【技术实现步骤摘要】
未授权访问漏洞检测方法、装置、电子设备及存储介质
[0001]本申请涉及计算机
,尤其涉及一种未授权访问漏洞检测方法
、
装置
、
电子设备及存储介质
。
技术介绍
[0002]通常,应用程序
(Application,App)
在发布前会利用第三方扫描软件进行未授权访问漏洞的检测
。
第三方扫描软件普遍采用字典爆破方式进行漏洞检测,但是,这种方式检测出的未授权访问漏洞不够全面,有些未授权访问漏洞无法检测出来,未授权访问漏洞的检测准确度不高
。
技术实现思路
[0003]本申请的多个方面提供一种未授权访问漏洞检测方法
、
装置
、
电子设备及存储介质,用以提高未授权访问漏洞的检测准确度
。
[0004]本申请实施例提供一种未授权访问漏洞检测方法,应用于部署在中间件中的未授权访问漏洞检测装置,该方法包括:加载部署在中间件上应用程序的代码资源;
[0005]获取应用程序使用的目标应用框架,并选择目标应用框架对应的目标解析器;利用目标解析器对应用程序的代码资源进行解析,得到应用程序的至少一个应用程序接口
API
的接口信息;针对至少一个
API
中的每个
API
,基于
API
的接口信息向
API
发送请求报文,并获取
API
响应请求报文返回的响应报文;根据响应报文确定 ...
【技术保护点】
【技术特征摘要】
1.
一种未授权访问漏洞检测方法,其特征在于,应用于部署在中间件中的未授权访问漏洞检测装置,所述方法包括:加载部署在所述中间件上应用程序的代码资源;获取所述应用程序使用的目标应用框架,并选择所述目标应用框架对应的目标解析器;利用所述目标解析器对所述应用程序的代码资源进行解析,得到所述应用程序的至少一个应用程序接口
API
的接口信息;针对至少一个
API
中的每个
API
,基于所述
API
的接口信息向所述
API
发送请求报文,并获取所述
API
响应所述请求报文返回的响应报文;根据所述响应报文确定所述
API
是否存在未授权访问漏洞
。2.
根据权利要求1所述的方法,其特征在于,选择所述目标应用框架对应的目标解析器包括:根据多个应用框架与多个解析器之间的映射关系和所述目标应用框架,从所述未授权访问漏洞检测装置提供的多个解析器中,选择所述目标应用框架对应的目标解析器
。3.
根据权利要求1所述的方法,其特征在于,基于所述
API
的接口信息向所述
API
发送请求报文,包括:从所述
API
的接口信息中获取访问所述
API
的请求地址,并基于所述
API
的接口信息构建访问所述
API
的请求报文;根据所述
API
的请求地址向所述
API
发送所述请求报文
。4.
根据权利要求1所述的方法,其特征在于,根据所述响应报文确定所述
API
是否存在未授权访问漏洞,包括:判断所述响应报文中的状态码是否为指定状态码,所述指定状态码是与请求报文发送成功相关的状态码;若判断结果为是,确定所述
API
存在未授权访问漏洞
。5.
根据权利要求4所述的方法,其特征在于,在确定所述
API
存在未授权访问漏洞之后,还包括:根据所...
【专利技术属性】
技术研发人员:郑顺东,张创伟,代志杰,韩芳,刘珍珍,
申请(专利权)人:北京华宇信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。