CN110489966A - 平行越权漏洞检测方法、装置、存储介质及电子设备 - Google Patents
平行越权漏洞检测方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN110489966A CN110489966A CN201910741372.2A CN201910741372A CN110489966A CN 110489966 A CN110489966 A CN 110489966A CN 201910741372 A CN201910741372 A CN 201910741372A CN 110489966 A CN110489966 A CN 110489966A
- Authority
- CN
- China
- Prior art keywords
- response message
- commission
- parallel
- going beyond
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 89
- 230000004044 response Effects 0.000 claims abstract description 297
- 230000006854 communication Effects 0.000 claims abstract description 39
- 238000004891 communication Methods 0.000 claims abstract description 38
- 238000000034 method Methods 0.000 claims abstract description 19
- 230000004048 modification Effects 0.000 claims description 15
- 238000012986 modification Methods 0.000 claims description 15
- 239000000284 extract Substances 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 7
- 230000003247 decreasing effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 10
- 235000014510 cooky Nutrition 0.000 description 9
- 239000000243 solution Substances 0.000 description 8
- 230000008859 change Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 241000208340 Araliaceae Species 0.000 description 3
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 3
- 235000003140 Panax quinquefolius Nutrition 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 235000008434 ginseng Nutrition 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000005291 magnetic effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种平行越权漏洞检测方法、装置、存储介质及电子设备。该方法包括:获取包含目标参数的第一访问地址,并根据所述第一访问地址构建第一网络请求;调用网络通信服务,以根据所述第一网络请求获取第一响应信息;修改所述目标参数,以形成包含修改后的目标参数的第二访问地址,并根据所述第二访问地址构建第二网络请求;调用所述网络通信服务,以根据所述第二网络请求获取第二响应信息;根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。本公开的技术方案能够快速地、准确地检测出平行越权漏洞,提高用户敏感信息的安全性,进一步提高用户体验。
Description
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种平行越权漏洞检测方法、平行越权漏洞检测装置、计算机可读存储介质及电子设备。
背景技术
越权漏洞是一种常见的逻辑安全漏洞,相比SQL注入、XSS漏洞等传统安全漏洞,攻击者更倾向于挖掘业务逻辑层的应用安全问题,这类安全问题的危害巨大,可能造成企业的用户敏感信息泄露和名誉损失。
越权漏洞包括平行越权漏洞和垂直越权漏洞,其中平行越权漏洞是服务器端对用户提出的数据操作请求过于信任,忽略了对用户操作权限的判定,导致普通用户拥有了其他普通用户的增删改查功能。如果业务存在平行越权漏洞的话,就可以查看其他用户的敏感信息,而传统的Web安全漏洞扫描器没有一个是具有平行越权漏洞扫描功能的。
鉴于此,本领域亟需开发一种新的平行越权漏洞检测方法。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的实施例提供了一种平行越权漏洞检测方法、平行越权漏洞检测装置、计算机可读存储介质及电子设备,进而至少在一定程度上可以快速检测出平行越权漏洞,降低平行越权漏洞的误报率,进而提高业务逻辑层的安全性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的一个方面,提供了一种平行越权漏洞检测方法,包括:获取包含目标参数的第一访问地址,并根据所述第一访问地址构建第一网络请求;调用网络通信服务,以根据所述第一网络请求获取第一响应信息;修改所述目标参数,以形成包含修改后的目标参数的第二访问地址,并根据所述第二访问地址构建第二网络请求;调用所述网络通信服务,以根据所述第二网络请求获取第二响应信息;根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。
根据本公开实施例的一个方面,提供了一种平行越权漏洞检测装置,包括:第一请求构建模块,用于获取包含目标参数的第一访问地址,并根据所述第一访问地址构建第一网络请求;第一信息获取模块,用于调用网络通信服务,以根据所述第一网络请求获取第一响应信息;第二请求构建模块,用于修改所述目标参数,以形成包含修改后的目标参数的第二访问地址,并根据所述第二访问地址构建第二网络请求;第二信息获取模块,用于调用所述网络通信服务,以根据所述第二网络请求获取第二响应信息;越权漏洞检测模块,用于根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。
在本公开的一些实施例中,基于前述方案,所述越权漏洞检测模块包括第一检测单元,用于调用规则管理服务并提取第一判断规则,以根据所述第一响应信息、所述第二响应信息和所述第一判断规则判断是否存在所述平行越权漏洞。
在本公开的一些实施例中,所述第一判断规则包括内容比对和内容长度比对;基于前述方案,所述第一检测单元包括:比对单元,用于将所述第一响应信息的内容与所述第二响应信息的内容进行比对;第一判定单元,用于在所述第一响应信息的内容与所述第二响应信息的内容相同时,判定不存在所述平行越权漏洞;第二判定单元,用于在所述第一响应信息的内容与所述第二响应信息的内容不同时,根据所述第一响应信息的内容长度与所述第二响应信息的内容长度判断是否存在所述平行越权漏洞。
在本公开的一些实施例中,基于前述方案,所述第二判定单元配置为:将所述第一响应信息的内容长度与所述第二响应信息的内容长度作比,以获取一目标比值;将所述目标比值与预设阈值进行比较;若所述目标比值小于所述预设阈值,则判定存在所述平行越权漏洞;若所述目标比值大于或等于所述预设阈值,则判定不存在所述平行越权漏洞。
在本公开的一些实施例中,所述目标参数为数字型参数;基于前述方案,所述第二请求构建模块配置为:以所述目标参数为基础,增加或减少预设数值,以对所述目标参数进行修改。
在本公开的一些实施例中,基于前述方案,所述平行越权漏洞检测装置还包括:第三请求构建模块,用于删除本地存储的用户信息,以形成包含所述修改后的目标参数的第三访问地址,并根据所述第三访问地址构建第三网络请求;第三信息获取模块,用于调用所述网络通信服务,以根据所述第三网络请求获取第三响应信息;越权漏洞判断模块,用于根据所述第二响应信息和所述第三响应信息判断是否存在所述平行越权漏洞。
在本公开的一些实施例中,基于前述方案,所述越权漏洞判断模块包括:第二检测单元,用于调用规则管理服务并提取第二判断规则,以根据所述第二响应信息、所述第三响应信息和所述第二判断规则判断是否存在所述平行越权漏洞。
在本公开的一些实施例中,所述第二判断规则包括内容比对;基于前述方案,所述第二检测单元配置为:将所述第二响应信息的内容与所述第三响应信息的内容进行比对;若所述第二响应信息的内容与所述第三响应信息的内容相同,则判定不存在所述平行越权漏洞;若所述第二响应信息的内容与所述第三响应信息的内容不相同,则判定存在所述平行越权漏洞。
在本公开的一些实施例中,基于前述方案,所述平行越权漏洞检测装置还包括:第三检测单元,用于调用规则管理服务并提取第三判断规则,以根据所述第一响应信息、所述第二响应信息和所述第三判断规则判断是否存在所述平行越权漏洞。
在本公开的一些实施例中,所述第三判断规则包括目标信息比对;基于前述方案,所述第三检测单元包括:信息提取单元,用于根据所述第三判断规则中的预设字段提取所述第一响应信息中的第一目标信息和所述第二响应信息中的第二目标信息;信息比对单元,用于将所述第一目标信息和所述第二目标信息进行比对;第三判定单元,用于在所述第一目标信息与所述第二目标信息相同时,判定不存在所述平行越权漏洞;第四判定单元,用于在所述第一目标信息与所述第二目标信息不相同时,判定存在所述平行越权漏洞。
在本公开的一些实施例中,基于前述方案,所述信息提取单元配置为:将所述预设字段与所述第一响应信息中的所有字段进行匹配,并且将所述预设字段与所述第二响应信息中的所有字段进行匹配;当所述第一响应信息中存在与所述预设字段匹配的目标字段时,提取所述第一响应信息中与所述目标字段对应的信息,并将与所述目标字段对应的信息作为所述第一目标信息;当所述第二响应信息中存在与所述预设字段匹配的目标字段时,提取所述第二响应信息中与所述目标字段对应的信息,并将与所述目标字段对应的信息作为所述第二目标信息。
在本公开的一些实施例中,基于前述方案,所述平行越权漏洞检测装置还包括:保存模块,用于在确定存在所述平行越权漏洞时,将存在所述平行越权漏洞的第一访问地址和对应的目标参数发送至服务器进行保存。
根据本公开实施例的一个方面,提供了一种计算机设备,包括:处理器;及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上述实施例中所述的平行越权漏洞检测方法。
根据本公开实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的平行越权漏洞检测方法。
在本公开的一些实施例所提供的技术方案中,根据包含目标参数的第一访问地址构建第一网络请求,并根据第一网络请求获取第一响应信息;接着修改目标参数,根据包含修改后的目标参数的第二访问地址构建第二网络请求,并根据第二网络请求获取第二响应信息;最后根据第一响应信息和第二响应信息判断是否存在平行越权漏洞。本公开的技术方案一方面能够快速检测出平行越权漏洞,提高了业务逻辑层的安全性;另一方面能够提高用户敏感信息的安全性,进一步提高了用户体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了可以应用本公开实施例的技术方案的示例性***架构的示意图;
图2示意性示出了根据本公开的一个实施例的平行越权漏洞检测方法的流程图;
图3示意性示出了根据本公开的一个实施例的检测平行越权漏洞的流程示意图;
图4示意性示出了根据本公开的一个实施例的检测平行越权漏洞的流程示意图;
图5示意性示出了根据本公开的一个实施例的检测平行越权漏洞的流程示意图;
图6示意性示出了根据本公开的一个实施例的检测平行越权漏洞的流程示意图;
图7示意性示出了根据本公开的一个实施例的获取第一目标信息和第二目标信息的流程示意图;
图8示意性示出了根据本公开的一个实施例的检测平行越权漏洞的流程示意图;
图9示意性示出了根据本公开的一个实施例的平行越权漏洞检测装置的框图;
图10示出了适于用来实现本公开实施例的电子设备的计算机***的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
图1示出了可以应用本公开实施例的技术方案的示例性***架构的示意图。
如图1所示,***架构100可以包括终端设备101、102、103中的一种或多种,网络104和服务器105。网络104用以在终端设备和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线通信链路、无线通信链路等等。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实际需要,可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送信息等。终端设备101、102、103可以是具有显示屏的各种电子设备,包括但不限于智能手机、平板电脑、便携式计算机和台式计算机等等。
在本公开的一个实施例中,终端设备101,也可以是终端设备102、103中搭建有漏洞扫描器,用于扫描平行越权漏洞,漏洞扫描器从终端设备101中存储的URL列表中能够获取包含目标参数的第一访问地址,并根据第一访问地址构建第一网络请求,其中的目标参数为数字型参数,URL列表中所有包含数字型参数的URL均可作为包含目标参数的第一访问地址;接着调用网络通信模块,漏洞扫描器可以将第一网络请求发送至网络通信模块,以使网络通信模块将第一网络请求通过网络104发送至服务器105,并接收服务器105返回的第一响应信息;接收到网络通信模块返回的第一响应信息后,漏洞扫描器对目标参数进行修改,并根据包含修改后的目标参数的第二访问地址构建第二网络请求;然后通过网络通信模块将第二网络请求发送至服务器105,以获取服务器105返回的第二响应信息;最后漏洞扫描器能够根据第一响应信息和第二响应信息判断业务逻辑层是否存在平行越权漏洞。本公开的技术方案一方面能够快速检测出平行越权漏洞,提高业务逻辑层的安全性;另一方面能够提高用户敏感数据的安全性,进一步提升用户体验。
需要说明的是,本公开实施例所提供的平行越权漏洞检测方法一般由终端设备执行,相应地,平行越权漏洞检测装置一般设置于终端设备中。但是,在本公开的其它实施例中,也可以由服务器执行本公开实施例所提供的平行越权漏洞的检测方案。
本公开实施例首先提出了一种平行越权漏洞检测方法,以下对本公开实施例的技术方案的实现细节进行详细阐述:
图2示意性示出了根据本公开的一个实施例的平行越权漏洞检测方法的流程图,该平行越权漏洞检测方法可以由终端设备中的漏洞扫描器来执行,该控制终端可以是图1中所示的控制终端101。参照图2所示,该平行越权漏洞检测方法至少包括步骤S210至步骤S250,详细介绍如下:
在步骤S210中,获取包含目标参数的第一访问地址,并根据第一访问地址构建第一网络请求。
在本公开的一个实施例中,用户通过终端设备101获取网络资源时,会在终端设备101中留下访问痕迹,访问痕迹即为访问过的网页所对应的URL,URL为统一资源定位符,用来描述信息所在的位置及存取方式。根据URL可以检测对应业务是否存在平行越权漏洞,因此可以将用户访问过的网页URL进行整合,形成URL列表,然后通过漏洞扫描器对URL列表中的每个URL进行漏洞检测。URL列表中各个URL的格式根据访问信息所在位置及存取方式的不同而不同,例如有的URL中的参数只包含文本型参数,而有的URL中的参数除了包含文本型参数还包含数字型参数,而在本公开的实施例中,需要对URL中的数字型参数进行改变,并根据含有不同数字型参数的URL所对应的响应信息检测业务逻辑层中是否存在平行越权漏洞,因此可以从URL列表中筛选包含数字型参数的URL作为包含目标参数的第一访问地址。
在本公开的一个实施例中,从URL列表中获取包含目标参数的第一访问地址后,可以根据该第一访问地址构建第一网络请求。在构建第一网络请求时,可以根据URL中包含的协议进行构建,例如该第一网络请求可以是HTTP请求,可以是HTTPS请求,等等,本公开实施例对此不做具体限定。为了使本公开的技术方案更明确,下文将以HTTP请求为网络请求进行说明。
在步骤S220中,调用网络通信服务,以根据第一网络请求获取第一响应信息。
在本公开的一个实施例中,根据包含目标参数的第一访问地址构建第一HTTP请求后,漏洞扫描器可以调用网络通信服务,以根据第一网络请求获取第一响应信息。该网络通信服务对应一网络通信模块,漏洞扫描器可以将第一HTTP请求发送至该网络通信模块,当网络通信模块接收到第一HTTP请求后,其将第一HTTP请求发送至服务器,并接收服务器返回的与第一HTTP请求对应的第一响应信息;然后网络通信模块可以将第一响应信息返回至漏洞扫描器。
在步骤S230中,修改目标参数,以形成包含修改后的目标参数的第二访问地址,并根据第二访问地址构建第二网络请求。
在本公开的一个实施例中,对于平行越权漏洞,用户可以通过改变访问地址中的参数获取其他用户的信息,因此为了判断是否存在平行越权漏洞,可以对第一访问地址中的目标参数进行修改,以获取第二访问地址,进而根据第一访问地址对应的响应信息和第二访问地址对应的响应信息判断是否存在平行越权漏洞。
在本公开的一个实施例中,在修改目标参数时,可以以目标参数为基础,增加或减少预设数值,例如目标参数为100,在修改时,可以在100的基础上加1或减1,加2或减2,等等。为了检测是否存在平行越权漏洞,可以对目标参数进行多次修改,检测多个包含不同参数的URL所获取的响应信息是否相同,例如将目标参数100逐次减1,以获取目标参数分别为100、99、98……0时的访问地址对应的响应信息,并将原始目标参数100所对应的响应信息与各个修改后的目标参数对应的响应信息进行比对,并根据比对结果判断是否存在平行越权漏洞。
在步骤S240中,调用网络通信服务,以根据第二网络请求获取第二响应信息。
在本公开的一个实施例中,在修改了目标参数获得第二访问地址后,漏洞扫描器可以根据第二访问地址构建第二网络请求,由于第二访问地址和第一访问地址的区别仅在于目标参数的改变,其中的协议类型并未改变,因此第二网络请求的类型与第一网络请求的类型相同,例如都是HTTP请求;接着漏洞扫描器可以调用网络通信服务,以根据第二网络请求获取第二响应信息。具体地,漏洞扫描器将第二HTTP请求发送至网络通信模块;接着网络通信模块将接收到的第二HTTP请求发送至服务器,并接收服务器返回的与第二HTTP请求对应的第二响应信息;最后网络通信模块将第二响应信息返回至漏洞扫描器,以使漏洞扫描器根据第一响应信息和第二响应信息对平行越权漏洞进行检测。
在步骤S250中,根据第一响应信息和第二响应信息判断是否存在平行越权漏洞。
在本公开的一个实施例中,在终端设备101中可以设置一规则管理模块,其中存储有一个或多个对应不同类型漏洞的检测规则,当获取第一响应信息和第二响应信息后,漏洞扫描器可以根据待检测漏洞的类型从规则管理模块中提取对应的判断规则,并根据判断规则对第一响应信息和第二响应信息进行处理,进而根据处理结果判断是否存在平行越权漏洞。值得注意的是,规则管理模块中的检测规则都是由策略人员编写的规则集,并且规则管理模块的维护及修复都是由策略人员实现的。
在本公开的一个实施例中,在判断是否存在平行越权漏洞时,可以调用规则管理服务并提取第一判断规则,以根据第一响应信息、第二响应信息和第一判断规则进行平行越权漏洞的检测,其中,该第一判断规则包括内容比对和内容长度比对。图3示出了一种检测平行越权漏洞的流程示意图,如图3所示,检测平行越权漏洞的方法至少包括步骤S301-S303,具体地:
在步骤S301中,将第一响应信息的内容与第二响应信息的内容进行比对。
在本公开的一个实施例中,响应信息的内容与网络请求相对应,例如当用户浏览新闻网站并点击某新闻标题时,响应信息即为该新闻标题对应的新闻内容;当用户登录购物平台查询订单信息时,响应信息即为订单号、订单详情等信息;等等。为了确定目标参数的修改是否对响应信息的内容有影响,进而判断业务中是否存在平行越权漏洞,可以在获取第一响应信息和第二响应信息后,对响应信息的内容进行比对,并根据比对结果进行判断。
在步骤S302中,若第一响应信息的内容与第二响应信息的内容相同,则判定不存在平行越权漏洞。
在本公开的一个实施例中,在对第一响应信息的内容和第二响应信息的内容进行比对时,可以将第一响应信息中的每个字符与第二响应信息中的每个字符进行对比,如果第一响应信息中的所有字符与第二响应信息中的所有字符相同,则第一响应信息的内容与第二响应信息的内容相同。对应含有不同目标参数的访问地址,接收到的响应信息相同,说明目标参数的修改对获取的响应信息没有影响,进而说明对应包含目标参数的第一访问地址的业务不存在平行越权漏洞。
在步骤S303中,若第一响应信息的内容与第二响应信息的内容不同,则根据第一响应信息的内容长度与第二响应信息的内容长度判断是否存在平行越权漏洞。
在本公开的一个实施例中,当第一响应信息的内容与第二响应信息的内容不同时,说明目标参数的修改对获取的响应信息有影响,但是无法明确对应包含目标参数的第一访问地址的业务存在平行越权漏洞,举例而言,若用户是在浏览新闻,包含目标参数的第一访问地址对应的第一响应信息为一则养生类的新闻,修改目标参数后,包含修改后目标参数的第二访问地址对应的第二响应信息为一则时政类的新闻,第一响应信息和第二响应信息完全不同,但是新闻属于***息,任何用户都可以浏览,不存在平行越权的情况,因此在第一响应信息的内容与第二响应信息的内容不同时,无法明确是否存在平行越权漏洞,需要进一步的检测。
为了进一步检测平行越权漏洞,可以根据响应信息的内容长度进行检测,具体而言,用户想要越权获取其他用户的敏感信息,如果越权成功,那么响应信息的内容长度不会相差很大,因此可以根据第一响应信息的内容长度和第二响应信息的内容长度进行判断。步骤S303进一步包括图4所示的平行越权漏洞检测方法,如图4所示,该检测方法至少包括步骤S401-S404,具体地:
在步骤S401中,将第一响应信息的内容长度与第二响应信息的内容长度作比,以获取一目标比值。
在本公开的一个实施例中,如果越权成功,用户将得到其他用户的同类型信息,例如用户根据第一访问地址获取到其在购物平台中的订单号,修改目标参数后,根据第二访问地址获取到其他用户在该购物平台中的订单号,那么这两个订单号的长度可能相等,也可能相差一两位,但是仅根据内容长度是否相等检测平行越权漏洞,可能会存在漏检的情况,所以为了提高漏洞检测的精准度和全面性,可以将第一响应信息的内容长度与第二响应信息的内容长度作比,以获取目标比值,并根据目标比值判断是否存在平行越权漏洞。
在步骤S402中,将目标比值与预设阈值进行比较。
在本公开的一个实施例中,如果越权成功,那么第一响应信息的内容长度与第二响应信息的长度相等或接近相等,也就是说,即使有差别,也不会很大,因此可以设置一较小的预设阈值,通过将该预设阈值与目标比值比较,判断是否存在平行越权漏洞。具体地,该预设阈值可以设置为1.5、2等等,当然也可以设置为其它值,本公开实施例对此不做具体限定。
在步骤S403中,若目标比值小于所述预设阈值,则判定存在平行越权漏洞。
在步骤S404中,若目标比值大于或等于所述预设阈值,则判定不存在平行越权漏洞。
在本公开的一个实施例中,将目标比值与预设阈值进行比较,若目标比值小于预设阈值,说明第一响应信息的内容长度与第二响应信息的内容长度相近,基于第一响应信息的内容与第二响应信息的内容不同,可以确定第一访问地址对应的业务存在平行越权漏洞;若目标比值大于或等于预设阈值,说明第一响应信息的内容长度与第二响应信息的内容长度相差较大,因此可以确定第一访问地址对应的业务不存在平行越权漏洞。举例而言,A用户根据第一访问地址可以获取其在购物网站上购买商品的原始订单号,该第一访问地址中包含目标参数:sub-id=8,A用户将第一访问地址中的目标参数进行修改,获取修改后的目标参数为:sub-id=10,然后根据包含修改后的目标参数的第二访问地址重新进行访问,获取了一个新订单号,将原始订单号与新订单号进行比较,如果二者的内容不同,但是二者的内容长度相同,说明第二访问地址指向了另一用户在该购物网站上的订单号,A用户通过修改目标参数获取了其他用户的敏感信息,进而可以确定该购物网站的业务逻辑层中存在平行越权漏洞;如果二者的内容不同,并且二者的内容长度也相差很大,说明A用户通过修改目标参数并未获取其他用户的敏感信息,进而可以确定该购物网站的业务逻辑层不存在平行越权漏洞,对于内容长度相差较大的情况,第二访问地址对应的第二响应信息通常为“无访问权限”或“错误”等提示信息。
在本公开的一个实施例中,在用户进行网络资源访问时,各网站、浏览器会在用户终端上存储用户数据,即cookie,用于辨别用户身份、进行session跟踪,当用户下次登录时,就可以调用cookie中的用户信息,提高登录效率。通常获取用户敏感信息的页面必须是在用户登录状态下才行,如果终端设备101中存储有cookie,即使用户退出***,但是在重新打开网站页面时,终端设备101可能会自动调用cookie,使得用户还是以登录用户的状态对网站进行访问,这样就很难检测出是否存在平行越权漏洞,因此为了降低误报率,可以先删除本地存储的cookie,然后修改第一访问地址中的目标参数,以形成包含修改后的目标参数的第三访问地址,接着调用网络通信服务,根据第三访问地址获取第三响应信息。其中,第三访问地址中的目标参数与第二访问地址中的目标参数相同,在获取第三响应信息后,可以将第二响应信息与第三响应信息进行比较,判断是否存在平行越权漏洞。
在将第二响应信息与第三响应信息进行比较时,可以根据预设判断规则进行比较,具体地,可以调用规则管理服务并提取第二判断规则,以根据第二响应信息、第三响应信息和第二判断规则检测平行越权漏洞。该第二判断规则包括内容比对,图5示出了检测平行越权漏洞的流程示意图,如图5所示,在步骤S501中,将第二响应信息的内容和第三响应信息的内容进行比对;在步骤S502中,若第二响应信息的内容与第三响应信息的内容相同,则判定不存在平行越权漏洞;在步骤S503中,若第二响应信息的内容与第三响应信息的内容不相同,则判定存在平行越权漏洞。其中内容比对的方法与图3所示的内容比对方法相同,本公开实施例在此不再赘述。
删除cookie能够保证第三响应信息是在无登录状态下获得的,如果第二响应信息的内容与第三响应信息的内容相同,说明不存在平行越权漏洞,例如对于新闻/公告页面类的***息在无登录状态下也能正常访问;如果第二响应信息的内容与第三响应信息的内容不相同,说明业务逻辑层可能存在平行越权漏洞。
在本公开的一个实施例中,为了进一步判断是否存在平行越权漏洞,使得用户可以越权获取其他用户的敏感信息,可以根据预设判断规则对第一响应信息和第二响应信息中的敏感信息进行比对。具体地,可以调用规则管理服务,从中提取第三判断规则,该第三判断规则中包含敏感信息对应的预设字段,比如手机号、身份证号、QQ号、邮箱、住址、姓名等等,然后根据第一响应信息、第二响应信息和第三判断规则进行平行越权漏洞的检测。
图6示出了检测平行越权漏洞的流程示意图,如图6所示,检测平行越权漏洞的方法至少包括步骤S601-步骤S604,具体地:
在步骤S601中,根据第三判断规则中的预设字段提取第一响应信息中的第一目标信息和第二响应信息中的第二目标信息。
在本公开的示例性实施例中,为了对第一响应信息中的敏感信息和第二响应信息中的敏感信息进行比对,需要从第一响应信息和第二响应信息中提取所需的敏感信息,通常敏感信息都对应具体地名称,例如:手机号134XXXX5678,想要获取具体的手机号就需要根据手机号这一名称进行匹配查找。
图7示出了获取第一目标信息和第二目标信息的流程示意图,如图7所示,在步骤S701中,将预设字段与第一响应信息中的所有字段进行匹配,并且将预设字段与第二响应信息中的所有字段进行匹配;在步骤S702中,当第一响应信息中存在与预设字段匹配的目标字段时,提取第一响应信息中与目标字段对应的信息,并将与目标字段对应的信息作为第一目标信息;在步骤S703中,当第二响应信息中存在与预设字段匹配的目标字段时,提取第二响应信息中与目标字段对应的信息,并将与目标字段对应的信息作为第二目标信息。
在步骤S602中,将第一目标信息和第二目标信息进行比对;
在本公开的一个实施例中,获取第一目标信息和第二目标信息后,可以将二者进行比对,并根据比对结果确定是否存在平行越权漏洞。
在步骤S603中,若第一目标信息与第二目标信息相同,则判定不存在平行越权漏洞;
在步骤S604中,若第一目标信息与第二目标信息不相同,则判定存在平行越权漏洞。
在本公开的一个实施例中,当第一目标信息与第二目标信息相同时,说明用户并未越权获取其他用户的敏感信息,例如对应user-id=100的用户,其敏感信息为:手机号13456789012,对应user-id=101的用户,其敏感信息还是手机号13456789012,说明修改目标参数对响应信息的内容没有影响,用户不会通过修改目标参数获取其他用户的敏感信息,因而不存在平行越权漏洞;当第一目标信息与第二目标信息不同时,说明用户越权获取了其他用户的敏感信息,例如对应user-id=100的用户,敏感信息为:手机号13456789012,对应user-id=101的用户,敏感信息为:手机号15678901234,说明修改目标参数对响应信息的内容有影响,用户可以通过修改目标参数获取其他用户的敏感信息,因而存在平行越权漏洞。
在本公开的一个实施例中,当URL中存在多个数字型参数时,可以逐个对每个数字型参数应用本公开实施例中的平行越权漏洞检测方法,例如一订单URL中包括用户参数user-id、寄送参数shipping-id,那么可以先对user-id进行多次修改,根据原始用户参数和每次修改后的参数对应的返回内容判断该URL是否存在平行越权漏洞,如果判定不存在,可以继续对shipping-id进行多次修改,并根据原始寄送参数和每次修改后的参数所对应的返回内容判断该URL是否存在平行越权漏洞。
在本公开的一个实施例中,根据本公开实施例确定业务逻辑层中存在平行越权漏洞后,可以通过漏洞扫描器将漏洞信息,如存在平行越权漏洞的第一访问地址、对应的目标参数等,发送至服务器进行保存,以备后期维护时有针对性的进行修复。
在本公开的一个实施例中,可以通过多个比对判断流程检测平行越权漏洞,提高平行越权漏洞的检测效率和精准度,图8示出了检测平行越权漏洞的流程示意图,如图8所示:在步骤S801中,根据包含目标参数的第一访问地址构建第一网络请求,并根据第一网络请求获取第一响应信息;在步骤S802中,修改目标参数,根据包含修改后的目标参数的第二访问地址构建第二网络请求,并根据第二网络请求获取第二响应信息;在步骤S803中,去除cookie,根据包含修改后的目标参数的第三访问地址构建第三网络请求,并根据第三网络请求获取第三响应信息;在步骤S804中,判断第一响应信息的内容与第二响应信息的内容是否相同;在步骤S805中,当第一响应信息的内容与第二响应信息的内容相同时,判定不存在平行越权漏洞;在步骤S806中,当第一响应信息的内容与第二响应信息的内容不相同时,判断第一响应信息的内容长度/第二响应信息的内容长度是否小于预设阈值;在步骤S807中,当第一响应信息的内容长度/第二响应信息的内容长度大于或等于预设阈值时,判定不存在平行越权漏洞;在步骤S808中,当第一响应信息的内容长度/第二响应信息的内容长度小于预设阈值时,判断第二响应信息的内容和第三响应信息的内容是否相同;在步骤S809中,当第二响应信息的内容和第三响应信息的内容相同时,判定不存在平行越权漏洞;在步骤S810中,当第二响应信息的内容和第三响应信息的内容不相同时,判断第一响应信息中的敏感信息与第二响应信息中的敏感信息是否相同;在步骤S811中,当第一响应信息中的敏感信息与第二响应信息中的敏感信息相同时,判定不存在平行越权漏洞;在步骤S812中,当第一响应信息中的敏感信息与第二响应信息中的敏感信息不相同时,判定存在平行越权漏洞。
值得说明的是,在上述检测平行越权漏洞的流程中,对第二响应信息和第三响应信息的内容进行比对的步骤可以和对第一响应信息与第二响应信息中的敏感信息进行比对的步骤进行调换,即当第一响应信息的内容长度/第二响应信息的内容长度小于预设阈值时,判断第一响应信息中的敏感信息与第二响应信息中的敏感信息是否相同;当第一响应信息中的敏感信息与第二响应信息中的敏感信息相同时,判定不存在平行越权漏洞;当第一响应信息中的敏感信息与第二响应信息中的敏感信息不相同时,判断第二响应信息的内容和第三响应信息的内容是否相同;当第二响应信息的内容和第三响应信息的内容相同时,判定不存在平行越权漏洞;当第二响应信息的内容和第三响应信息的内容不相同时,判定存在平行越权漏洞。
本公开实施例中的平行越权漏洞检测方法能够通过修改访问地址中的目标参数,根据包含不同目标参数的访问地址所对应的响应信息检测平行越权漏洞,并且通过对比去掉cookie和未去掉cookie的响应信息的内容以及对比响应信息中敏感信息的内容,弥补了漏洞扫描器对平行越权漏洞的检测策略上的欠缺,降低了误报率,提高了平行越权漏洞的检测效率和准确率,提高了用户敏感信息的安全性,进一步提升了用户体验。
以下介绍本公开的装置实施例,可以用于执行本公开上述实施例中的平行越权漏洞检测方法。对于本公开装置实施例中未披露的细节,请参照本公开上述的平行越权漏洞检测方法的实施例。
图9示意性示出了根据本公开的一个实施例的平行越权漏洞检测装置的框图。
参照图9所示,根据本公开的一个实施例的平行越权漏洞检测装置900,包括:第一请求构建模块901、第一信息获取模块902、第二请求构建模块903、第二信息获取模块904和越权漏洞检测模块905。
具体地,第一请求构建模块901,用于获取包含目标参数的第一访问地址,并根据所述第一访问地址构建第一网络请求;第一信息获取模块902,用于调用网络通信服务,以根据所述第一网络请求获取第一响应信息;第二请求构建模块903,用于修改所述目标参数,以形成包含修改后的目标参数的第二访问地址,并根据所述第二访问地址构建第二网络请求;第二信息获取模块904,用于调用所述网络通信服务,以根据所述第二网络请求获取第二响应信息;越权漏洞检测模块905,用于根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。
在本公开的一个实施例中,越权漏洞检测模块905包括第一检测单元,用于调用规则管理服务,以提取第一判断规则,并根据第一响应信息、第二响应信息和第一判断规则判断是否存在平行越权漏洞。
在本公开的一个实施例中,第一判断规则包括内容比对和内容长度比对;基于前述方案,第一检测单元包括:比对单元,用于将第一响应信息的内容与第二响应信息的内容进行比对;第一判定单元,用于在第一响应信息的内容与第二响应信息的内容相同时,判定不存在平行越权漏洞;第二判定单元,用于在第一响应信息的内容与第二响应信息的内容不同时,根据第一响应信息的内容长度与第二响应信息的内容长度判断是否存在平行越权漏洞。
在本公开的一个实施例中,第二判定单元配置为:将第一响应信息的内容长度与第二响应信息的内容长度作比,以获取一目标比值;将目标比值与预设阈值进行比较;若目标比值小于预设阈值,则判定存在平行越权漏洞;若目标比值大于或等于预设阈值,则判定不存在平行越权漏洞。
在本公开的一个实施例中,目标参数为数字型参数;第二请求构建模块903配置为:以目标参数为基础,增加或减少预设数值,以对目标参数进行修改。
在本公开的一个实施例中,平行越权漏洞检测装置900还包括:第三请求构建模块,用于删除本地存储的用户信息,以形成包含修改后的目标参数的第三访问地址,并根据第三访问地址构建第三网络请求;第三信息获取模块,用于调用网络通信服务,以根据第三网络请求获取第三响应信息;越权漏洞判断模块,用于根据第二响应信息和第三响应信息判断是否存在平行越权漏洞。
在本公开的一个实施例中,越权漏洞判断模块905包括:第二检测单元,用于调用规则管理服务,以提取第二判断规则,并根据第二响应信息、第三响应信息和第二判断规则判断是否存在平行越权漏洞。
在本公开的一个实施例中,第二判断规则包括内容比对;第二检测单元配置为:将第二响应信息的内容与第三响应信息的内容进行比对;若第二响应信息的内容与第三响应信息的内容相同,则判定不存在平行越权漏洞;若第二响应信息的内容与第三响应信息的内容不相同,则判定存在平行越权漏洞。
在本公开的一个实施例中,平行越权漏洞检测装置900还包括:第三检测单元,用于调用规则管理服务,以提取第三判断规则,以根据第一响应信息、第二响应信息和第三判断规则判断是否存在平行越权漏洞。
在本公开的一个实施例中,第三判断规则包括目标信息比对;第三检测单元包括:信息提取单元,用于根据第三判断规则中的预设字段提取第一响应信息中的第一目标信息和第二响应信息中的第二目标信息;信息比对单元,用于将第一目标信息和第二目标信息进行比对;第三判定单元,用于在第一目标信息与第二目标信息相同时,判定不存在平行越权漏洞;第四判定单元,用于在第一目标信息与第二目标信息不相同时,判定存在平行越权漏洞。
在本公开的一个实施例中,信息提取单元配置为:将预设字段与第一响应信息中的所有字段进行匹配,并且将预设字段与第二响应信息中的所有字段进行匹配;当第一响应信息中存在与预设字段匹配的目标字段时,提取第一响应信息中与目标字段对应的信息,并将与目标字段对应的信息作为第一目标信息;当第二响应信息中存在与预设字段匹配的目标字段时,提取第二响应信息中与目标字段对应的信息,并将与目标字段对应的信息作为第二目标信息。
在本公开的一个实施例中,平行越权漏洞检测装置900还包括:保存模块,用于在确定存在平行越权漏洞时,将存在平行越权漏洞的第一访问地址和对应的目标参数发送至服务器进行保存。
图10示出了适于用来实现本公开实施例的电子设备的计算机***的结构示意图。
需要说明的是,图10示出的电子设备的计算机***1000仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,计算机***1000包括中央处理单元(Central Processing Unit,CPU)1001,其可以根据存储在只读存储器(Read-Only Memory,ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(Random Access Memory,RAM)1003中的程序而执行各种适当的动作和处理,实现上述实施例中所述的视频处理方法。在RAM 1003中,还存储有***操作所需的各种程序和数据。CPU 1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(Input/Output,I/O)接口1005也连接至总线1004。
以下部件连接至I/O接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本公开的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时,执行本公开的***中限定的各种功能。
需要说明的是,本公开实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (15)
1.一种平行越权漏洞检测方法,其特征在于,包括:
获取包含目标参数的第一访问地址,并根据所述第一访问地址构建第一网络请求;
调用网络通信服务,以根据所述第一网络请求获取第一响应信息;
修改所述目标参数,以形成包含修改后的目标参数的第二访问地址,并根据所述第二访问地址构建第二网络请求;
调用所述网络通信服务,以根据所述第二网络请求获取第二响应信息;
根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。
2.根据权利要求1所述的平行越权漏洞检测方法,根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞,包括:
调用规则管理服务并提取第一判断规则,并根据所述第一响应信息、所述第二响应信息和所述第一判断规则判断是否存在所述平行越权漏洞。
3.根据权利要求2所述的平行越权漏洞检测方法,其特征在于,所述第一判断规则包括内容比对和内容长度比对;
所述根据所述第一响应信息、所述第二响应信息和所述第一判断规则判断是否存在所述平行越权漏洞,包括:
将所述第一响应信息的内容与所述第二响应信息的内容进行比对;
若所述第一响应信息的内容与所述第二响应信息的内容相同,则判定不存在所述平行越权漏洞;
若所述第一响应信息的内容与所述第二响应信息的内容不同,则根据所述第一响应信息的内容长度与所述第二响应信息的内容长度判断是否存在所述平行越权漏洞。
4.根据权利要求3所述的平行越权漏洞检测方法,其特征在于,所述根据所述第一响应信息的内容长度与所述第二响应信息的内容长度判断是否存在所述平行越权漏洞,包括:
将所述第一响应信息的内容长度与所述第二响应信息的内容长度作比,以获取一目标比值;
将所述目标比值与预设阈值进行比较;
若所述目标比值小于所述预设阈值,则判定存在所述平行越权漏洞;
若所述目标比值大于或等于所述预设阈值,则判定不存在所述平行越权漏洞。
5.根据权利要求1所述的平行越权漏洞检测方法,其特征在于,所述目标参数为数字型参数;
所述修改所述目标参数,包括:
以所述目标参数为基础,增加或减少预设数值,以对所述目标参数进行修改。
6.根据权利要求1所述的平行越权漏洞检测方法,在根据第二网络请求获取第二响应信息之后,所述方法还包括:
删除本地存储的用户信息,以形成包含所述修改后的目标参数的第三访问地址,并根据所述第三访问地址构建第三网络请求;
调用所述网络通信服务,以根据所述第三网络请求获取第三响应信息;
根据所述第二响应信息和所述第三响应信息判断是否存在所述平行越权漏洞。
7.根据权利要求6所述的平行越权漏洞检测方法,所述根据所述第二响应信息和所述第三响应信息判断是否存在所述平行越权漏洞,包括:
调用规则管理服务并提取第二判断规则,并根据所述第二响应信息、所述第三响应信息和所述第二判断规则判断是否存在所述平行越权漏洞。
8.根据权利要求7所述的平行越权漏洞检测方法,其特征在于,所述第二判断规则包括内容比对;
所述根据所述第二响应信息、所述第三响应信息和所述第二判断规则判断是否存在所述平行越权漏洞,包括:
将所述第二响应信息的内容与所述第三响应信息的内容进行比对;
若所述第二响应信息的内容与所述第三响应信息的内容相同,则判定不存在所述平行越权漏洞;
若所述第二响应信息的内容与所述第三响应信息的内容不相同,则判定存在所述平行越权漏洞。
9.根据权利要求1所述的平行越权漏洞检测方法,其特征在于,所述方法还包括:
调用规则管理服务并提取第三判断规则,以根据所述第一响应信息、所述第二响应信息和所述第三判断规则判断是否存在所述平行越权漏洞。
10.根据权利要求9所述的平行越权漏洞检测方法,其特征在于,所述第三判断规则包括目标信息比对;
所述根据所述第一响应信息、所述第二响应信息和所述第三判断规则判断是否存在所述平行越权漏洞,包括:
根据所述第三判断规则中的预设字段提取所述第一响应信息中的第一目标信息和所述第二响应信息中的第二目标信息;
将所述第一目标信息和所述第二目标信息进行比对;
若所述第一目标信息与所述第二目标信息相同,则判定不存在所述平行越权漏洞;
若所述第一目标信息与所述第二目标信息不相同,则判定存在所述平行越权漏洞。
11.根据权利要求10所述的平行越权漏洞检测方法,其特征在于,所述根据所述第三判断规则中的预设字段提取所述第一响应信息中的第一目标信息和所述第二响应信息中的第二目标信息,包括:
将所述预设字段与所述第一响应信息中的所有字段进行匹配,并且将所述预设字段与所述第二响应信息中的所有字段进行匹配;
当所述第一响应信息中存在与所述预设字段匹配的目标字段时,提取所述第一响应信息中与所述目标字段对应的信息,并将与所述目标字段对应的信息作为所述第一目标信息;
当所述第二响应信息中存在与所述预设字段匹配的目标字段时,提取所述第二响应信息中与所述目标字段对应的信息,并将与所述目标字段对应的信息作为所述第二目标信息。
12.根据权利要求1所述的平行越权漏洞检测方法,其特征在于,所述方法还包括:
在确定存在所述平行越权漏洞时,将存在所述平行越权漏洞的第一访问地址和对应的目标参数发送至服务器进行保存。
13.一种平行越权漏洞检测装置,其特征在于,包括:
第一请求构建模块,用于获取包含目标参数的第一访问地址,并根据所述第一访问地址构建第一网络请求;
第一信息获取模块,用于调用网络通信服务,以根据所述第一网络请求获取第一响应信息;
第二请求构建模块,用于修改所述目标参数,以形成包含修改后的目标参数的第二访问地址,并根据所述第二访问地址构建第二网络请求;
第二信息获取模块,用于调用所述网络通信服务,以根据所述第二网络请求获取第二响应信息;
越权漏洞检测模块,用于根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。
14.一种计算机设备,其特征在于,包括:
处理器;及
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如权利要求1至12中任一项所述的平行越权漏洞检测方法。
15.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至12中任一项所述的平行越权漏洞检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910741372.2A CN110489966A (zh) | 2019-08-12 | 2019-08-12 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910741372.2A CN110489966A (zh) | 2019-08-12 | 2019-08-12 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110489966A true CN110489966A (zh) | 2019-11-22 |
Family
ID=68550583
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910741372.2A Pending CN110489966A (zh) | 2019-08-12 | 2019-08-12 | 平行越权漏洞检测方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110489966A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995684A (zh) * | 2019-11-26 | 2020-04-10 | 西安四叶草信息技术有限公司 | 漏洞检测方法及装置 |
CN111125718A (zh) * | 2019-12-24 | 2020-05-08 | 北京三快在线科技有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111274585A (zh) * | 2020-01-19 | 2020-06-12 | 福建省农村信用社联合社 | 一种Web应用越权漏洞检测方法、装置、设备和介质 |
CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、***、设备及存储介质 |
CN111427774A (zh) * | 2020-03-09 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 用于应用程序测试实例的请求参数修改方法及*** |
CN111756771A (zh) * | 2020-07-21 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 跨站脚本攻击的检测方法和装置 |
CN112464250A (zh) * | 2020-12-15 | 2021-03-09 | 光通天下网络科技股份有限公司 | 越权漏洞自动检测方法、设备及介质 |
CN113411333A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种越权访问漏洞检测方法、装置、***和存储介质 |
CN113779585A (zh) * | 2021-01-04 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 越权漏洞检测方法和装置 |
US11429510B2 (en) | 2020-12-21 | 2022-08-30 | Coupang Corp. | Electronic apparatus for verifying code and method thereof |
CN115348117A (zh) * | 2022-10-20 | 2022-11-15 | 闪捷信息科技有限公司 | 用户水平越权行为判定方法和装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107241292A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 漏洞检测方法及装置 |
CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与*** |
CN108769070A (zh) * | 2018-06-30 | 2018-11-06 | 平安科技(深圳)有限公司 | 一种越权漏洞检测方法及装置 |
CN109446819A (zh) * | 2018-10-30 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 越权漏洞检测方法及装置 |
-
2019
- 2019-08-12 CN CN201910741372.2A patent/CN110489966A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107241292A (zh) * | 2016-03-28 | 2017-10-10 | 阿里巴巴集团控股有限公司 | 漏洞检测方法及装置 |
CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与*** |
CN108769070A (zh) * | 2018-06-30 | 2018-11-06 | 平安科技(深圳)有限公司 | 一种越权漏洞检测方法及装置 |
CN109446819A (zh) * | 2018-10-30 | 2019-03-08 | 北京知道创宇信息技术有限公司 | 越权漏洞检测方法及装置 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110995684B (zh) * | 2019-11-26 | 2022-06-28 | 西安四叶草信息技术有限公司 | 漏洞检测方法及装置 |
CN110995684A (zh) * | 2019-11-26 | 2020-04-10 | 西安四叶草信息技术有限公司 | 漏洞检测方法及装置 |
CN111125718A (zh) * | 2019-12-24 | 2020-05-08 | 北京三快在线科技有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111209565B (zh) * | 2020-01-08 | 2022-12-23 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111274585A (zh) * | 2020-01-19 | 2020-06-12 | 福建省农村信用社联合社 | 一种Web应用越权漏洞检测方法、装置、设备和介质 |
CN111274585B (zh) * | 2020-01-19 | 2022-08-16 | 福建省农村信用社联合社 | 一种Web应用越权漏洞检测方法、装置、设备和介质 |
CN111427774A (zh) * | 2020-03-09 | 2020-07-17 | 深圳开源互联网安全技术有限公司 | 用于应用程序测试实例的请求参数修改方法及*** |
CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、***、设备及存储介质 |
CN111416811B (zh) * | 2020-03-16 | 2022-07-22 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、***、设备及存储介质 |
CN111756771A (zh) * | 2020-07-21 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 跨站脚本攻击的检测方法和装置 |
CN111756771B (zh) * | 2020-07-21 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 跨站脚本攻击的检测方法和装置 |
CN112464250A (zh) * | 2020-12-15 | 2021-03-09 | 光通天下网络科技股份有限公司 | 越权漏洞自动检测方法、设备及介质 |
US11429510B2 (en) | 2020-12-21 | 2022-08-30 | Coupang Corp. | Electronic apparatus for verifying code and method thereof |
CN113779585A (zh) * | 2021-01-04 | 2021-12-10 | 北京沃东天骏信息技术有限公司 | 越权漏洞检测方法和装置 |
CN113411333A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种越权访问漏洞检测方法、装置、***和存储介质 |
CN115348117A (zh) * | 2022-10-20 | 2022-11-15 | 闪捷信息科技有限公司 | 用户水平越权行为判定方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110489966A (zh) | 平行越权漏洞检测方法、装置、存储介质及电子设备 | |
US10257199B2 (en) | Online privacy management system with enhanced automatic information detection | |
AU2021229246B2 (en) | Dynamic code management | |
US10834130B2 (en) | Detection of malicious attempts to access a decoy database object based on connection type | |
KR102355973B1 (ko) | 스미싱 메시지 판별장치 및 스미싱 메시지 판별방법 | |
CN107634947A (zh) | 限制恶意登录或注册的方法和装置 | |
CN110113315A (zh) | 一种业务数据的处理方法及设备 | |
US20110252150A1 (en) | System and Method for Processing User Information | |
WO2014151539A1 (en) | Online privacy management | |
US11916946B2 (en) | Systems and methods for network traffic analysis | |
CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
US11134062B1 (en) | Isolating and disabling unauthorized applications | |
US9967217B2 (en) | Method and device for displaying instant messaging messages | |
US9674160B2 (en) | Methods for anti-fraud masking of a universal resource indentifier (“URI”) | |
CN115460059A (zh) | 风险预警方法及装置 | |
KR20240057538A (ko) | 메시지 탐지를 통한 사용자 보상시스템 및 보상방법 | |
CN114640494A (zh) | 诈骗行为识别方法、装置、存储介质以及网关设备 | |
CN114928532A (zh) | 一种告警消息的生成方法、装置、设备及存储介质 | |
CN115835214A (zh) | 面向5g网络用户面通信的处理方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |