越权漏洞检测方法技术

本公开提供一种越权漏洞检测方法

【技术实现步骤摘要】
越权漏洞检测方法、装置、设备、存储介质及程序产品


[0001]本公开涉及计算机
，尤其涉及一种越权漏洞检测方法
、
装置
、
设备
、
存储介质及程序产品
。

技术介绍

[0002]越权漏洞是后台应用程序中的常见漏洞，其与具体业务耦合度比较大，容易造成业务处理逻辑的异常
。
然而，现有的越权漏洞检测方式，存在误报率高且灵活性低的问题，不能有效快速地检测后台应用程序中存在的越权漏洞问题
。

技术实现思路

[0003]本公开提出一种越权漏洞检测方法
、
装置
、
设备
、
存储介质及程序产品，以在一定程度上解决越权漏洞检测误报率高且灵活性低的技术问题
。
[0004]本公开第一方面，提供了一种越权漏洞检测方法，包括：
[0005]接收针对后台应用程序的越权检测指令；
[0006]响应于接收到所述越权检测指令，基于所述后台应用程序的唯一标识获取所述后台应用程序的检测配置信息和历史请求；其中，所述检测配置信息包括多个检测参数
、
每个所述检测参数的参数配置信息和检测类型，所述检测类型用于指示多个所述检测参数中与所述后台应用程序对应的目标检测参数；
[0007]基于所述目标检测参数的参数配置信息更新所述历史请求中所述目标检测参数的目标字段，生成检测请求；
[0008]基于所述历史请求获取所述后台应用程序对应的历史响应，以及基于所述检测请求获取所述后台应用程序对应的检测响应；
[0009]对比所述历史响应和所述检测响应中的字段，得到对比信息，所述对比信息包括相对于所述历史响应，所述检测响应中新增字段的第一数量
、
移除字段的第二数量
、
更新字段的第三数量和相同字段的第四数量；
[0010]基于所述对比信息判断所述后台应用程序是否存在越权漏洞
。
[0011]本公开第二方面，提供了一种越权漏洞检测装置，包括：
[0012]指令接收模块，用于接收针对后台应用程序的越权检测指令；
[0013]信息获取模块，用于响应于接收到所述越权检测指令，基于所述后台应用程序的唯一标识获取所述后台应用程序的检测配置信息和历史请求；其中，所述检测配置信息包括多个检测参数
、
每个所述检测参数的参数配置信息和检测类型，所述检测类型用于指示多个所述检测参数中与所述后台应用程序对应的目标检测参数；
[0014]检测请求模块，用于基于所述目标检测参数的参数配置信息更新所述历史请求中所述目标检测参数的目标字段，生成检测请求；
[0015]响应获取模块，用于基于所述历史请求获取所述后台应用程序对应的历史响应，以及基于所述检测请求获取所述后台应用程序对应的检测响应；
[0016]响应对比模块，用于对比所述历史响应和所述检测响应中的字段，得到对比信息，所述对比信息包括相对于所述历史响应，所述检测响应中新增字段的第一数量
、
移除字段的第二数量
、
更新字段的第三数量和相同字段的第四数量；
[0017]越权判断模块，用于基于所述对比信息判断所述后台应用程序是否存在越权漏洞
。
[0018]本公开第三方面，提供了一种电子设备，其特征在于，包括一个或者多个处理器
、
存储器；和一个或多个程序，其中所述一个或多个程序被存储在所述存储器中，并且被所述一个或多个处理器执行，所述程序包括用于执行根据第一方面所述的方法的指令
。
[0019]本公开第四方面，提供了一种包含计算机程序的非易失性计算机可读存储介质，当所述计算机程序被一个或多个处理器执行时，使得所述处理器执行第一方面所述的方法
。
[0020]本公开第五方面，提供了一种计算机程序产品，包括计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行第一方面所述的方法
。
[0021]从上面所述可以看出，本公开提供的一种越权漏洞检测方法
、
装置
、
设备
、
存储介质及程序产品，通过越权检测的配置信息对历史请求的多个维度下的多个对应字段进行对应的修改后生成检测请求，对比检测请求的检测响应和历史请求的历史响应之间的字段信息，基于对比结果判断是否发生越权检测
。
不仅能提高漏洞检测的准确度
、
降低误报率，而且能够实现越权漏洞检测与业务的解耦，支持多个维度下多个字段的修改，提高了越权漏洞检测的灵活性
。
附图说明
[0022]为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0023]图1为本公开实施例的越权漏洞检测架构的示意图
。
[0024]图2为本公开实施例的示例性电子设备的硬件结构示意图
。
[0025]图3为本公开实施例的越权漏洞检测方法的流程示意图
。
[0026]图4为本公开实施例的得到对比信息的原理示意图
。
[0027]图5为本公开实施例的越权漏洞判断的流程示意图
。
[0028]图6为本公开实施例的越权漏洞检测方法的示例示意图
。
[0029]图7为本公开实施例的越权漏洞检测装置的示意图
。
具体实施方式
[0030]为使本公开的目的
、
技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明
。
[0031]需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义
。
本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序
、
数量或者重要性，而只是用来区分不同的
组成部分
。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件
。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的
。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变
。
[0032]在计算机后台应用程序的安全问题中，越权访问
(Broken Access Control
，简称
BAC)
是一种与具体业务耦合度比较大的漏洞问题，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种越权漏洞检测方法，其特征在于，包括：接收针对后台应用程序的越权检测指令；响应于接收到所述越权检测指令，基于所述后台应用程序的唯一标识获取所述后台应用程序的检测配置信息和历史请求；其中，所述检测配置信息包括多个检测参数
、
每个所述检测参数的参数配置信息和检测类型，所述检测类型用于指示多个所述检测参数中与所述后台应用程序对应的目标检测参数；基于所述目标检测参数的参数配置信息更新所述历史请求中所述目标检测参数的目标字段，生成检测请求；基于所述历史请求获取所述后台应用程序对应的历史响应，以及基于所述检测请求获取所述后台应用程序对应的检测响应；对比所述历史响应和所述检测响应中的字段，得到对比信息，所述对比信息包括相对于所述历史响应，所述检测响应中新增字段的第一数量
、
移除字段的第二数量
、
更新字段的第三数量和相同字段的第四数量；基于所述对比信息判断所述后台应用程序是否存在越权漏洞
。2.
根据权利要求1所述的方法，其特征在于，基于所述对比信息判断所述后台应用程序是否存在越权漏洞，包括：判断所述第一数量是否大于0；如果所述第一数量大于0，则确定所述后台应用程序存在越权漏洞；如果所述第一数量不大于0，则基于所述对比信息计算所述检测响应的越权率，并判断所述越权率是否大于或等于预设阈值；如果所述越权率大于或等于所述预设阈值，确定所述后台应用程序存在越权漏洞；如果所述越权率小于所述预设阈值，确定所述后台应用程序不存在越权漏洞
。3.
根据权利要求2所述的方法，其特征在于，所述目标检测参数包括第一检测参数，所述越权率包括所述第四数量与第一和值之间的第一比例；其中，所述第一和值包括所述第二数量
、
所述第三数量与所述第四数量之和
。4.
根据权利要求2所述的方法，其特征在于，所述目标检测参数包括第二检测参数；所述越权率包括第二和值与第三和值的第二比值，其中，所述第二和值包括所述第三数量与所述第四数量之和，以及所述第三和值包括所述第二数量
、
所述第三数量与所述第四数量之和
。5.
根据权利要求1所述的方法，其特征在于，对比所述历史响应和所述检测响应中的字段，得到所述检测响应相对于所述历史响应的对比信息，包括：判断所述检测响应中的第一字段是否存在于所述历史响应中；响应于所述第一字段不存在于所述历史响应中，确定所述第一字段为新增字段；响应于所述第一字段存在于所述历史响应中，判断所述检测响应与所述历史响应中所述第一字段的值是否相同；响应于所述检测响应与所述历史响应中所述第一字段的值不同，确定所述第一字段为更新字段；响应于所述检测响应与所述历史响应中所述第一字段的值相同，确定所述第一字段为相同字段；以及，
判断所述检测响应中是否存在所述历史响应的第二字段；响应于所述检测响...

【专利技术属性】
技术研发人员：张汝铅，
申请(专利权)人：抖音视界北京有限公司，
类型：发明
国别省市：