【技术实现步骤摘要】
越权漏洞检测方法、装置、设备、存储介质及程序产品
[0001]本公开涉及计算机
,尤其涉及一种越权漏洞检测方法
、
装置
、
设备
、
存储介质及程序产品
。
技术介绍
[0002]越权漏洞是后台应用程序中的常见漏洞,其与具体业务耦合度比较大,容易造成业务处理逻辑的异常
。
然而,现有的越权漏洞检测方式,存在误报率高且灵活性低的问题,不能有效快速地检测后台应用程序中存在的越权漏洞问题
。
技术实现思路
[0003]本公开提出一种越权漏洞检测方法
、
装置
、
设备
、
存储介质及程序产品,以在一定程度上解决越权漏洞检测误报率高且灵活性低的技术问题
。
[0004]本公开第一方面,提供了一种越权漏洞检测方法,包括:
[0005]接收针对后台应用程序的越权检测指令;
[0006]响应于接收到所述越权检测指令,基于所述后台应用程序的唯一标识获取所述后台应用程序的检测配置信息和历史请求;其中,所述检测配置信息包括多个检测参数
、
每个所述检测参数的参数配置信息和检测类型,所述检测类型用于指示多个所述检测参数中与所述后台应用程序对应的目标检测参数;
[0007]基于所述目标检测参数的参数配置信息更新所述历史请求中所述目标检测参数的目标字段,生成检测请求;
[0008]基于所述历史请求获取所述后台应用程序对应的历史响应 ...
【技术保护点】
【技术特征摘要】
1.
一种越权漏洞检测方法,其特征在于,包括:接收针对后台应用程序的越权检测指令;响应于接收到所述越权检测指令,基于所述后台应用程序的唯一标识获取所述后台应用程序的检测配置信息和历史请求;其中,所述检测配置信息包括多个检测参数
、
每个所述检测参数的参数配置信息和检测类型,所述检测类型用于指示多个所述检测参数中与所述后台应用程序对应的目标检测参数;基于所述目标检测参数的参数配置信息更新所述历史请求中所述目标检测参数的目标字段,生成检测请求;基于所述历史请求获取所述后台应用程序对应的历史响应,以及基于所述检测请求获取所述后台应用程序对应的检测响应;对比所述历史响应和所述检测响应中的字段,得到对比信息,所述对比信息包括相对于所述历史响应,所述检测响应中新增字段的第一数量
、
移除字段的第二数量
、
更新字段的第三数量和相同字段的第四数量;基于所述对比信息判断所述后台应用程序是否存在越权漏洞
。2.
根据权利要求1所述的方法,其特征在于,基于所述对比信息判断所述后台应用程序是否存在越权漏洞,包括:判断所述第一数量是否大于0;如果所述第一数量大于0,则确定所述后台应用程序存在越权漏洞;如果所述第一数量不大于0,则基于所述对比信息计算所述检测响应的越权率,并判断所述越权率是否大于或等于预设阈值;如果所述越权率大于或等于所述预设阈值,确定所述后台应用程序存在越权漏洞;如果所述越权率小于所述预设阈值,确定所述后台应用程序不存在越权漏洞
。3.
根据权利要求2所述的方法,其特征在于,所述目标检测参数包括第一检测参数,所述越权率包括所述第四数量与第一和值之间的第一比例;其中,所述第一和值包括所述第二数量
、
所述第三数量与所述第四数量之和
。4.
根据权利要求2所述的方法,其特征在于,所述目标检测参数包括第二检测参数;所述越权率包括第二和值与第三和值的第二比值,其中,所述第二和值包括所述第三数量与所述第四数量之和,以及所述第三和值包括所述第二数量
、
所述第三数量与所述第四数量之和
。5.
根据权利要求1所述的方法,其特征在于,对比所述历史响应和所述检测响应中的字段,得到所述检测响应相对于所述历史响应的对比信息,包括:判断所述检测响应中的第一字段是否存在于所述历史响应中;响应于所述第一字段不存在于所述历史响应中,确定所述第一字段为新增字段;响应于所述第一字段存在于所述历史响应中,判断所述检测响应与所述历史响应中所述第一字段的值是否相同;响应于所述检测响应与所述历史响应中所述第一字段的值不同,确定所述第一字段为更新字段;响应于所述检测响应与所述历史响应中所述第一字段的值相同,确定所述第一字段为相同字段;以及,
判断所述检测响应中是否存在所述历史响应的第二字段;响应于所述检测响...
【专利技术属性】
技术研发人员:张汝铅,
申请(专利权)人:抖音视界北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。