CN112491807A - 基于交互式应用检测技术的水平越权漏洞检测方法 - Google Patents
基于交互式应用检测技术的水平越权漏洞检测方法 Download PDFInfo
- Publication number
- CN112491807A CN112491807A CN202011224428.6A CN202011224428A CN112491807A CN 112491807 A CN112491807 A CN 112491807A CN 202011224428 A CN202011224428 A CN 202011224428A CN 112491807 A CN112491807 A CN 112491807A
- Authority
- CN
- China
- Prior art keywords
- request
- token
- data
- user
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种基于交互式应用检测技术的水平越权漏洞检测方法,包括以下步骤:s1、通过中间语言修改技术,修改预收集的应用中获取请求中数据的方法,在这些方法中***捕获请求数据的代码。s2、当用户进行正常业务测试时,捕获请求数据的代码会捕获请求,记录请求中识别出用户的用户访问令牌api token。s3、交叉替换记录的请求中的api token构建新的请求,将该请求再次发出,如果请求能拿到正确的结果,判断应用存在水平越权漏洞;否则,判断应用不存在水平越权漏洞。本发明通过中间语言修改技术,修改预收集的应用中获取请求中数据的方法,在这些方法中***捕获请求数据的代码。本发明能自动的、快速的检测水平越权漏洞。
Description
技术领域
本发明涉及一种检测水平越权漏洞的方法,具体涉及一种基于交互式应用检测技术的水平越权漏洞检测方法。
背景技术
随着互联网技术的发展,web(WorldWideWeb,全球广域网,也称为万维网)应用的普及程度越来越高。web应用是通过web访问的应用程序,只需要在终端中安装浏览器,即可实现对各应用软件进行访问,方便了对应用软件的访问需求。
但是,互联网在给人们生活带来便利的同时,也使得不法分子对互联网的网络攻击大幅增加。web应用中,水平越权漏洞是常见的安全漏洞,攻击者利用该漏洞可能造成大量用户敏感数据泄密丢失、用户资金恶意盗刷等安全问题。因此,如何增强web应用的水平越权漏洞,提前发现安全隐患,已成为当前web应用的迫切需要。
因此,需要对现有技术进行改进,提供一种可以检测该漏洞的方法。
发明内容
本发明要解决的技术问题是提供一种高效的基于交互式应用检测技术的水平越权漏洞检测方法。
为解决上述技术问题,本发明提供一种基于交互式应用检测技术的水平越权漏洞检测方法,包括以下步骤:
s1、通过中间语言修改技术,修改预收集的应用中获取请求中数据的方法,在这些方法中***捕获请求数据的代码。
s2、当用户进行正常业务测试时,捕获请求数据的代码会捕获请求,记录请求中识别出用户的用户访问令牌api token。
s3、交叉替换记录的请求中的api token构建新的请求,将该请求再次发出,如果请求能拿到正确的结果,判断应用存在水平越权漏洞;否则,判断应用不存在水平越权漏洞。
作为对本发明基于交互式应用检测技术的水平越权漏洞检测方法的改进:
在步骤s1中,获取请求中数据的方法为getHeader方法。
作为对本发明基于交互式应用检测技术的水平越权漏洞检测方法的进一步改进:
在步骤s1中,中间语言修改技术为对编程语言的中间层语言进行修改。
作为对本发明基于交互式应用检测技术的水平越权漏洞检测方法的进一步改进:
在步骤s2中,识别出用户的api token的方法为通过白名单匹配实现的,包括以下步骤:
预先将现有的或者一些可能的用户访问令牌api token的特征记录在白名单里,当用户的请求进入时,如果发现请求中含有白名单中的用户访问令牌api token的特征记录,则认为这是一个用户访问令牌。
作为对本发明基于交互式应用检测技术的水平越权漏洞检测方法的进一步改进:
用户访问令牌api token的特征记录为token字段。
作为对本发明基于交互式应用检测技术的水平越权漏洞检测方法的进一步改进:
交叉替换为将某一请求中的api token依次替换成其他请求中的api token构建新的请求,逐次将新的请求再次发出。
作为对本发明基于交互式应用检测技术的水平越权漏洞检测方法的进一步改进:
正确的结果的判断方式为:如果应答码为200就判断为正确的结果;否则,判断为错误的结果。
本发明基于交互式应用检测技术的水平越权漏洞检测方法的技术优势为:
本发明通过中间语言修改技术,修改预收集的应用中获取请求中数据的方法,在这些方法中***捕获请求数据的代码。捕获请求数据的代码会捕获请求,记录请求中识别出用户的用户访问令牌api token。交叉替换记录的请求中的api token构建新的请求,判断应用存不存在水平越权漏洞。
本发明能自动的、快速的检测水平越权漏洞。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1是本发明基于交互式应用检测技术的水平越权漏洞检测方法的流程图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于交互式应用检测技术的水平越权漏洞检测方法,如图1所示,包括以下步骤:
s1、通过中间语言修改技术,修改预收集的应用中获取请求中数据的方法,在这些方法中***捕获请求数据的代码。
中间语言修改技术为通过现有的开源的或公开***的程序对编程语言的中间层语言进行修改。
获取请求中数据的方法可以采用getHeader方法等。
对于获取请求中数据的方法:不***捕获请求数据的代码拿不到任何数据,***捕获请求数据的代码可以拿到所有的请求的数据,比如http header和body。
s2、当用户进行正常业务测试时,捕获请求数据的代码会捕获请求,记录请求中识别出用户的用户访问令牌api token。
识别出用户的api token的方法为通过白名单匹配实现的,具体包括:
预先将现有的或者一些可能的“用户访问令牌”的特征记录在白名单里,例如,一般都会使用“token”字段存放令牌,就将该特征存放在白名单里,当用户的请求进入时,如果发现请求中含有“token”字段,则认为这是一个用户访问令牌。
s3、交叉替换记录的请求中的api token构建新的请求,将该请求再次发出,如果请求能拿到正确的结果,这说明应用存在水平越权漏洞;否则,说明应用不存在水平越权漏洞。
交叉替换为将某一请求中的api token依次替换成其他请求中的api token构建新的请求,逐次将新的请求再次发出。
正确的结果的判断方式为:如果应答码为200就判断为正确的结果,也可以根据业务情况自由设置相应的规则。
在使用过程中,当用户使用某个账号做正常的业务操作时,如果检测程序发现请求的api接口属于包含api token,则会交叉替换,重新构建请求,并发送请求。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (7)
1.基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:包括以下步骤:
s1、通过中间语言修改技术,修改预收集的应用中获取请求中数据的方法,在这些方法中***捕获请求数据的代码。
s2、当用户进行正常业务测试时,捕获请求数据的代码会捕获请求,记录请求中识别出用户的用户访问令牌api token。
s3、交叉替换记录的请求中的api token构建新的请求,将该请求再次发出,如果请求能拿到正确的结果,判断应用存在水平越权漏洞;否则,判断应用不存在水平越权漏洞。
2.根据权利要求1所述的基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:
在步骤s1中,获取请求中数据的方法为getHeader方法。
3.根据权利要求1所述的基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:
在步骤s1中,中间语言修改技术为对编程语言的中间层语言进行修改。
4.根据权利要求2或3所述的基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:
在步骤s2中,识别出用户的api token的方法为通过白名单匹配实现的,包括以下步骤:
预先将现有的或者一些可能的用户访问令牌api token的特征记录在白名单里,当用户的请求进入时,如果发现请求中含有白名单中的用户访问令牌api token的特征记录,则认为这是一个用户访问令牌。
5.根据权利要求4所述的基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:
用户访问令牌api token的特征记录为token字段。
6.根据权利要求5所述的基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:
交叉替换为将某一请求中的api token依次替换成其他请求中的api token构建新的请求,逐次将新的请求再次发出。
7.根据权利要求6所述的基于交互式应用检测技术的水平越权漏洞检测方法,其特征在于:
正确的结果的判断方式为:如果应答码为200就判断为正确的结果;否则,判断为错误的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011224428.6A CN112491807A (zh) | 2020-11-05 | 2020-11-05 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011224428.6A CN112491807A (zh) | 2020-11-05 | 2020-11-05 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112491807A true CN112491807A (zh) | 2021-03-12 |
Family
ID=74928381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011224428.6A Pending CN112491807A (zh) | 2020-11-05 | 2020-11-05 | 基于交互式应用检测技术的水平越权漏洞检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112491807A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114070583A (zh) * | 2021-10-12 | 2022-02-18 | 鸬鹚科技(深圳)有限公司 | 信息访问控制方法、装置、计算机设备及介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
CN107566537A (zh) * | 2017-10-30 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种web应用纵向越权漏洞的半自动检测方法及*** |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与*** |
CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
CN109902022A (zh) * | 2019-03-14 | 2019-06-18 | 深圳壹账通智能科技有限公司 | 针对垂直越权漏洞自动进行测试的方法及相关设备 |
CN110581835A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
CN110674507A (zh) * | 2019-09-19 | 2020-01-10 | 深圳开源互联网安全技术有限公司 | 检测web应用越权的方法及*** |
CN110688659A (zh) * | 2019-09-10 | 2020-01-14 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及*** |
CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、***、电子设备和介质 |
CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111404937A (zh) * | 2020-03-16 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、***、设备及存储介质 |
CN111539006A (zh) * | 2020-04-26 | 2020-08-14 | 北京思特奇信息技术股份有限公司 | 一种权限管控方法及装置 |
-
2020
- 2020-11-05 CN CN202011224428.6A patent/CN112491807A/zh active Pending
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106713347A (zh) * | 2017-01-18 | 2017-05-24 | 国网江苏省电力公司电力科学研究院 | 一种电力移动应用越权访问漏洞检测方法 |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与*** |
CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
CN107566537A (zh) * | 2017-10-30 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种web应用纵向越权漏洞的半自动检测方法及*** |
CN110581835A (zh) * | 2018-06-11 | 2019-12-17 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、***、电子设备和介质 |
CN109902022A (zh) * | 2019-03-14 | 2019-06-18 | 深圳壹账通智能科技有限公司 | 针对垂直越权漏洞自动进行测试的方法及相关设备 |
CN110688659A (zh) * | 2019-09-10 | 2020-01-14 | 深圳开源互联网安全技术有限公司 | 基于iast测试工具动态检测水平越权的方法及*** |
CN110674507A (zh) * | 2019-09-19 | 2020-01-10 | 深圳开源互联网安全技术有限公司 | 检测web应用越权的方法及*** |
CN111125713A (zh) * | 2019-12-18 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 一种水平越权漏洞的检测方法、装置及电子设备 |
CN111209565A (zh) * | 2020-01-08 | 2020-05-29 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
CN111404937A (zh) * | 2020-03-16 | 2020-07-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
CN111416811A (zh) * | 2020-03-16 | 2020-07-14 | 携程旅游信息技术(上海)有限公司 | 越权漏洞检测方法、***、设备及存储介质 |
CN111539006A (zh) * | 2020-04-26 | 2020-08-14 | 北京思特奇信息技术股份有限公司 | 一种权限管控方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114070583A (zh) * | 2021-10-12 | 2022-02-18 | 鸬鹚科技(深圳)有限公司 | 信息访问控制方法、装置、计算机设备及介质 |
CN114070583B (zh) * | 2021-10-12 | 2023-10-20 | 鸬鹚科技(深圳)有限公司 | 信息访问控制方法、装置、计算机设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105930727B (zh) | 基于Web的爬虫识别方法 | |
Xi et al. | Deepintent: Deep icon-behavior learning for detecting intention-behavior discrepancy in mobile apps | |
US8880435B1 (en) | Detection and tracking of unauthorized computer access attempts | |
KR101743269B1 (ko) | 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
US20060218407A1 (en) | Method of confirming the identity of a person | |
CN104836781A (zh) | 区分访问用户身份的方法及装置 | |
CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
US10652255B2 (en) | Forensic analysis | |
CN105787366A (zh) | 基于组件关系的安卓软件可视化安全分析方法 | |
CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
CN111726364B (zh) | 一种主机入侵防范方法、***及相关装置 | |
CN112416730A (zh) | 一种用户上网行为分析方法、装置、电子设备及存储介质 | |
CN109727027A (zh) | 账户识别方法、装置、设备及存储介质 | |
CN106302534A (zh) | 一种检测和处理非法用户的方法及*** | |
CN113407886A (zh) | 网络犯罪平台识别方法、***、设备和计算机存储介质 | |
CN112491807A (zh) | 基于交互式应用检测技术的水平越权漏洞检测方法 | |
CN104426836A (zh) | 一种入侵检测方法及装置 | |
CN116049808B (zh) | 一种基于大数据的设备指纹采集***及方法 | |
CN110837646A (zh) | 一种非结构化数据库的风险排查装置 | |
CN115828256A (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
CN113326502A (zh) | 可疑行为量化评判的安卓应用分类授权法 | |
CN113890866B (zh) | 一种违规应用软件识别方法、装置、介质及电子设备 | |
CN117749535B (zh) | 一种网络流量异常检测方法及装置 | |
JP2011150612A (ja) | アカウント不正使用判別プログラム、装置、及び方法 | |
CN115277069A (zh) | 应用软件网络安全的检测平台和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210312 |
|
WD01 | Invention patent application deemed withdrawn after publication |