CN111683047B - 越权漏洞检测方法、装置、计算机设备及介质 - Google Patents
越权漏洞检测方法、装置、计算机设备及介质 Download PDFInfo
- Publication number
- CN111683047B CN111683047B CN202010364766.3A CN202010364766A CN111683047B CN 111683047 B CN111683047 B CN 111683047B CN 202010364766 A CN202010364766 A CN 202010364766A CN 111683047 B CN111683047 B CN 111683047B
- Authority
- CN
- China
- Prior art keywords
- account information
- browser
- scanning
- vulnerability
- target site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种越权漏洞检测方法、装置、计算机设备及存储介质,所述方法包括:通过获取账号信息集合中包含N个账号信息,并采用多进程的方式,并发启动N+1个浏览器,在每个浏览器中使用一个账号信息登录目标站点,在第N+1个浏览器中采用访客身份进行访问,对N+1个浏览器中的目标站点进行访问扫描,得到扫描结果,实现多个账号信息同时进行权限接口的扫描,提高扫描效率,避免因会话冲突导致的扫描结果错误,提高扫描准确率,对扫描结果进行汇总分析,得到账号信息和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个权限接口是否存在越权漏洞,提高漏洞扫描的效率。本发明还涉及区块链技术,所述账号信息集合可存储于区块链节点中。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种越权漏洞检测方法、装置、计算机设备及介质。
背景技术
随着企业信息化程度的不断发展,数据的访问权限控制越来越关键,企业的网络应用大多都是对外开发,提供客户使用,或提供业务员在网站上进行各种日常业务。网站一旦对外,难免遭受到外部人员,黑客,商业间谍进行恶意攻击;同时,也难免会遭到内部员工使用账号恶意爬取数据,做非法使用、买卖,无论哪种结果,都会给公司造成严重的经济、声誉损失。因而,需要通过安全检测、漏洞扫描、防火墙加固等措施来进行访问权限的保护。
通常进行漏洞检测方式,是通过漏洞扫描器对网站,应用***进行漏洞扫描来实现。但在Web应用程序中,还存在越权漏洞,越权漏洞是一种业务漏洞,是指由于业务逻辑的疏忽,没有对某个操作所需的权限或用户进行严格的限制,导致本应没有操作权限的用户可正常进行操作,其威胁在于一个用户即可控制全站用户数据,即攻击者使用一个合法账户,即可对存在越权缺陷漏洞的其他账户数据进行非法的操作,例如查询、***、删除、修改等常规数据库命令。
目前检测越权漏洞一般是针对每个账号,登录该账号进行扫描,获取该账号对应的权限接口,再修改账号ID,并访问每个权限接口,根据不同的账号ID访问这些权限接口的返回请求进行对比分析,从而判断是否存在越权漏洞,这种方式需要依次对每个账号进行检测,并且在待检测的账号权限接口较多时,容易出现会话冲突,导致越权漏洞检测的效率较低。
发明内容
本发明实施例提供一种越权漏洞检测方法、装置、计算机设备和存储介质,以提高越权漏洞的检测效率。
为了解决上述技术问题,本申请实施例提供一种越权漏洞检测方法,包括:
获取账号信息集合,其中,所述账号信息集合包含N个账号信息,N为正整数;
采用多进程的方式,并发启动N+1个浏览器,并驱动每个所述浏览器跳转到目标站点;
在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问;
对N+1个所述浏览器中的目标站点进行访问扫描,得到N+1个扫描结果;
对N+1个所述扫描结果进行汇总分析,得到每个所述账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个所述权限接口是否存在越权漏洞。
可选地,所述采用多进程的方式,并发启动N+1个浏览器,并驱动每个所述浏览器跳转到目标站点包括:
采用多进程的方式,通过进程隔离启动N+1个浏览器,以使每个所述浏览器在一个独立的进程中运行;
在检测到N+1个所述浏览器启动完毕后,采用预设脚本,驱动每个所述浏览器跳转到目标站点。
可选地,所述在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问包括:
从N+1个所述浏览器中,随机选取N个浏览器,作为第一浏览器,将剩余一个浏览器,作为第二浏览器;
通过预设的登录脚本,在每个所述第一浏览器的目标站点上,登录一个所述账号信息;
在每个所述账号信息登录成功后,对所述目标站点进行访问;
采用访客身份,对所述第二浏览器中的所述目标站点执行访问操作。
可选地,所述对N+1个所述浏览器中的目标站点进行访问扫描,得到N+1个扫描结果包括:
针对每个所述浏览器,通过漏扫动态爬虫的方式,收集目标站点中包含的有效地址;
对所述有效地址进行访问,并确定登录所述目标站点的账号信息与所述有效地址之间的权限关系,得到扫描结果。
进一步地,所述越权漏洞包括平行越权漏洞、垂直越权漏洞和未授权访问漏洞。
可选地,所述越权漏洞为平行越权漏洞,所述通过交叉扫描的方式,判断每个所述权限接口是否存在越权漏洞包括:
从所述账号信息集合中,获取第一账号信息和第二账号信息,其中,所述第一账号信息包含第一用户身份标识,所述第二账号信息包含第二用户身份标识,所述第一用户标识和所述第二用户身份标识具有相同的权限等级;
将所述第一账号信息对应的权限接口的地址中包含的第一身份标识,修改为第二用户身份标识,得到新的地址,将所述新的地址作所述为权限接口的测试地址;
使用第二账号信息访问所述权限接口的测试地址,若访问成功,则确认所述第一账号信息对应的权限接口存在平行越权漏洞。
为了解决上述技术问题,本申请实施例还提供一种越权漏洞检测装置,包括:
数据获取模块,用于获取账号信息集合,其中,所述账号信息集合包含N个账号信息,N为正整数;
进程启动模块,用于采用多进程的方式,并发启动N+1个浏览器,并驱动每个所述浏览器跳转到目标站点;
登录模块,用于在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问;
扫描模块,用于对N+1个所述浏览器中的目标站点进行访问扫描,得到N+1个扫描结果;
越权漏洞分析模块,用于对N+1个所述扫描结果进行汇总分析,得到每个所述账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个所述权限接口是否存在越权漏洞。
可选地,所述进程启动模块包括:
浏览器并行启动单元,用于采用多进程的方式,通过进程隔离启动N+1个浏览器,以使每个所述浏览器在一个独立的进程中运行;
站点跳转单元,用于在检测到N+1个所述浏览器启动完毕后,采用预设脚本,驱动每个所述浏览器跳转到目标站点。
可选地,所述登录模块包括:
浏览器选取单元,用于从N+1个所述浏览器中,随机选取N个浏览器,作为第一浏览器,将剩余一个浏览器,作为第二浏览器;
账号登录单元,用于通过预设的登录脚本,在每个所述第一浏览器的目标站点上,登录一个所述账号信息;
账号访问单元,用于在每个所述账号信息登录成功后,对所述目标站点进行访问;
访客访问单元,用于采用访客身份,对所述第二浏览器中的所述目标站点执行访问操作。
可选地,所述扫描模块包括:
地址爬取单元,用于针对每个所述浏览器,通过漏扫动态爬虫的方式,收集目标站点中包含的有效地址;
关系分析单元,用于对所述有效地址进行访问,并确定登录所述目标站点的账号信息与所述有效地址之间的权限关系,得到扫描结果。
可选地,所述越权漏洞为平行越权漏洞,所述越权漏洞分析模块包括:
账号选取单元,用于从所述账号信息集合中,获取第一账号信息和第二账号信息,其中,所述第一账号信息包含第一用户身份标识,所述第二账号信息包含第二用户身份标识,所述第一用户标识和所述第二用户身份标识具有相同的权限等级;
地址确定单元,用于将所述第一账号信息对应的权限接口的地址中包含的第一身份标识,修改为所述第二用户身份标识,得到新的地址,将所述新的地址作为权限接口的测试地址;
测试单元,用于使用第二账号信息访问所述权限接口的测试地址,若访问成功,则确认所述第一账号信息对应的权限接口存在平行越权漏洞。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述越权漏洞检测方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述越权漏洞检测方法的步骤。
本发明实施例提供的越权漏洞检测方法、装置、计算机设备及存储介质,一方面,通过获取账号信息集合中包含N个账号信息,并采用多进程的方式,并发启动N+1个浏览器,在每个浏览器中使用一个账号信息登录目标站点,进而在第N+1个浏览器中采用访客身份进行访问,对N+1个浏览器中的目标站点进行访问扫描,得到N+1个扫描结果,实现多个账号信息同时进行权限接口的扫描,提高扫描效率,有利于提高漏洞扫描的效率。同时,采用多进程隔离的方式,确保每个账号信息的扫描结果的准确性,避免因为缓存导致的扫描结果的错乱,提高扫描结果的准确率,有利于提高漏洞扫描的完整性;另一方面,对N+1个扫描结果进行汇总分析,得到每个账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个权限接口是否存在越权漏洞,避免依次对单个账号的每个权限接口进行测试,导致的效率低下和准确率低,提高漏洞扫描的效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性***架构图;
图2是本申请的越权漏洞检测方法的一个实施例的流程图;
图3是根据本申请的越权漏洞检测装置的一个实施例的结构示意图;
图4是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,如图1所示,***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture E界面显示perts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving PictureE界面显示perts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的越权漏洞检测方法由服务器执行,相应地,越权漏洞检测装置设置于服务器中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器,本申请实施例中的终端设备101、102、103具体可以对应的是实际生产中的应用***。
请参阅图2,图2示出本发明实施例提供的一种越权漏洞检测方法,以该方法应用在图1中的服务端为例进行说明,详述如下:
S201:获取账号信息集合,其中,该账号信息集合包含N个账号信息,N为正整数。
具体地,本实施例中的越权漏洞的扫描,是针对账号权限超出预先设定的异常扫描,也即,检测账号是否可以访问或获取超出其预设权限范围的信息,在后台服务器中,每个账号具有预设好的权限,先获取需要进行测试的账号信息,后续通过这些账号信息进行越权漏洞的测试。
其中,账号信息集合是指包含多个待测试的账号信息的集合,每个账号信息包含配套的用户身份标识和基础密码,本实施例中账号信息N的具体数值,可根据实际需求进行择定。
需要说明的是,本实施例中,每个用户身份标识预设有对应的级别权限,级别越高,级别权限越大,级别权限的具体预设方式可根据实际需求进行设定,此处不作限制。
例如,在一具体实施方式中,获取到的账号信息集合中,用户身份标识包含:admin、user016、user019和guest532,其中,admin具有最高权限,user016和user019具有部分操作权限和自身账号信息对应的访问修改权限,guest具有极少部分操作权限。
本实施例中,账号信息集合的来源,可以是通过管理人员根据实际需求,从数据库中选取不同级别权限的账号信息,存入到账号信息集合中,或者是,通过对每个账号信息对应的历史操作记录进行分析,获取操作异常的账号信息存入到账号信息集合中。
本实施例中的越权漏洞是指账号具有访问和获取超出其预设范围的信息的权限漏洞,一般的漏洞扫描工具是通过扫描等手段对远程或本地的网站、应用***的安全脆弱性进行安全性检测,而越权漏洞是由于在研发过程中,未能考虑到所有权限控制导致,因而,通常的漏洞扫描工具无法针对权限漏洞进行扫描检测。
S202:采用多进程的方式,并发启动N+1个浏览器,并驱动每个浏览器跳转到目标站点。
具体地,采用多进程的方式,创建N+1个并行的进程,并同时在每个进程中启动1个浏览器,并驱动浏览器跳转到目标站点。
其中,多进程的方式(Multiple processes)是指同时启用多个进程,在每个进程中均运行一个浏览器的方式,进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是***进行资源分配和调度的基本单位,是操作***结构的基础。
现有的方式,通过人工扫描,或者模拟登录扫描,经常会因为会话冲突导致扫描结果不准确,甚至异常,本实施例采用多进程的方式,实现每个浏览器的会话进行隔离,有利于防治会话冲突,提高了扫描的准确率,同时,也实现多个账号信息同时扫描,节省了扫描的耗时,提高了扫描的效率。
其中,目标站点是指用于测试的应用程序或者操作***对应的入口地址。
需要说明的是,本实施例还为每个进程设定虚拟容器,生成该浏览器运行对应的虚拟地址空间,来实现进程隔离,使得每个浏览器的虚拟地址不同,这样就防止将浏览器中的数据信息写入其他浏览器的数据信息中,使得后续多个浏览器同时执行扫描,而无需担心数据的分配与写入错误,有利于提高后续扫描的效率和准确率。
其中,进程隔离是为保护操作***中进程互不干扰而设计的一组不同硬件和软件的技术。
S203:在每个浏览器对应的目标站点中,登录一个账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问。
具体地,将每个账号信息,在一个浏览器对应的目标站点中进行登录,并在剩余的一个浏览器中不进行登录,采用访客身份进行访问。
在本实施例中,通过在不同的浏览器中输入不同角色账号,并以浏览器的形式登录到目标站点,能有效解决session形式登陆扫描不成功和session失效等问题。
S204:对N+1个浏览器中的目标站点进行访问扫描,得到N+1个扫描结果。
具体地,采用预设扫描器,对N+1个浏览器中的目标站点进行访问扫描,获取每个账号信息对应的权限接口信息,得到N+1个扫描结果,其中,每个扫描结果包含每个账号信息和访客对应的可访问权限接口信息。
S205:对N+1个扫描结果进行汇总分析,得到每个账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个权限接口是否存在越权漏洞。
具体地,对获取到的N+1个扫描结果进行汇总分析,得到所有可用的权限接口和每个账号信息对应的权限接口,再采用交叉扫描的方式,判断每个权限接口是否存在账号越权漏洞,也即,判断权限接口是否设定了合理的权限控制。
容易理解地,通过汇总分析,对相同权限接口进行合并,避免后续交叉扫描时进行重复检测,有利于提高越权扫描的效率。
例如,在一具体实施方式中,具有较高权限的A账号信息,能使用getcase接口查询所有案件信息,该接口仅A账号信A能使用,在扫描后得到结果汇总分析后,将该接口发送给普通权限的B账号信息,B账号信息拿到这个接口地址,使用B账号信息的cookie信息访问getcase,也能查看到所有客户信息,证明该接口没做权限控制,也即,该权限接口存在访问漏洞。反之,该权限接口已做权限控制,不存在越权漏洞。
其中,交叉扫描是指采用不同权限的账号信息,登录访问其本身不具有权限的权限接口,来判断访问权限设置是否合理。具体实施细节可参考后续实施例,为避免重复,此处不再赘述。
需要说明的是,本实施例中账号信息对应的权限接口和访客身份对应的权限接口,是指非公共接口之外的接口,也即,在进行权限设计时,具有相同权限等级的一组账号信息中,某账号信息具有权限,但其他账号信息不具权限的接口,作为该账号信息对应的权限接口。
进一步地,越权漏洞包括但不限于:平行越权漏洞、垂直越权漏洞和未授权访问漏洞。
其中,平行越权漏洞是指相同等级的账号之间的越权,比如,查询用户信息userinfo.php?name=A,A账号信息只能浏览A账号信息的基本信息,B账号信息能浏览B账号信息的基本信息,如果采用A账号信息登录,并把name=A改成name=B,进行访问,能查到B的信息,即存在平行权限漏洞。如果未登录即可查询到需要登录才可以查询的A账号的基本信息,即存在未授权访问漏洞。
其中,垂直越权漏洞是指低等级账号可以访问高等级账号才能访问的接口的权限漏洞,例如,如果***设置admin.php只能由高权限的账号信息访问,而如果低权限的账号信息也能访问,则admin.php存在垂直越权漏洞。
在本实施例中,通过通过获取账号信息集合中包含N个账号信息,并采用多进程的方式,并发启动N+1个浏览器,在每个浏览器中使用一个账号信息登录目标站点,进而在第N+1个浏览器中
采用访客身份进行访问,对N+1个浏览器中的目标站点进行访问扫描,得到N+1个扫描结果,实现多个账号信息同时进行权限接口的扫描,提高扫描效率,有利于提高漏洞扫描的效率。同时,采用多进程隔离的方式,确保每个账号信息的扫描结果的准确性,避免因为缓存导致的扫描结果的错乱,提高扫描结果的准确率,有利于提高漏洞扫描的完整性,最后,对N+1个扫描结果进行汇总分析,得到每个账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个权限接口是否存在越权漏洞,避免依次对单个账号的每个权限接口进行测试,导致的效率低下和准确率低,提高漏洞扫描的效率。
在本实施例的一些可选的实现方式中,步骤S202中,采用多进程的方式,并发启动N+1个浏览器,并驱动每个浏览器跳转到目标站点包括:
采用多进程的方式,通过进程隔离启动N+1个浏览器,以使每个浏览器在一个独立的进程中运行;
在检测到N+1个浏览器启动完毕后,采用预设脚本,驱动每个浏览器跳转到目标站点。
具体地,通过采用多进程的方式,建立N+1个进程,并在每个进程中均启动浏览器,并为该进程设定虚拟容器,生成该浏览器运行的虚拟地址空间,来实现进程隔离,使得每个浏览器的虚拟地址不同,这样就防止将浏览器中的数据信息写入其他浏览器的数据信息中,有利于后续多个浏览器同时执行扫描,而无需担心数据的分配与写入错误,有利于提高后续扫描的效率和准确率。在检测到N+1个浏览器启动完毕后,采用预设脚本,驱动每个浏览器跳转到目标站点。
其中,预设脚本可根据实际需要,通过脚本语言来设定,此处不做限定。
在本实施例中,采用多进程的方式,并发启动多个浏览器,使得每个浏览器中的访问信息互不干扰,有利于提高后续访问扫描的准确性,同时,同时进行多个账号信息对应的权限接口扫描,也有利于提高扫描效率。
在本实施例的一些可选的实现方式中,步骤S203中,在每个浏览器对应的目标站点中,登录一个账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问包括包括:
从N+1个浏览器中,随机选取N个浏览器,作为第一浏览器,将剩余一个浏览器,作为第二浏览器;
通过预设的登录脚本,在每个第一浏览器的目标站点上,登录一个账号信息;
在每个账号信息登录成功后,对目标站点进行访问;
采用访客身份,对第二浏览器中的目标站点执行访问操作。
本实施例中,在进行越权漏洞检测时,需要考虑到越权漏洞中未授权访问漏洞,因而,需要采用一个访客身份进行访问扫描,以便确定访客身份对应的权限接口。
具体地,为每个账号信息分配一个浏览器,并将账号信息对应的浏览器作为第一浏览器,将剩下的一个浏览器作为第二浏览器,在第一浏览器中登录账号信息,并在登录成功后,对目标站点进行访问,在第二浏览器中,采用访客身份对目标站点进行访问。
其中,使用访客身份对目标站点进行访问,是指未通过账号信息的登录,而直接进行匿名访问目标站点。
其中,预设的登录脚本,是指采用脚本语言,通过post登录或者模拟登录的方式,编写的应用脚本,具体采用的脚本语言和登录方式,可根据实际需求进行设定,此处不做限制。
在本实施例中,通过使用账号信息和访客身份,构建与目标站点的访问,以使后续通过对访问路径进行扫描,得到不同账号信息对应的权限接口和访客身份对应的权限接口。
在本实施例的一些可选的实现方式中,步骤S204中,对N+1个浏览器中的目标站点进行访问扫描,得到N+1个扫描结果包括:
针对每个浏览器,通过漏扫动态爬虫的方式,收集目标站点中包含的有效地址;
对有效地址进行访问,并确定登录目标站点的账号信息与有效地址之间的权限关系,得到扫描结果。
具体地,采用漏扫动态爬虫的方式,对每个浏览器的目标站点进行url爬取,并通过hook window.WebSocket、window.EventSource、window.fetch等函数对扫描到的新的url进行监听,采用setTimeout和setInterval两个定时函数对缩小时间间隔加速时间的执行,达到尽可能多的收集事件注册以及后端重定向等,得到与权限有关的所有链接地址,作为有效地址,并对该有效地址的权限状态进行分析,将使用了该账号信息才可以访问的有效地址,确定为与账号信息具有权限关系的有效地址,作为扫描结果。
其中,漏扫动态爬虫是用于漏洞扫描的动态爬虫。
其中,权限关系包括但不限于:所有权限、可编辑权限、仅访问权限和禁止访问等。
在本实施例中,通过对每个浏览器中目标站点的链接爬取和权限分析,得到有效地址,确定账号信息与对应的有效地址的权限关系,或或访客身份与对应的有效地址的权限关系。
在本实施例的一些可选的实现方式中,越权漏洞为平行越权漏洞,步骤S205中,通过交叉扫描的方式,判断每个权限接口是否存在越权漏洞包括:
从账号信息集合中,获取第一账号信息和第二账号信息,其中,第一账号信息包含第一用户身份标识,第二账号信息包含第二用户身份标识,第一用户标识和第二用户身份标识具有相同的权限等级;
将第一账号信息对应的权限接口的地址中包含的第一身份标识,修改为第二用户身份标识,得到新的地址,作为权限接口的测试地址;
使用第二账号信息访问权限接口的测试地址,若访问成功,则确认第一账号信息对应的权限接口存在平行越权漏洞。
具体地,每个账号信息对应的权限接口都具有访问地址,例如一权限接口的访问地址为http://test.abc.com/addr.php?id=1234,其中,1234为账号信息中的用户身份标识,通过自动对用户身份标识进行识别,并采用相同权限等级的用户身份标识进行替换访问,若访问成功,则说明存着越权漏洞。
其中,用户身份标识是指账号信息中,用于唯一标识用户身份的内容,具体可以根据实际需求进行设定,例如,在一具体实施方式中,采用账号信息中的用户手机号码,作为用户身份标识。
需要说明的是,在对第一账号信息对应的权限接口进行越权漏洞检测时,上述第二账号信息是任意选取的具有相同权限等级的账号信息,在实际越权漏洞的测试过程中,针对平行越权漏洞的检测,每个账号信息对应的权限接口,任意选取一个与该账号信息权限等级相同的账号信息作为第二账号信息即可,无需多次检测,以便节约测试时间,提高效率。
在本实施例中,通过交叉扫描的方式,对每个账号信息的权限接口是否存着越权漏洞进行检测,有利于提高越权漏洞的检测效率和准确率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图3示出与上述实施例越权漏洞检测方法一一对应的越权漏洞检测装置的原理框图。如图3所示,该越权漏洞检测装置包括数据获取模块31、进程启动模块32、登录模块33、扫描模块34和越权漏洞分析模块35。各功能模块详细说明如下:
数据获取模块31,用于获取账号信息集合,其中,账号信息集合包含N个账号信息,N为正整数;
进程启动模块32,用于采用多进程的方式,并发启动N+1个浏览器,并驱动每个浏览器跳转到目标站点;
登录模块33,用于在每个浏览器对应的目标站点中,登录一个账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问;
扫描模块34,用于对N+1个浏览器中的目标站点进行访问扫描,得到N+1个扫描结果;
越权漏洞分析模块35,用于对N+1个扫描结果进行汇总分析,得到每个账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个权限接口是否存在越权漏洞。
进一步地,进程启动模块32包括:
浏览器并行启动单元,用于采用多进程的方式,通过进程隔离启动N+1个浏览器,以使每个浏览器在一个独立的进程中运行;
站点跳转单元,用于在检测到N+1个浏览器启动完毕后,采用预设脚本,驱动每个浏览器跳转到目标站点。
进一步地,登录模块33包括:
浏览器选取单元,用于从N+1个浏览器中,随机选取N个浏览器,作为第一浏览器,将剩余一个浏览器,作为第二浏览器;
账号登录单元,用于通过预设的登录脚本,在每个第一浏览器的目标站点上,登录一个账号信息;
账号访问单元,用于在每个账号信息登录成功后,对目标站点进行访问;
访客访问单元,用于采用访客身份,对第二浏览器中的目标站点执行访问操作。
进一步地,扫描模块34包括:
地址爬取单元,用于针对每个浏览器,通过漏扫动态爬虫的方式,收集目标站点中包含的有效地址;
关系分析单元,用于对有效地址进行访问,并确定登录目标站点的账号信息与有效地址之间的权限关系,得到扫描结果。
进一步地,越权漏洞为平行越权漏洞,越权漏洞分析模块35包括:
账号选取单元,用于从账号信息集合中,获取第一账号信息和第二账号信息,其中,第一账号信息包含第一用户身份标识,第二账号信息包含第二用户身份标识,第一用户标识和第二用户身份标识具有相同的权限等级;
地址确定单元,用于将第一账号信息对应的权限接口的地址中包含的第一身份标识,修改为第二用户身份标识,得到新的地址,将新的地址作为权限接口的测试地址;
测试单元,用于使用第二账号信息访问权限接口的测试地址,若访问成功,则确认第一账号信息对应的权限接口存在平行越权漏洞。
关于越权漏洞检测装置的具体限定可以参见上文中对于越权漏洞检测方法的限定,在此不再赘述。上述越权漏洞检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4包括通过***总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件连接存储器41、处理器42、网络接口43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或D界面显示存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作***和各类应用软件,例如电子文件的控制的程序代码等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器42用于运行所述存储器41中存储的程序代码或者处理数据,例如运行电子文件的控制的程序代码。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有界面显示程序,所述界面显示程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的越权漏洞检测方法的步骤。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。
Claims (8)
1.一种越权漏洞检测方法,其特征在于,所述越权漏洞检测方法包括:
获取账号信息集合,其中,所述账号信息集合包含N个账号信息,N为正整数;
采用多进程的方式,并发启动N+1个浏览器,并驱动每个所述浏览器跳转到目标站点;
在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问,其中,采用访客身份进行访问是指未通过账号信息的登录,而直接进行匿名访问目标站点;
对N+1个所述浏览器中的目标站点进行访问扫描,得到N+1个扫描结果,其中,每个扫描结果包含每个账号信息和访客对应的可访问权限接口信息;
对N+1个所述扫描结果进行汇总分析,得到每个所述账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个所述权限接口是否存在越权漏洞,其中,交叉扫描是指针对每个所述权限接口采用不同权限的账号信息,登录访问每个所述权限接口本身不具有权限的权限接口,来判断每个所述权限接口的访问权限设置是否合理;
所述越权漏洞包括平行越权漏洞、垂直越权漏洞和未授权访问漏洞,其中,所述平行越权漏洞是指相同等级的账号之间的越权,所述垂直越权漏洞是指低等级账号可以访问高等级账号才能访问的接口的权限漏洞,所述未授权访问漏洞是指未登录即可查询到需要登录才可以访问的信息;
在进行所述未授权访问漏洞时,采用一个访客身份进行访问扫描,以便确定访客身份对应的权限接口,并判断访客身份对应的权限接口是否设定了合理的权限控制;
所述在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问包括:
从N+1个所述浏览器中,随机选取N个浏览器,作为第一浏览器,将剩余一个浏览器,作为第二浏览器;
通过预设的登录脚本,在每个所述第一浏览器的目标站点上,登录一个所述账号信息;
在每个所述账号信息登录成功后,对所述目标站点进行访问;
采用访客身份,对所述第二浏览器中的所述目标站点执行访问操作。
2.如权利要求1所述的越权漏洞检测方法,其特征在于,所述采用多进程的方式,并发启动N+1个浏览器,并驱动每个所述浏览器跳转到目标站点包括:
采用多进程的方式,通过进程隔离启动N+1个浏览器,以使每个所述浏览器在一个独立的进程中运行;
在检测到N+1个所述浏览器启动完毕后,采用预设脚本,驱动每个所述浏览器跳转到目标站点。
3.如权利要求1所述的越权漏洞检测方法,其特征在于,所述对N+1个所述浏览器中的目标站点进行访问扫描,得到N+1个扫描结果包括:
针对每个所述浏览器,通过漏扫动态爬虫的方式,收集目标站点中包含的有效地址;
对所述有效地址进行访问,并确定登录所述目标站点的账号信息与所述有效地址之间的权限关系,得到扫描结果。
4.如权利要求1所述的越权漏洞检测方法,其特征在于,所述越权漏洞为平行越权漏洞,所述通过交叉扫描的方式,判断每个所述权限接口是否存在越权漏洞包括:
从所述账号信息集合中,获取第一账号信息和第二账号信息,其中,所述第一账号信息包含第一用户身份标识,所述第二账号信息包含第二用户身份标识,所述第一用户身份标识和所述第二用户身份标识具有相同的权限等级;
将所述第一账号信息对应的权限接口的地址中包含的第一身份标识,修改为第二用户身份标识,得到新的地址,将所述新的地址作为所述权限接口的测试地址;
使用所述第二账号信息访问所述权限接口的测试地址,若访问成功,则确认所述第一账号信息对应的权限接口存在平行越权漏洞。
5.一种越权漏洞检测装置,其特征在于,所述越权漏洞检测装置包括:
数据获取模块,用于获取账号信息集合,其中,所述账号信息集合包含N个账号信息,N为正整数;
进程启动模块,用于采用多进程的方式,并发启动N+1个浏览器,并驱动每个所述浏览器跳转到目标站点;
登录模块,用于在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问,其中,采用访客身份进行访问是指未通过账号信息的登录,而直接进行匿名访问目标站点;
扫描模块,用于对N+1个所述浏览器中的目标站点进行访问扫描,得到N+1个扫描结果,其中,每个扫描结果包含每个账号信息和访客对应的可访问权限接口信息;
越权漏洞分析模块,用于对N+1个所述扫描结果进行汇总分析,得到每个所述账号信息对应的权限接口和访客身份对应的权限接口,并通过交叉扫描的方式,判断每个所述权限接口是否存在越权漏洞,其中,交叉扫描是指针对每个所述权限接口采用不同权限的账号信息,登录访问每个所述权限接口本身不具有权限的权限接口,来判断每个所述权限接口的访问权限设置是否合理;
所述越权漏洞包括平行越权漏洞、垂直越权漏洞和未授权访问漏洞,其中,所述平行越权漏洞是指相同等级的账号之间的越权,所述垂直越权漏洞是指低等级账号可以访问高等级账号才能访问的接口的权限漏洞,所述未授权访问漏洞是指未登录即可查询到需要登录才可以访问的信息;
在进行所述未授权访问漏洞时,采用一个访客身份进行访问扫描,以便确定访客身份对应的权限接口,并判断访客身份对应的权限接口是否设定了合理的权限控制;
所述在每个所述浏览器对应的目标站点中,登录一个所述账号信息,在第N+1个浏览器对应的目标站点中,采用访客身份进行访问包括:
从N+1个所述浏览器中,随机选取N个浏览器,作为第一浏览器,将剩余一个浏览器,作为第二浏览器;
通过预设的登录脚本,在每个所述第一浏览器的目标站点上,登录一个所述账号信息;
在每个所述账号信息登录成功后,对所述目标站点进行访问;
采用访客身份,对所述第二浏览器中的所述目标站点执行访问操作。
6.如权利要求5所述的越权漏洞检测装置,其特征在于,所述进程启动模块包括:
浏览器并行启动单元,用于采用多进程的方式,通过进程隔离启动N+1个浏览器,以使每个所述浏览器在一个独立的进程中运行;
站点跳转单元,用于在检测到N+1个所述浏览器启动完毕后,采用预设脚本,驱动每个所述浏览器跳转到目标站点。
7.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述的越权漏洞检测方法。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的越权漏洞检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010364766.3A CN111683047B (zh) | 2020-04-30 | 2020-04-30 | 越权漏洞检测方法、装置、计算机设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010364766.3A CN111683047B (zh) | 2020-04-30 | 2020-04-30 | 越权漏洞检测方法、装置、计算机设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111683047A CN111683047A (zh) | 2020-09-18 |
| CN111683047B true CN111683047B (zh) | 2023-05-30 |
Family
ID=72452428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010364766.3A Active CN111683047B (zh) | 2020-04-30 | 2020-04-30 | 越权漏洞检测方法、装置、计算机设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111683047B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653674B (zh) * | 2020-12-10 | 2023-01-10 | 奇安信网神信息技术(北京)股份有限公司 | 接口安全性检测方法、装置、电子设备与存储介质 |
| CN112651029B (zh) * | 2021-01-08 | 2024-04-02 | 长沙树根互联技术有限公司 | 应用***漏洞的检测***、方法、存储介质及电子设备 |
| CN112799952A (zh) * | 2021-02-04 | 2021-05-14 | 上海云轴信息科技有限公司 | 用于自动测试云平台账户体系权限的方法与设备 |
| CN113259327A (zh) * | 2021-04-20 | 2021-08-13 | 长沙市到家悠享网络科技有限公司 | 一种自动化接口检测方法、***和计算机设备 |
| CN113239397A (zh) * | 2021-05-11 | 2021-08-10 | 鸬鹚科技(深圳)有限公司 | 信息访问方法、装置、计算机设备及介质 |
| CN115604000B (zh) * | 2022-10-12 | 2023-11-21 | 中国电信股份有限公司 | 一种越权检测方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6574737B1 (en) * | 1998-12-23 | 2003-06-03 | Symantec Corporation | System for penetrating computer or computer network |
| CN105306414A (zh) * | 2014-06-13 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 端口漏洞的检测方法、装置及*** |
| CN107566537A (zh) * | 2017-10-30 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种web应用纵向越权漏洞的半自动检测方法及*** |
| CN108696490A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
| CN110225031A (zh) * | 2019-06-06 | 2019-09-10 | 深圳开源互联网安全技术有限公司 | 动态权限漏洞检测方法、***、装置及可读存储介质 |
-
2020
- 2020-04-30 CN CN202010364766.3A patent/CN111683047B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6574737B1 (en) * | 1998-12-23 | 2003-06-03 | Symantec Corporation | System for penetrating computer or computer network |
| CN105306414A (zh) * | 2014-06-13 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 端口漏洞的检测方法、装置及*** |
| CN108696490A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
| CN107566537A (zh) * | 2017-10-30 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种web应用纵向越权漏洞的半自动检测方法及*** |
| CN110225031A (zh) * | 2019-06-06 | 2019-09-10 | 深圳开源互联网安全技术有限公司 | 动态权限漏洞检测方法、***、装置及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于状态机的移动应用越权访问漏洞检测方法;姜海涛;郭雅娟;陈昊;郭静;周超;徐建;;南京理工大学学报(04);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111683047A (zh) | 2020-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111683047B (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
| US10740411B2 (en) | Determining repeat website users via browser uniqueness tracking | |
| CN107209830B (zh) | 用于识别并抵抗网络攻击的方法 | |
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| CN103843004B (zh) | 装置定制白名单 | |
| CN1914881B (zh) | 用于在网格计算***中授权卸载网格作业的方法和*** | |
| EP3368973A1 (en) | Multi-layer computer security countermeasures | |
| US10614208B1 (en) | Management of login information affected by a data breach | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
| CN113239397A (zh) | 信息访问方法、装置、计算机设备及介质 | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
| US20180302437A1 (en) | Methods of identifying and counteracting internet attacks | |
| US20230015670A1 (en) | Distributed system for autonomous discovery and exploitation of an organization's computing and/or human resources to evaluate capacity and/or ability to detect, respond to, and mitigate effectiveness of intrusion attempts by, and reconnaissance efforts of, motivated, antagonistic, third parties | |
| CN109818972B (zh) | 一种工业控制***信息安全管理方法、装置及电子设备 | |
| CN112118238A (zh) | 认证登录的方法、装置、***、设备及存储介质 | |
| US10803164B2 (en) | Validating sign-out implementation for identity federation | |
| CN112528295A (zh) | 工业控制***的漏洞修复方法及装置 | |
| CN109714371B (zh) | 一种工控网络安全检测*** | |
| CN111651766B (zh) | 越权访问的测试方法及装置 | |
| CN110971606A (zh) | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| CN103544431B (zh) | 一种对非法程序的免疫方法、***及装置 | |
| JP7359288B2 (ja) | 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |