使得切片后的每片逻辑漏洞都是最小片段。4.根据权利要求3所述的方法,其特征在于,每片逻辑漏洞中均反映有至少一个逻辑关系,顺序连接的多片逻辑漏洞之间存在至少一个逻辑关系。5.根据权利要求4所述的方法,其特征在于,在确定该逻辑漏洞的漏洞点时,具体包括判断每片逻辑漏洞中是否存在漏洞点。6.根据权利要求5所述的方法,其特征在于,所述判断包括:对所述逻辑漏洞预设权限标记,该权限标记用以标识前述逻辑漏洞允许用户执行操作的权限范围;该权限标记设置为第一权限标记;选取前述逻辑漏洞允许用户执行操作的权限范围之外的值对前述逻辑漏洞进行检测,以确定该逻辑漏洞的漏洞点。7.根据权利要求6所述的方法,...
【专利技术属性】
技术研发人员:杨腾霄,崔政强,
申请(专利权)人:上海纽盾科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。