【技术实现步骤摘要】
本专利技术涉及应用程序漏洞检测,尤其涉及一种基于多模块组合的应用程序越权漏洞检测方法及系统。
技术介绍
1、应用程序的权限问题与用户个人的数据安全息息相关,随着应用程序系统的逐渐扩大,权限管理在维护系统稳定运行与保障数据安全方面的重要性与日俱增。越权问题是指应用程序在处理用户请求时,赋予了用户超过其应有权限的访问和操作权限,从而可能导致未经授权的用户获取到应用程序的敏感信息,或者攻击者利用越权漏洞获取到不应有的权限。越权问题一旦发生,将对应用程序的安全性和可靠性造成严重影响。因此,检测越权问题的重要性不容忽视。
2、目前,检测越权问题的方法主要包括静态代码分析、动态测试和安全审计等技术方案。静态代码分析主要通过审查源代码来检测潜在的越权漏洞,但这种方法难以检测到动态生成的代码中的问题;动态测试则通过模拟用户行为和输入来测试应用程序,但这种方法对于二次封装的响应信息易存在误报、漏保的情况;安全审计可以对应用程序的安全性和合规性进行检查,但审计工作需要大量的时间和人力,难以满足快速开发和上线的要求。除此之外,上述几种方法还均存在...
【技术保护点】
1.一种基于多模块组合的应用程序越权漏洞检测方法,其特征在于,包括:
2.根据权利要求1所述的基于多模块组合的应用程序越权漏洞检测方法,其特征在于,通过插桩所述应用程序的权限框架获取所述请求信息和所述请求权限配置信息。
3.根据权利要求1所述的基于多模块组合的应用程序越权漏洞检测方法,其特征在于,还提供一审计引擎,通过所述审计引擎检测每一所述请求信息是否经过所述应用程序中的预设审计规则,以生成审计结果信息,并将经过所述审计引擎检测的所述请求信息、与所述请求信息对应的所述请求权限配置信息以及所述审计结果信息提供给所述清单生成器;所述清单生成器将所...
【技术特征摘要】
1.一种基于多模块组合的应用程序越权漏洞检测方法,其特征在于,包括:
2.根据权利要求1所述的基于多模块组合的应用程序越权漏洞检测方法,其特征在于,通过插桩所述应用程序的权限框架获取所述请求信息和所述请求权限配置信息。
3.根据权利要求1所述的基于多模块组合的应用程序越权漏洞检测方法,其特征在于,还提供一审计引擎,通过所述审计引擎检测每一所述请求信息是否经过所述应用程序中的预设审计规则,以生成审计结果信息,并将经过所述审计引擎检测的所述请求信息、与所述请求信息对应的所述请求权限配置信息以及所述审计结果信息提供给所述清单生成器;所述清单生成器将所述审计结果信息添加到所述请求清单中;
4.根据权利要求3所述的基于多模块组合的应用程序越权漏洞检测...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。