未授权访问漏洞检测方法技术

本申请实施例提供一种未授权访问漏洞检测方法

【技术实现步骤摘要】
未授权访问漏洞检测方法、装置、电子设备及存储介质


[0001]本申请涉及计算机
，尤其涉及一种未授权访问漏洞检测方法
、
装置
、
电子设备及存储介质
。

技术介绍

[0002]通常，应用程序
(Application,App)
在发布前会利用第三方扫描软件进行未授权访问漏洞的检测
。
第三方扫描软件普遍采用字典爆破方式进行漏洞检测，但是，这种方式检测出的未授权访问漏洞不够全面，有些未授权访问漏洞无法检测出来，未授权访问漏洞的检测准确度不高
。

技术实现思路

[0003]本申请的多个方面提供一种未授权访问漏洞检测方法
、
装置
、
电子设备及存储介质，用以提高未授权访问漏洞的检测准确度
。
[0004]本申请实施例提供一种未授权访问漏洞检测方法，应用于部署在中间件中的未授权访问漏洞检测装置，该方法包括：加载部署在中间件上应用程序的代码资源；
[0005]获取应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；利用目标解析器对应用程序的代码资源进行解析，得到应用程序的至少一个应用程序接口
API
的接口信息；针对至少一个
API
中的每个
API
，基于
API
的接口信息向
API
发送请求报文，并获取
API
响应请求报文返回的响应报文；根据响应报文确定
API
是否存在未授权访问漏洞
。
[0006]本申请实施例提供一种未授权访问漏洞检测装置，该装置可以包括：加载模块，用于加载部署在中间件上应用程序的代码资源；选择模块，用于获取应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；解析模块，用于利用目标解析器对应用程序的代码资源进行解析，得到应用程序的至少一个应用程序接口
API
的接口信息；交互模块，用于针对至少一个
API
中的每个
API
，基于
API
的接口信息向
API
发送请求报文，并获取
API
响应请求报文返回的响应报文；漏洞检测模块，用于根据响应报文确定
API
是否存在未授权访问漏洞
。
[0007]本申请实施例提供一种电子设备，包括：存储器和处理器；存储器，用于存储计算机程序；处理器耦合至存储器，用于执行计算机程序以用于执行未授权访问漏洞检测方法中的步骤
。
[0008]本申请实施例提供一种存储有计算机程序的计算机可读存储介质，其特征在于，当计算机程序被处理器执行时，致使处理器能够实现未授权访问漏洞检测方法中的步骤
。
[0009]在本实施例中，在中间件中部署未授权访问漏洞检测装置，利用未授权访问漏洞检测装置对应用的
API
进行未授权访问漏洞检测，不同于第三方扫描软件普遍采用字典爆破方式进行漏洞检测，未授权访问漏洞检测装置在进行未授权访问漏洞检测时，加载部署在中间件上应用程序的代码资源；分析应用程序使用的目标应用框架，并选择目标应用框
架对应的目标解析器；利用目标解析器对应用程序的代码资源进行解析，得到应用的至少一个应用程序接口
API
的接口信息；针对至少一个
API
中的每个
API
，基于
API
的接口信息向
API
发送请求报文，并获取
API
响应请求报文返回的响应报文；根据响应报文确定
API
是否存在未授权访问漏洞
。
由此，未授权访问漏洞检测装置能够较为全面地检测出未授权访问漏洞，有效提高未授权访问漏洞的检测准确度和检测效率
。
附图说明
[0010]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定
。
在附图中：
[0011]图1为本申请实施例提供的一种示例性的分布式系统的架构图；
[0012]图2为本申请实施例提供的一种未授权访问漏洞检测方法的流程图；
[0013]图3为本申请实施例提供的一种未授权访问漏洞检测装置的结构示意图；
[0014]图4为本申请实施例提供的一种电子设备的结构示意图
。
具体实施方式
[0015]为使本申请的目的
、
技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚
、
完整地描述
。
显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例
。
基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围
。
[0016]在本申请的实施例中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上
。“和
/
或”，描述关联对象的访问关系，表示可以存在三种关系，例如，
A
和
/
或
B
，可以表示：单独存在
A
，同时存在
A
和
B
，单独存在
B
这三种情况，其中
A
，
B
可以是单数或者复数
。
在本申请的文字描述中，字符“/”一般表示前后关联对象是一种“或”的关系
。
此外，在本申请实施例中，“第一”、“第二”、“第三”、
等只是为了区分不同对象的内容而已，并无其它特殊含义
。
[0017]图1为本申请实施例提供的一种示例性的分布式系统的架构图
。
参见图1，该分布式系统自上而下包括：应用层
、
中间件层
、
操作系统层和硬件设施层
。
应用层提供多个应用程序，应用程序通过应用程序接口
(Application Programming Interface
，
API)
与其他应用软件进行交互；中间件层提供中间件
(Middleware)
，中间件是一种应用于分布式系统的基础软件，中间件在分布式环境下支撑应用开发
、
运行和集成的平台，能够实现系统之间的互联互通，帮助用户高效开发应用软件；系统软件层提供操作系统和其他系统软件等各种系统软件；硬件设施层提供服务器和存储设备等各种硬件设施
。
[0018]通常，应用程序
(Application,App)
在发布前会利用第三方扫描软件进行未授权访问漏洞的检测
。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种未授权访问漏洞检测方法，其特征在于，应用于部署在中间件中的未授权访问漏洞检测装置，所述方法包括：加载部署在所述中间件上应用程序的代码资源；获取所述应用程序使用的目标应用框架，并选择所述目标应用框架对应的目标解析器；利用所述目标解析器对所述应用程序的代码资源进行解析，得到所述应用程序的至少一个应用程序接口
API
的接口信息；针对至少一个
API
中的每个
API
，基于所述
API
的接口信息向所述
API
发送请求报文，并获取所述
API
响应所述请求报文返回的响应报文；根据所述响应报文确定所述
API
是否存在未授权访问漏洞
。2.
根据权利要求1所述的方法，其特征在于，选择所述目标应用框架对应的目标解析器包括：根据多个应用框架与多个解析器之间的映射关系和所述目标应用框架，从所述未授权访问漏洞检测装置提供的多个解析器中，选择所述目标应用框架对应的目标解析器
。3.
根据权利要求1所述的方法，其特征在于，基于所述
API
的接口信息向所述
API
发送请求报文，包括：从所述
API
的接口信息中获取访问所述
API
的请求地址，并基于所述
API
的接口信息构建访问所述
API
的请求报文；根据所述
API
的请求地址向所述
API
发送所述请求报文
。4.
根据权利要求1所述的方法，其特征在于，根据所述响应报文确定所述
API
是否存在未授权访问漏洞，包括：判断所述响应报文中的状态码是否为指定状态码，所述指定状态码是与请求报文发送成功相关的状态码；若判断结果为是，确定所述
API
存在未授权访问漏洞
。5.
根据权利要求4所述的方法，其特征在于，在确定所述
API
存在未授权访问漏洞之后，还包括：根据所...

【专利技术属性】
技术研发人员：郑顺东，张创伟，代志杰，韩芳，刘珍珍，
申请(专利权)人：北京华宇信息技术有限公司，
类型：发明
国别省市：