基于制造技术

本申请公开一种基于

【技术实现步骤摘要】
基于NLP技术检测越权的方法及装置


[0001]本申请涉及越权检测
，具体涉及一种基于
NLP
技术检测越权的方法及装置
。

技术介绍

[0002]越权问题分为垂直越权和水平越权
。
垂直越权
(Vertical Privilege Escalation)
是指攻击者通过提升自己的权限来访问他们本来无法访问的资源
。
例如，一个普通用户通过漏洞提升权限以管理员身份运行程序
。
水平越权
(Horizontal Privilege Escalation)
是指攻击者通过利用漏洞或其他手段，访问其他用户拥有的相同权限的资源
。
例如，一个普通用户通过漏洞访问另一个普通用户的文件
。
[0003]但是目前判断应用是否存在越权问题，首先得需要知道应用的业务逻辑，才能了解哪些业务存在越权
。
不同应用的业务逻辑大不相同，如果没有人工参与的情况下，很难通过程序的方式去理解业务并检测越权，导致整个检测过程效率低下，且由于容易造成误报
。

技术实现思路

[0004]本申请的目的在于提供一种基于
NLP
技术检测越权的方法
、
装置
、
电子设备及计算机可读存储介质，可以解决
技术介绍
中存在的至少一技术问题
。
[0005]为实现上述目的，本申请提供了一种基于
NLP
技术检测越权的方法，包括：
[0006]获取测试应用的请求流量；
[0007]获取所述测试应用的权限框架的描述信息；
[0008]通过
NLP
解析所述权限框架的描述信息，得到所述测试应用的用户与角色的关联关系
、
功能模块信息以及各角色的权限信息；
[0009]将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系，将解析得到的所述功能模块信息与所述请求流量进行匹配得到功能模块与请求之间的关联关系；
[0010]基于所述权限信息
、
所述用户与请求之间的关联关系以及所述功能模块与请求之间的关联关系生成越权测试策略；
[0011]基于所述越权测试策略得到测试结果；
[0012]根据所述测试结果确定是否存在越权
。
[0013]可选地，所述获取测试应用的请求流量包括：
[0014]获取所述测试应用的请求流量的集合；
[0015]通过请求特征信息将所述测试应用的请求流量进行聚合整理；
[0016]将聚合整理后的请求流量进行数据存储；
[0017]提取存储的所述请求流量进行测试
。
[0018]可选地，所述权限信息包括各角色的权限架构信息和权限问题，所述权限架构信息包括各角色享有权限的功能模块信息，所述权限问题指的是不同用户之间存在垂直越权
或水平越权问题
。
[0019]可选地，所述将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系，包括：
[0020]基于用户的登录请求进行解析得到用户和身份验证信息之间的关联关系；
[0021]基于所述身份验证信息建立用户与用户的后续请求之间的关联关系
。
[0022]可选地，所述越权测试策略包括：
[0023]获取第一角色的用户的请求，并将所述第一角色的用户的请求中的身份验证信息替换为第二角色的用户的身份验证信息进行响应以得到所述测试结果；
[0024]所述第一角色的权限大于所述第二角色的权限
。
[0025]可选地，所述越权测试策略还包括：
[0026]将所述第一角色和所述第二角色均具有权限的功能模块的请求删除；
[0027]测试仅所述第一角色具有权限的功能模块的请求
。
[0028]可选地，所述越权测试策略包括：
[0029]获取第一用户和第二用户的请求，并将所述第一用户的请求中的身份验证信息和第二用户的身份验证信息互换后进行响应以得到所述测试结果；
[0030]所述第一用户和所述第二用户的权限相同且分别享有不同的访问资源
。
[0031]可选地，所述根据所述测试结果确定是否存在越权，包括：
[0032]判断作为所述测试结果的测试响应信息与原始响应信息是否一致；
[0033]若一致，则存在越权
。
[0034]为实现上述目的，本申请还提供了一种基于
NLP
技术检测越权的装置，包括：
[0035]第一获取模块，用于获取测试应用的请求流量；
[0036]第二获取模块，用于将获取所述测试应用的权限框架的描述信息；
[0037]解析模块，用于通过
NLP
解析所述权限框架的描述信息，得到所述测试应用的用户与角色的关联关系
、
功能模块信息以及各角色的权限信息；
[0038]匹配模块，用于将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系，将解析得到的所述功能模块信息与所述请求流量进行匹配得到功能模块与请求之间的关联关系；
[0039]生成模块，用于基于所述权限信息
、
所述用户与请求之间的关联关系以及所述功能模块与请求之间的关联关系生成越权测试策略；
[0040]得到模块，用于基于所述越权测试策略得到测试结果；
[0041]确定模块，用于根据所述测试结果确定是否存在越权
。
[0042]为实现上述目的，本申请还提供了一种电子设备，包括：
[0043]处理器；
[0044]存储器，其中存储有所述处理器的可执行指令；
[0045]其中，所述处理器配置为经由执行所述可执行指令来执行如前所述的基于
NLP
技术检测越权的方法
。
[0046]为实现上述目的，本申请还提供了一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时实现如前所述的基于
NLP
技术检测越权的方法
。
[0047]本申请还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机
程序包括计算机指令，该计算机指令存储在计算机可读存储介质中
。
电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行如上所述的基于
NLP
技术检测越权的方法
。
[0048]本申请通过
NLP
解析权限框架的描述信息，得到测试应用的用户与角色的关联关系
、
功能模块信息以及各角色的权限信息，将解析得到的用户信息与请求流量进行匹配得到用户与请求之间的关联关系，将解析得到的功能模块信息与请求流量进行匹配得到功能模块本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于
NLP
技术检测越权的方法，其特征在于，包括：获取测试应用的请求流量；获取所述测试应用的权限框架的描述信息；通过
NLP
解析所述权限框架的描述信息，得到所述测试应用的用户与角色的关联关系
、
功能模块信息以及各角色的权限信息；将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系，将解析得到的所述功能模块信息与所述请求流量进行匹配得到功能模块与请求之间的关联关系；基于所述权限信息
、
所述用户与请求之间的关联关系以及所述功能模块与请求之间的关联关系生成越权测试策略；基于所述越权测试策略得到测试结果；根据所述测试结果确定是否存在越权
。2.
如权利要求1所述的基于
NLP
技术检测越权的方法，其特征在于，所述获取测试应用的请求流量包括：获取所述测试应用的请求流量的集合；通过请求特征信息将所述测试应用的请求流量进行聚合整理；将聚合整理后的请求流量进行数据存储；提取存储的所述请求流量进行测试
。3.
如权利要求1所述的基于
NLP
技术检测越权的方法，其特征在于，所述权限信息包括各角色的权限架构信息和权限问题，所述权限架构信息包括各角色享有权限的功能模块信息，所述权限问题指的是不同用户之间存在垂直越权或水平越权问题
。4.
如权利要求1所述的基于
NLP
技术检测越权的方法，其特征在于，所述将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系，包括：基于用户的登录请求进行解析得到用户和身份验证信息之间的关联关系；基于所述身份验证信息建立用户与用户的后续请求之间的关联关系
。5.
如权利要求1所述的基于
NLP
技术检测越权的方法，其特征在于，所述越权测试策略包括：获取第一角色的用户的请求，并将所述第一角色的用户的请求中的身份验证信息替换为第二角色的用户的身份验证信息进行响应以得到所述测试结果；所述第一角色的权限大于所述第二角色的权限
。6.
如权利要求5所述的基于
NLP
技术检测越权的方法，...

【专利技术属性】
技术研发人员：刘海涛，万振华，王颉，李华，刘丽，董燕，吴迪，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：