CN112165489A - 未授权访问漏洞检测方法、***、服务器和存储介质 - Google Patents
未授权访问漏洞检测方法、***、服务器和存储介质 Download PDFInfo
- Publication number
- CN112165489A CN112165489A CN202011043506.2A CN202011043506A CN112165489A CN 112165489 A CN112165489 A CN 112165489A CN 202011043506 A CN202011043506 A CN 202011043506A CN 112165489 A CN112165489 A CN 112165489A
- Authority
- CN
- China
- Prior art keywords
- request
- response
- server
- information
- unauthorized access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 52
- 230000004044 response Effects 0.000 claims abstract description 111
- 238000000034 method Methods 0.000 claims description 35
- 238000001914 filtration Methods 0.000 claims description 8
- 239000000463 material Substances 0.000 abstract description 4
- 238000012360 testing method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 12
- 235000014510 cooky Nutrition 0.000 description 7
- 230000009471 action Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 239000000872 buffer Substances 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种未授权访问漏洞检测方法,由独立于客户端和服务端的检测端执行,包括:获取客户端的一个或多个第一请求;解析所述第一请求,确定所述第一请求中的访问权限信息;将所述第一请求发送至服务端,获取第一响应信息;去除所述第一请求中的所述访问权限信息,生成第二请求;将所述第二请求发送至服务端,获取第二响应信息;判断所述第一响应信息和第二响应信息是否相同;若相同,则确定所述第一请求具有未授权访问漏洞。本发明通过提供一种未授权访问漏洞检测方法,实现自动化检测客户端访问服务端是否具有漏洞,节省了人力物力。
Description
技术领域
本发明实施例涉及安全测试相关技术领域,尤其涉及一种未授权访问漏洞检测方法、***、服务器和存储介质。
背景技术
随着移动通讯技术的日益发达,以及国家网络安全法的进一步落地。企业业务***在信息安全领域所面对的挑战日益严重。而对软件企业来说,快速而低成本进行安全测试,发现安全漏洞犹为重要。自动化的安全测试工具可以发现许多特征明显的安全漏洞,但对业务上的逻辑漏洞却无能为力,在众多安全问题中,未经身份验证的用户访问就是其中常见的一种。
目前,安全测试中的未经身份验证的用户访问检测,主要还是要依靠人力手动去测试,对于一些复杂的业务***,需要对大量请求进行分析和测试,不仅对人力的需求很大,同时容易漏掉一些未验证身份访问逻辑漏洞。
发明内容
本发明提供了一种未授权访问漏洞检测方法,实现自动化检测客户端访问服务端是否具有漏洞,节省了人力物力。
第一方面,本发明提供了一种未授权访问漏洞检测方法,由独立于客户端和服务端的检测端执行,包括:
获取客户端的一个或多个第一请求;
解析所述第一请求,确定所述第一请求中的访问权限信息;
将所述第一请求发送至服务端,获取第一响应信息;
去除所述第一请求中的所述访问权限信息,生成第二请求;
将所述第二请求发送至服务端,获取第二响应信息;
判断所述第一响应信息和第二响应信息是否相同;
若相同,则确定所述第一请求具有未授权访问漏洞。
进一步地,所述获取客户端的一个或多个第一请求,包括:
基于预设的过滤规则对所述业务流量进行过滤,以获取所述一个或多个第一请求。
进一步地,所述将所述第一请求发送至服务端,获取第一响应信息之前,还包括:
对所述第一请求进行去重。
进一步地,所述对所述第一请求进行去重,包括:
基于预设算法计算所述一个或多个第一请求的第一请求指纹;
判断是否有重复的所述第一请求指纹;
若重复,则删除所述重复的第一请求指纹对应的所述第一请求。
进一步地,所述第一响应信息包括第一响应长度和第一状态码,第二响应信息包括第二响应长度和第二状态码,则所述判断所述第一响应信息和第二响应信息是否相同,包括:
判断所述第一响应长度和第二响应长度的差值是否为零;
同时,判断所述第一状态码和第二状态码是否相同;
若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
进一步地,所述若相同,则确定所述第一请求具有未授权访问漏洞之后,还包括:
将所述第一请求发送至展示界面,对所述具有未授权访问漏洞的所述第一请求进行标记;和/或
拦截具有未授权访问漏洞的所述第一请求;和/或
向所述客户端和/或服务端发送告警信息。
第二方面,本发明提供一种未授权访问漏洞检测***,包括:
第一获取模块,用于从客户端发送至服务端的业务流量中获取一个或多个第一请求;
解析模块,用于解析所述第一请求,确定所述第一请求中的访问权限信息;
第一发送模块,用于将所述第一请求发送至服务端,获取第一响应信息;
去除模块,用于去除所述第一请求中的所述访问权限信息,生成第二请求;
第二发送模块,用于将所述第二请求发送至服务端,获取第二响应信息;
判断模块,用于判断所述第一响应信息和第二响应信息是否相同;
漏洞检测模块,用于若相同,则确定所述第一请求具有未授权访问漏洞。
进一步地,所述第一响应信息包括第一响应长度和第一状态码,第二响应信息包括第二响应长度和第二状态码,则所述判断模块还包括:
第一判断单元,用于判断所述第一响应长度和第二响应长度的差值是否为零;
第二判断单元,用于同时判断所述第一状态码和第二状态码是否相同;
判定单元,用于若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
第三方面,本发明提供一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如上述任一所述的一种未授权访问漏洞检测方法。
第四方面,本发明提供一种终端可读存储介质,其上存储有程序,所述程序被处理器执行时能够实现如上述任一所述的一种未授权访问漏洞检测方法。
本发明通过提供一种未授权访问漏洞检测方法,实现自动化检测客户端访问服务端是否具有漏洞,节省了人力物力。
附图说明
如图1所示为本实施例一的未授权访问漏洞检测方法流程图。
如图2所示为本实施例二的未授权访问漏洞检测方法流程图。
如图3所示为本实施例二的替代实施例方法流程图。
如图4所示为本实施例三的***模块图。
如图5所示为本实施例三替代实施例的***模块图。
如图6所示为本实施例四的服务器模块图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时处理可以被终止,但是还可以具有未包括在附图中的附加步骤。处理可以对应于方法、函数、规程、子例程、子程序等等。
此外,术语“第一”、“第二”等可在本文中用于描述各种方向、动作、步骤或元件等,但这些方向、动作、步骤或元件不受这些术语限制。这些术语仅用于将第一个方向、动作、步骤或元件与另一个方向、动作、步骤或元件区分。举例来说,在不脱离本申请的范围的情况下,第一特征信息可以为第二特征信息或第三特征信息,类似地,第二特征信息、第三特征信息可以为第一特征信息。第一特征信息和第二特征信息、第三特征信息都是分布式文件***的特征信息,但其不是同一特征信息。术语“第一”、“第二”等而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”、“批量”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
本实施例及下述实施例的英文缩写和专有名词含义如下:
URL:一种用于指定构成Web资源的字符串的各个不同部分的符号结构。
Cookie:服务器保存在客户端的小文本文件,它可以包含有关用户的信息。使用户链接到服务器时可以访问Cookie信息。有些Cookie是临时的,有些则是持续的。临时的Cookie只在浏览器上保存一段规定的时间,一旦超过规定的时间,该Cookie就会被***清除。
HTTP:超文本传输协议。
sha1:SecureHashAlgorithm安全哈希算法,主要适用于数字签名标准中定义的数字签名算法,对于长度小于264位的消息,SHA1算法产生一个160位的消息摘要。例如,当接收到消息的时候,这个消息摘要可以用来验证数据的完整性。在传输的过程中,数据很可能会发生变化,那么这时候就会产生不同的消息摘要。SHA1不可以从消息摘要中复原信息;两个不同的消息不会产生同样的消息摘要。
Redis数据库:Redis是一个开源的使用ANSIC语言编写、遵守BSD协议、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。通常被称为数据结构服务器,其值(value)可以是字符串(String),哈希(Hash),列表(list),集合(sets)和有序集合(sortedsets)等类型。
实施例一
本实施例提供一种未授权访问漏洞检测方法,由独立于客户端和服务端的检测端执行,如图1所示,包括:
S101、获取客户端的一个或多个第一请求;
该步骤中第一请求指客户端为实现目标业务发起的请求。通过设置代理访问,使客户端发起的第一请求先被检测端抓取,经过检测和判定后根据第一请求是否有漏洞,发送至服务端或进行标记。该步骤通过测试端实现大量完整自动化的抓取用户对***访问的业务请求,保证被测试业务流量的完整性。
在替代实施例中,由于请求业务流量往往比较大,并且包含大量的资源请求,如图片等信息,对于这类请求的测试不仅没有意义,还会浪费宝贵的测试资源,影响测试效率,通过规则过滤可以仅对关键业务请求进行测试,例如,仅测试包含身份验证的登录请求、或仅测试访问个人隐私与财产相关的连接地址,使测试过程能够提高效率。该步骤可以是:基于预设的过滤规则对所述业务流量进行过滤,以获取一个或多个第一请求。在执行抓取请求之前,预先设置测试范围,配置过滤规则。
可选地,检测端可以预先存放一个或多个全局变量,通过检测端的检测分支分布式部署,以应对检测分布式***多个客户端发起一个或多个第一请求的情况。则该步骤可以是:同时获取一个或多个客户端向服务端发起的请求。
可选地,该步骤还可以是:获取客户端的一个或多个第一请求,缓存在消息队列中。
S102、解析所述第一请求,确定所述第一请求中的访问权限信息。
该步骤中,解析过程可以是指解析成请求字典,字典是指自动或手动存储数据源定义和属性的文档,对数据请求的数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等进行定义和描述。例如,第一请求的请求字典包括Url、请求头,报文主体等内容,请求头包括Cookie等,Cookie包含第一请求的键值信息,即该步骤所述的访问权限信息。该步骤之后,可选地,将第一请求及所述访问权限信息缓存在Redis数据库。在后续的判断过程从Redis中读取第一请求及权限信息。
在替代实施例中,当步骤S101获取客户端的一个或多个第一请求,缓存在消息队列中,则该步骤还可以是:从消息队列中依次读取所述第一请求,解析所述第一请求,确定所述第一请求中的访问权限信息。
S103、将所述第一请求发送至服务端,获取第一响应信息。
S104、去除所述第一请求中的所述访问权限信息,生成第二请求。
S105、将所述第二请求发送至服务端,获取第二响应信息。
S106、判断所述第一响应信息和第二响应信息是否相同。
在上述步骤S103-S106中,将第一响应信息存储在服务器中,同时,将去除访问权限信息的请求重新发送至服务端,则将所述服务端重新获取没有身份验证后返回的相应信息。在无访问漏洞的***中,示例性地,在网银***的登录界面中,有身份验证(如具有账户名和密码)的客户端发起的请求为访问权限信息的第一请求,未经身份验证(如未登录)客户端发起的请求为不包括访问权限信息的第二请求,若未经身份验证的请求也可以获得与经过身份验证的请求相同的响应信息,则表明未经身份验证的用户访问请求访问了服务器,以执行后续的拦截恶意攻击、重放攻击、标记具有未授权访问漏洞的第一请求等。
S107、若相同,则确定所述第一请求具有未授权访问漏洞。
本申请提供的方案中,在未验证身份访问的检测的过程中,检测端会严格按照业务测试流量对目标检测***以未验证身份的方式进行检测,实现自动测试,同时不会遗漏相应信息,保证了测试的完整性。
本发明通过提供一种未授权访问漏洞检测方法,实现自动化检测客户端访问服务端是否具有漏洞,节省了人力物力。同时,通过增加缓存队列,使检测端能够异步处理信息,避免了检测过程堵塞效率降低。
实施例二
本实施例在上述实施例的基础上,增加了对第一响应请求去重的步骤,还增加了对判断过程的详细描述,如图2,具体包括如下步骤:
S201、获取客户端的一个或多个第一请求。
S202、解析所述第一请求,确定所述第一请求中的访问权限信息。
S203、对所述第一请求进行去重。
在该步骤中,同一个请求可能由客户端反复多次发起,通过去重避免重复的请求导入后续测试,节省检测时间。具体地,去重方法可以是:基于预设算法计算所述一个或多个第一请求的第一请求指纹;判断是否有重复的所述第一请求指纹。若重复,则删除所述重复的第一请求指纹对应的所述第一请求。
该步骤中,第一请求指纹指的是用于描述第一信息的一个特征或多个特征,示例性地,通过预设加密算法sha1,结合请求、请求头、报文主体等必要的参数对所述第一请求计算得到第一请求指纹,使用redis数据库保存该指纹并进行比较。
S204、将所述第一请求发送至服务端,获取第一响应信息。
S205、去除所述第一请求中的所述访问权限信息,生成第二请求。
S206、将所述第二请求发送至服务端,获取第二响应信息。
S2071、判断所述第一响应长度和第二响应长度的差值是否为零;同时,判断所述第一状态码和第二状态码是否相同。
S2072、若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
上述步骤S2071和S2072中,所述第一状态码和第二状态码分别用来标识第一响应信息和第二响应信息的状态,具体地,在HTTP协议中,1开头的状态码用于表示服务端接受的请求正在处理,2开头的状态码用于表示请求正常处理完毕,3开头的状态码用于表示要对请求进行重定向操作,4开头的状态码用于表示服务端无法处理请求,5开头的状态码用于表示服务器处理请求时出错。服务端在接收并解析第一请求,以响应报文形式返回给检测端的响应信息,响应信息长度即为响应报文的长度。
S208、若相同,则确定所述第一请求具有未授权访问漏洞。
在替代实施例中,如图3所示,判定第一请求是否具有未授权访问漏洞之后,还包括:
S209、将所述第一请求发送至展示界面,对其中具有未授权访问漏洞的所述第一请求进行标记;和/或拦截具有未授权访问漏洞的所述第一请求;和/或向所述客户端和/或服务端发送告警信息。
在该步骤中,对所述具有未授权访问漏洞的所述第一请求进行标记,指的是将具有未授权访问漏洞的所述第一请求发送至展示界面,在展示界面进行高亮标记。可选地,在该步骤的同时,还包括:检测端将第一请求、第一响应信息、第一状态码、第一响应长度、第二请求、第二响应信息、第二状态码和/或第二响应长度发送至展示界面;将所述第一请求、第一响应信息、第二请求和/或第二响应信息保存至数据库中。
本实施扩展了判断过程,同时通过状态码和响应长度判断响应信息是否一致。同时,在替代实施例中还增加了确定请求漏洞之后对该请求进行标记、拦截、告警等操作,以避免有漏洞的请求访问服务端,造成***风险。
实施例三
如图4,本实施例提供了一种未授权访问漏洞检测***3,包括如下模块:
第一获取模块301,用于从客户端发送至服务端的业务流量中获取一个或多个第一请求。该模块还用于基于预设的过滤规则对所述业务流量进行过滤,以获取所述一个或多个第一请求。可选地,检测端可以预先存放一个或多个全局变量,通过检测端的检测分支分布式部署,以应对检测分布式***多个客户端发起一个或多个第一请求的情况。则该模块还用于:同时获取一个或多个客户端向服务端发起的请求。
解析模块302,用于解析所述第一请求,确定所述第一请求中的访问权限信息。
第一发送模块303,用于将所述第一请求发送至服务端,获取第一响应信息。
去除模块304,用于去除所述第一请求中的所述访问权限信息,生成第二请求。
第二发送模块305,用于将所述第二请求发送至服务端,获取第二响应信息。
判断模块306,用于判断所述第一响应信息和第二响应信息是否相同。该模块还用于判断所述第一响应长度和第二响应长度的差值是否为零;同时,判断所述第一状态码和第二状态码是否相同;若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
漏洞检测模块307,用于若相同,则确定所述第一请求具有未授权访问漏洞。
在替代实施例中,如图5,还包括:
缓存模块308,用于将解析后的第一请求及所述访问权限信息缓存在Redis数据库。
在替代实施例中,还包括:
去重模块309,用于对所述第一请求进行去重。还用于基于预设算法计算所述一个或多个第一请求的第一请求指纹;判断是否有重复的所述第一请求指纹;若重复,则删除所述重复的第一请求指纹对应的所述第一请求。
在替代实施例中,还包括:
标记模块310,用于对所述具有未授权访问漏洞的所述第一请求进行标记;和/或拦截具有未授权访问漏洞的所述第一请求;和/或向所述客户端和/或服务端发送告警信息。其中对所述具有未授权访问漏洞的所述第一请求进行标记,指的是将具有未授权访问漏洞的所述第一请求发送至展示界面,在展示界面进行高亮标记。
在替代实施例中,还包括:
展示模块311,用于使检测端将第一请求、第一响应信息、第一状态码、第一响应长度、第二请求、第二响应信息、第二状态码和/或第二响应长度发送至展示界面;
保存模块312,用于将所述第一请求、第一响应信息、第二请求和/或第二响应信息保存至数据库中。
本发明实施例所提供的一种终端特征采集装置可执行本发明任意实施例所提供的未授权访问漏洞检测方法,具备功能模块相应的执行方法和有益效果。
实施例四
本实施例提供了一种服务器的结构示意图,如图6所示,该服务器包括处理器401、存储器402、输入装置403和输出装置404;服务器中处理器401的数量可以是一个或多个,图中以一个处理器401为例;设备/终端/服务器中的处理器401、存储器402、输入装置403和输出装置404可以通过总线或其他方式链接,图6中以通过总线链接为例。
存储器402作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的未授权访问漏洞检测方法对应的程序指令/模块(例如第一获取模块301,解析模块302等)。处理器401通过运行存储在存储器402中的软件程序、指令以及模块,从而执行设备/终端/服务器的各种功能应用以及数据处理,即实现上述的方法。
存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器402可进一步包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络链接至设备/终端/服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置403可用于接收输入的数字或字符信息,以及产生与设备/终端/服务器的用户设置以及功能控制有关的键信号输入。输出装置404可包括显示屏等显示设备。
本发明实施例四通过提供一种服务器,可执行本发明任意实施例所提供的未授权访问漏洞检测方法,具备执行方法相应的功能模块和有益效果。
实施例五
本发明实施例五还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所提供的未授权访问漏洞检测方法:
获取客户端的一个或多个第一请求;
解析所述第一请求,确定所述第一请求中的访问权限信息;
将所述第一请求发送至服务端,获取第一响应信息;
去除所述第一请求中的所述访问权限信息,生成第二请求;
将所述第二请求发送至服务端,获取第二响应信息;
判断所述第一响应信息和第二响应信息是否相同;
若相同,则确定所述第一请求具有未授权访问漏洞。
本发明实施例的计算机可读存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电链接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或终端上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—链接到用户计算机,或者,可以链接到外部计算机(例如利用因特网服务提供商来通过因特网链接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种未授权访问漏洞检测方法,由独立于客户端和服务端的检测端执行,其特征在于,包括:
获取客户端的一个或多个第一请求;
解析所述第一请求,确定所述第一请求中的访问权限信息;
将所述第一请求发送至服务端,获取第一响应信息;
去除所述第一请求中的所述访问权限信息,生成第二请求;
将所述第二请求发送至服务端,获取第二响应信息;
判断所述第一响应信息和第二响应信息是否相同;
若相同,则确定所述第一请求具有未授权访问漏洞。
2.根据权利要求1所述的一种未授权访问漏洞检测方法,其特征在于,所述获取客户端的一个或多个第一请求,包括:
基于预设的过滤规则对所述业务流量进行过滤,以获取所述一个或多个第一请求。
3.根据权利要求1所述的一种未授权访问漏洞检测方法,其特征在于,所述将所述第一请求发送至服务端,获取第一响应信息之前,还包括:
对所述第一请求进行去重。
4.根据权利要求3所述的一种未授权访问漏洞检测方法,其特征在于,所述对所述第一请求进行去重,包括:
基于预设算法计算所述一个或多个第一请求的第一请求指纹;
判断是否有重复的所述第一请求指纹;
若重复,则删除所述重复的第一请求指纹对应的所述第一请求。
5.根据权利要求1所述的一种未授权访问漏洞检测方法,其特征在于,所述第一响应信息包括第一响应长度和第一状态码,第二响应信息包括第二响应长度和第二状态码,则所述判断所述第一响应信息和第二响应信息是否相同,包括:
判断所述第一响应长度和第二响应长度的差值是否为零;
同时,判断所述第一状态码和第二状态码是否相同;
若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
6.根据权利要求1所述的一种未授权访问漏洞检测方法,其特征在于,所述若相同,则确定所述第一请求具有未授权访问漏洞之后,还包括:
将所述第一请求发送至展示界面,对所述具有未授权访问漏洞的所述第一请求进行标记;和/或
拦截具有未授权访问漏洞的所述第一请求;和/或
向所述客户端和/或服务端发送告警信息。
7.一种未授权访问漏洞检测***,其特征在于,包括:
第一获取模块,用于从客户端发送至服务端的业务流量中获取一个或多个第一请求;
解析模块,用于解析所述第一请求,确定所述第一请求中的访问权限信息;
第一发送模块,用于将所述第一请求发送至服务端,获取第一响应信息;
去除模块,用于去除所述第一请求中的所述访问权限信息,生成第二请求;
第二发送模块,用于将所述第二请求发送至服务端,获取第二响应信息;
判断模块,用于判断所述第一响应信息和第二响应信息是否相同;
漏洞检测模块,用于若相同,则确定所述第一请求具有未授权访问漏洞。
8.根据权利要求7所述的一种未授权访问漏洞检测***,其特征在于,所述第一响应信息包括第一响应长度和第一状态码,第二响应信息包括第二响应长度和第二状态码,则所述判断模块还包括:
第一判断单元,用于判断所述第一响应长度和第二响应长度的差值是否为零;
第二判断单元,用于同时判断所述第一状态码和第二状态码是否相同;
判定单元,用于若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
9.一种服务器,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6任一所述的一种未授权访问漏洞检测方法。
10.一种终端可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时能够实现如权利要求1-6任一所述的一种未授权访问漏洞检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043506.2A CN112165489A (zh) | 2020-09-28 | 2020-09-28 | 未授权访问漏洞检测方法、***、服务器和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043506.2A CN112165489A (zh) | 2020-09-28 | 2020-09-28 | 未授权访问漏洞检测方法、***、服务器和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112165489A true CN112165489A (zh) | 2021-01-01 |
Family
ID=73861884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011043506.2A Pending CN112165489A (zh) | 2020-09-28 | 2020-09-28 | 未授权访问漏洞检测方法、***、服务器和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112165489A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259327A (zh) * | 2021-04-20 | 2021-08-13 | 长沙市到家悠享网络科技有限公司 | 一种自动化接口检测方法、***和计算机设备 |
| CN115037531A (zh) * | 2022-05-25 | 2022-09-09 | 杭州默安科技有限公司 | 一种未授权访问漏洞检测方法、设备、*** |
| CN118138373A (zh) * | 2024-04-29 | 2024-06-04 | 杭州海康威视数字技术股份有限公司 | 基于webpack数据解析的未授权检测方法、装置及设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4193196B1 (ja) * | 2007-05-30 | 2008-12-10 | 株式会社ファイブドライブ | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
| US20100043059A1 (en) * | 2008-08-14 | 2010-02-18 | International Business Machines Corporation | Trusted Electronic Communication Through Shared Vulnerability |
| CN104200166A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 基于脚本的网站漏洞扫描方法和*** |
| US9077747B1 (en) * | 2013-07-23 | 2015-07-07 | Symantec Corporation | Systems and methods for responding to security breaches |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN107360189A (zh) * | 2017-08-23 | 2017-11-17 | 杭州安恒信息技术有限公司 | 突破Web防护的漏洞扫描方法及装置 |
| CN111104675A (zh) * | 2019-11-15 | 2020-05-05 | 泰康保险集团股份有限公司 | ***安全漏洞的检测方法和装置 |
| CN111125718A (zh) * | 2019-12-24 | 2020-05-08 | 北京三快在线科技有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
-
2020
- 2020-09-28 CN CN202011043506.2A patent/CN112165489A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4193196B1 (ja) * | 2007-05-30 | 2008-12-10 | 株式会社ファイブドライブ | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
| US20100043059A1 (en) * | 2008-08-14 | 2010-02-18 | International Business Machines Corporation | Trusted Electronic Communication Through Shared Vulnerability |
| US9077747B1 (en) * | 2013-07-23 | 2015-07-07 | Symantec Corporation | Systems and methods for responding to security breaches |
| CN104200166A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 基于脚本的网站漏洞扫描方法和*** |
| CN106302337A (zh) * | 2015-05-22 | 2017-01-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法和装置 |
| CN107360189A (zh) * | 2017-08-23 | 2017-11-17 | 杭州安恒信息技术有限公司 | 突破Web防护的漏洞扫描方法及装置 |
| CN111104675A (zh) * | 2019-11-15 | 2020-05-05 | 泰康保险集团股份有限公司 | ***安全漏洞的检测方法和装置 |
| CN111125718A (zh) * | 2019-12-24 | 2020-05-08 | 北京三快在线科技有限公司 | 越权漏洞的检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 陆余良 等: "Web安全测试中URL参数重写检测框架", 《计算机工程》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259327A (zh) * | 2021-04-20 | 2021-08-13 | 长沙市到家悠享网络科技有限公司 | 一种自动化接口检测方法、***和计算机设备 |
| CN115037531A (zh) * | 2022-05-25 | 2022-09-09 | 杭州默安科技有限公司 | 一种未授权访问漏洞检测方法、设备、*** |
| CN118138373A (zh) * | 2024-04-29 | 2024-06-04 | 杭州海康威视数字技术股份有限公司 | 基于webpack数据解析的未授权检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US9929991B2 (en) | Just-in-time, email embedded URL reputation determination | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| TWI603600B (zh) | 利用運行期代理器及網路探查器判定漏洞之技術 | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| US9208309B2 (en) | Dynamically scanning a web application through use of web traffic information | |
| KR100732689B1 (ko) | 웹 보안방법 및 그 장치 | |
| US20070169199A1 (en) | Web service vulnerability metadata exchange system | |
| WO2020000722A1 (zh) | 保存服务器日志的方法和装置 | |
| CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
| US12041091B2 (en) | System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling | |
| US20110060789A1 (en) | File transfer security system and method | |
| CN112165489A (zh) | 未授权访问漏洞检测方法、***、服务器和存储介质 | |
| Lee et al. | Study on systematic ransomware detection techniques | |
| AU2019273974B2 (en) | Determination method, determination device and determination program | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和*** | |
| CN109327453B (zh) | 一种特定威胁的识别方法及电子设备 | |
| CN111371745B (zh) | 用于确定ssrf漏洞的方法和装置 | |
| Paráda et al. | Possible Scenario for Malware Exploit Investigation with Data-Driven Architecture | |
| WO2023194409A1 (en) | Automated security analysis and response of container environments | |
| CN117938471A (zh) | 安全测试结果推送方法、装置、电子设备和计算机介质 | |
| CN114912117A (zh) | 漏洞检测方法及装置、电子设备及可读存储介质 | |
| CN117729029A (zh) | 一种网络文件防护方法、***、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210101 |