【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种自动化的web api鉴权类漏洞扫描方法及系统。
技术介绍
1、目前,网络应用程序接口(web application programming interface,web api)已成为数据交换和网络服务的关键组件,同时也是企业数字资产的核心。正因如此,webapi已成为攻击者窃取数据的重点对象。在此背景下,负责验证“调用者能执行哪些操作”的web api鉴权机制显得尤为关键。近年来,攻击者利用web api鉴权漏洞窃取了大量用户的个人隐私信息,导致企业遭受重大的财务损失和声誉损害。这类安全威胁存在的重要原因是厂商的web api鉴权机制不够可靠。健全的鉴权机制应该能够确保只有经过授权的用户或系统才能访问指定api,以有效解决web api调用者具有何种权限、能够执行何种操作、访问何种资源的问题,防止api被非法调用。然而,现有技术中,许多web api存在鉴权不严、策略实施不足或鉴权机制易被绕过等问题,成为攻击者利用web api的主要突破口。
2、确保web api鉴权机制的可靠性已成...
【技术保护点】
1.一种自动化的Web API鉴权类漏洞扫描方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述以旁路模式接入待测系统,解析所述待测系统的Web API所使用的鉴权机制、鉴权参数项、权限标识项,收集鉴权漏洞扫描所需前置信息,并构建API资产库,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于攻击调度策略,采用鉴权项变异和标识符变异技术,以攻击者视角自适应构造不同场景下的鉴权项攻击请求和标识符变异攻击请求,并基于所述鉴权项攻击请求和所述标识符变异攻击请求发起漏洞扫描测试,包括:
4.根据权利要求1...
【技术特征摘要】
1.一种自动化的web api鉴权类漏洞扫描方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述以旁路模式接入待测系统,解析所述待测系统的web api所使用的鉴权机制、鉴权参数项、权限标识项,收集鉴权漏洞扫描所需前置信息,并构建api资产库,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于攻击调度策略,采用鉴权项变异和标识符变异技术,以攻击者视角自适应构造不同场景下的鉴权项攻击请求和标识符变异攻击请求,并基于所述鉴权项攻击请求和所述标识符变异攻击请求发起漏洞扫描测试,包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述web api给出的原始请求响应以及鉴权项攻击请求响应、标识符变异攻击请求响...
【专利技术属性】
技术研发人员:金国澳,杨东,崔逸群,毕玉冰,王文庆,邓楠轶,刘超飞,朱健,李晓峰,朱博迪,刘鹏飞,刘迪,刘骁,肖力炀,匡竹,
申请(专利权)人:西安热工研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。