【技术实现步骤摘要】
基于NLP技术检测越权的方法及装置
[0001]本申请涉及越权检测
,具体涉及一种基于
NLP
技术检测越权的方法及装置
。
技术介绍
[0002]越权问题分为垂直越权和水平越权
。
垂直越权
(Vertical Privilege Escalation)
是指攻击者通过提升自己的权限来访问他们本来无法访问的资源
。
例如,一个普通用户通过漏洞提升权限以管理员身份运行程序
。
水平越权
(Horizontal Privilege Escalation)
是指攻击者通过利用漏洞或其他手段,访问其他用户拥有的相同权限的资源
。
例如,一个普通用户通过漏洞访问另一个普通用户的文件
。
[0003]但是目前判断应用是否存在越权问题,首先得需要知道应用的业务逻辑,才能了解哪些业务存在越权
。
不同应用的业务逻辑大不相同,如果没有人工参与的情况下,很难通过程序的方式去理解业务并检测越权,导致整个检测过程效率低下,且由于容易造成误报
。
技术实现思路
[0004]本申请的目的在于提供一种基于
NLP
技术检测越权的方法
、
装置
、
电子设备及计算机可读存储介质,可以解决
技术介绍
中存在的至少一技术问题
。
[0005]为实现上述目的,本申请提供了一种基于
NLP
技术检测越 ...
【技术保护点】
【技术特征摘要】
1.
一种基于
NLP
技术检测越权的方法,其特征在于,包括:获取测试应用的请求流量;获取所述测试应用的权限框架的描述信息;通过
NLP
解析所述权限框架的描述信息,得到所述测试应用的用户与角色的关联关系
、
功能模块信息以及各角色的权限信息;将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系,将解析得到的所述功能模块信息与所述请求流量进行匹配得到功能模块与请求之间的关联关系;基于所述权限信息
、
所述用户与请求之间的关联关系以及所述功能模块与请求之间的关联关系生成越权测试策略;基于所述越权测试策略得到测试结果;根据所述测试结果确定是否存在越权
。2.
如权利要求1所述的基于
NLP
技术检测越权的方法,其特征在于,所述获取测试应用的请求流量包括:获取所述测试应用的请求流量的集合;通过请求特征信息将所述测试应用的请求流量进行聚合整理;将聚合整理后的请求流量进行数据存储;提取存储的所述请求流量进行测试
。3.
如权利要求1所述的基于
NLP
技术检测越权的方法,其特征在于,所述权限信息包括各角色的权限架构信息和权限问题,所述权限架构信息包括各角色享有权限的功能模块信息,所述权限问题指的是不同用户之间存在垂直越权或水平越权问题
。4.
如权利要求1所述的基于
NLP
技术检测越权的方法,其特征在于,所述将解析得到的用户信息与所述请求流量进行匹配得到用户与请求之间的关联关系,包括:基于用户的登录请求进行解析得到用户和身份验证信息之间的关联关系;基于所述身份验证信息建立用户与用户的后续请求之间的关联关系
。5.
如权利要求1所述的基于
NLP
技术检测越权的方法,其特征在于,所述越权测试策略包括:获取第一角色的用户的请求,并将所述第一角色的用户的请求中的身份验证信息替换为第二角色的用户的身份验证信息进行响应以得到所述测试结果;所述第一角色的权限大于所述第二角色的权限
。6.
如权利要求5所述的基于
NLP
技术检测越权的方法,...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,李华,刘丽,董燕,吴迪,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。