CN113392410A - 接口安全性检测方法、装置、计算机设备及存储介质 - Google Patents
接口安全性检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN113392410A CN113392410A CN202110940851.4A CN202110940851A CN113392410A CN 113392410 A CN113392410 A CN 113392410A CN 202110940851 A CN202110940851 A CN 202110940851A CN 113392410 A CN113392410 A CN 113392410A
- Authority
- CN
- China
- Prior art keywords
- detection
- information
- interface
- target interface
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本申请实施例公开了一种接口安全性检测方法、装置、计算机设备及存储介质,属于计算机技术领域。该方法包括:显示检测界面,检测界面用于触发对任一接口进行安全性检测;获取在检测界面中输入的检测信息,检测信息至少包括接口信息和参数信息,接口信息指示待检测的目标接口,参数信息包括调用目标接口所需的参数;基于检测信息调用目标接口,对目标接口进行安全性检测,得到检测结果;在检测界面中显示检测结果。本申请实施例方便快捷,不需要检测人员进行人工检测,提高了检测效率,且无需检测人员了解目标接口的内部结构和内部特性,降低了对检测人员的能力要求。
Description
技术领域
本申请实施例涉及计算机技术领域,特别涉及一种接口安全性检测方法、装置、计算机设备及存储介质。
背景技术
API(Application Programming Interface,应用程序接口)是现代互联网数据交换方式中应用最为广泛的一种,API的安全性至关重要,因此对API的安全性检测是必不可少的。
相关技术中通常采用人工检测的方式,由具备相关能力的技术人员人工对API进行安全性检测,检测效率低下,且对检测人员的能力要求较高。
发明内容
本申请实施例提供了一种接口安全性检测方法、装置、计算机设备及存储介质,提高了检测效率,且降低了对检测人员的能力要求。所述技术方案如下。
一方面,提供了一种接口安全性检测方法,所述方法包括:
显示检测界面,所述检测界面用于触发对任一接口进行安全性检测;
获取在所述检测界面中输入的检测信息,所述检测信息至少包括接口信息和参数信息,所述接口信息指示待检测的目标接口,所述参数信息包括调用所述目标接口所需的参数;
基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果;
在所述检测界面中显示所述检测结果。
可选地,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述接口信息、所述参数信息和第一认证信息调用所述目标接口,访问第一用户的数据,得到第十反馈信息,获取所述第十反馈信息对应的第十特征值,所述第一认证信息指示所述第一用户的访问权限;
基于所述接口信息、所述参数信息和第二认证信息调用所述目标接口,访问所述第一用户的数据,得到第十一反馈信息,获取所述第十一反馈信息对应的第十一特征值,所述第二认证信息指示与所述第一用户不同的其他用户的访问权限;
将所述第十特征值与所述第十一特征值进行对比,得到所述目标接口的第八检测结果。
可选地,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
采用第一IP(Internet Protocol,网络协议)地址,基于所述检测信息调用所述目标接口,得到第十二反馈信息,获取所述第十二反馈信息对应的第十二特征值;
采用第二IP地址,基于所述检测信息调用所述目标接口,得到第十三反馈信息,并获取所述第十三反馈信息对应的第十三特征值;
将所述第十二特征值与所述第十三特征值进行对比,得到所述目标接口的第九检测结果。
可选地,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述接口信息和所述参数信息调用所述目标接口,得到第十四反馈信息,获取所述第十四反馈信息对应的第十四特征值;
基于所述接口信息、所述参数信息和攻击载荷信息调用所述目标接口,得到第十五反馈信息,获取所述第十五反馈信息对应的第十五特征值,所述攻击载荷信息指示攻击所述目标接口;
将所述第十四特征值与所述第十五特征值进行对比,得到所述目标接口的第十检测结果。
另一方面,提供了一种接口安全性检测装置,所述装置包括:
显示模块,用于显示检测界面,所述检测界面用于触发对任一接口进行安全性检测;
信息获取模块,用于获取在所述检测界面中输入的检测信息,所述检测信息至少包括接口信息和参数信息,所述接口信息指示待检测的目标接口,所述参数信息包括调用所述目标接口所需的参数;
检测模块,用于基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果;
所述显示模块,还用于在所述检测界面中显示所述检测结果。
可选地,所述信息获取模块,包括:
所述检测界面包括IP地址输入栏,第一获取单元,用于获取在所述IP地址输入栏中输入的IP地址;或者,
所述检测界面包括域名输入栏,第二获取单元,用于获取在所述域名输入栏中输入的域名,对所述域名进行解析,得到所述域名对应的IP地址;或者,
所述检测界面包括IP地址输入栏和域名输入栏,第三获取单元,用于获取在所述IP地址输入栏中输入的IP地址,以及在所述域名输入栏中输入的域名,将所述IP地址和所述域名进行绑定;
其中,所述IP地址指示待检测的所述目标接口。
可选地,所述检测信息还包括认证信息,所述检测模块包括第一检测单元,所述第一检测单元用于:
基于所述接口信息、所述参数信息和所述认证信息调用所述目标接口,得到第一反馈信息,获取所述第一反馈信息对应的第一特征值;
基于所述接口信息和所述参数信息调用所述目标接口,得到第二反馈信息,获取所述第二反馈信息对应的第二特征值;
将所述第一特征值与所述第二特征值进行对比,得到所述目标接口的第一检测结果。
可选地,所述检测信息还包括认证信息,所述检测模块包括第二检测单元,所述第二检测单元用于:
基于所述接口信息、所述参数信息和所述认证信息调用所述目标接口,得到第三反馈信息,获取所述第三反馈信息对应的第三特征值;
基于所述接口信息、所述参数信息和从多个备选认证信息中选取的任一个认证信息调用所述目标接口,得到第四反馈信息,获取所述第四反馈信息对应的第四特征值;
将所述第三特征值与所述第四特征值进行对比,得到所述目标接口的第二检测结果。
可选地,所述检测模块包括第三检测单元,所述第三检测单元用于:
基于所述检测信息调用所述目标接口,接收所述目标接口返回的报警信息;
对所述报警信息进行敏感信息检测,得到所述目标接口的第三检测结果。
可选地,所述检测模块包括第四检测单元,所述第四检测单元用于:
基于所述检测信息采用HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议),生成对所述目标接口的第一调用请求,基于所述第一调用请求调用所述目标接口,得到第五反馈信息;
基于所述检测信息采用HTTP(Hyper Text Transfer Protocol,超文本传输协议),生成对所述目标接口的第二调用请求,基于所述第二调用请求调用所述目标接口,得到第六反馈信息;
基于所述第五反馈信息和所述第六反馈信息,检测所述目标接口是否启用了HTTPS或HTTP,得到所述目标接口的第四检测结果。
可选地,所述检测模块包括第五检测单元,所述第五检测单元用于:
基于所述检测信息调用所述目标接口,获取所述目标接口的证书中包含的至少一项配置信息;
对所述至少一项配置信息进行安全性检测,得到所述目标接口的第五检测结果。
可选地,所述检测模块包括第六检测单元,所述第六检测单元用于:
基于所述检测信息调用所述目标接口,得到第七反馈信息,获取所述第七反馈信息对应的第七特征值;
基于所述检测信息再次调用所述目标接口,得到第八反馈信息,获取所述第八反馈信息对应的第八特征值;
将所述第七特征值与所述第八特征值进行对比,得到所述目标接口的第六检测结果。
可选地,所述检测模块包括第七检测单元,所述第七检测单元用于:
基于所述检测信息多次调用所述目标接口,接收所述目标接口的第九反馈信息;
检测所述第九反馈信息中是否包括报警信息,得到所述目标接口的第七检测结果。
可选地,所述检测模块包括第八检测单元,所述第八检测单元用于:
基于所述接口信息、所述参数信息和第一认证信息调用所述目标接口,访问第一用户的数据,得到第十反馈信息,获取所述第十反馈信息对应的第十特征值,所述第一认证信息指示所述第一用户的访问权限;
基于所述接口信息、所述参数信息和第二认证信息调用所述目标接口,访问所述第一用户的数据,得到第十一反馈信息,获取所述第十一反馈信息对应的第十一特征值,所述第二认证信息指示与所述第一用户不同的其他用户的访问权限;
将所述第十特征值与所述第十一特征值进行对比,得到所述目标接口的第八检测结果。
可选地,所述检测模块包括第九检测单元,所述第九检测单元用于:
采用第一IP地址,基于所述检测信息调用所述目标接口,得到第十二反馈信息,获取所述第十二反馈信息对应的第十二特征值;
采用第二IP地址,基于所述检测信息调用所述目标接口,得到第十三反馈信息,并获取所述第十三反馈信息对应的第十三特征值;
将所述第十二特征值与所述第十三特征值进行对比,得到所述目标接口的第九检测结果。
可选地,所述检测模块包括第十检测单元,所述第十检测单元用于:
基于所述接口信息和所述参数信息调用所述目标接口,得到第十四反馈信息,获取所述第十四反馈信息对应的第十四特征值;
基于所述接口信息、所述参数信息和攻击载荷信息调用所述目标接口,得到第十五反馈信息,获取所述第十五反馈信息对应的第十五特征值,所述攻击载荷信息指示攻击所述目标接口;
将所述第十四特征值与所述第十五特征值进行对比,得到所述目标接口的第十检测结果。
可选地,所述检测模块包括汇总检测单元,所述汇总检测单元用于:
基于所述检测信息调用所述目标接口,采用多种检测方式对所述目标接口进行安全性检测,得到所述多种检测方式分别对应的检测结果;
将得到的多个检测结果进行汇总,得到所述目标接口的汇总检测结果。
可选地,所述检测结果采用等级表示,所述汇总检测单元用于:
将所述多种检测方式分别对应的等级进行统计,得到每种等级的出现次数,根据所述每种等级的出现次数,确定所述目标接口的等级。
可选地,所述显示模块,用于:
在所述检测界面中显示所述汇总检测结果;
响应于对所述检测界面中的详情展示控件的触发操作,显示所述多种检测方式分别对应的检测结果。
另一方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现如上述方面所述的接口安全性检测方法中所执行的操作。
另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行,以实现如上述方面所述的接口安全性检测方法中所执行的操作。
另一方面,提供了一种计算机程序产品或计算机程序,所述计算机程序产品或所述计算机程序包括计算机程序代码,所述计算机程序代码存储在计算机可读存储介质中,计算机设备的处理器从计算机可读存储介质读取所述计算机程序代码,处理器执行所述计算机程序代码,使得所述计算机设备实现如上述方面所述的接口安全性检测方法中所执行的操作。
本申请实施例提供的技术方案,只需在检测界面中输入检测信息,即可通过调用目标接口的方式,对目标接口进行安全性检测,显示检测结果,方便快捷,而不需要检测人员进行人工检测,提高了检测效率,且无需检测人员了解目标接口的内部结构和内部特性,降低了对检测人员的能力要求。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种实施环境的示意图;
图2是本申请实施例提供的一种接口安全性检测方法的流程图;
图3是本申请实施例提供的另一种接口安全性检测方法的流程图;
图4是本申请实施例提供的一种检测界面的示意图;
图5是本申请实施例提供的另一种检测界面的示意图;
图6是本申请实施例提供的一种检测结果的示意图;
图7是本申请实施例提供的一种检测方式的示意图;
图8是本申请实施例提供的一种数据存储示意图;
图9是本申请实施例提供的一种行为日志存储示意图;
图10是本申请实施例提供的一种计算机设备的结构示意图;
图11是本申请实施例提供的一种接口安全性检测装置的结构示意图;
图12是本申请实施例提供的一种终端的结构示意图;
图13是本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种概念,但除非特别说明,这些概念不受这些术语限制。这些术语仅用于将一个概念与另一个概念区分。举例来说,在不脱离本申请的范围的情况下,可以将第一反馈信息称为第二反馈信息,将第二反馈信息称为第一反馈信息。
本申请所使用的术语“至少一个”、“多个”、“每个”、“任一”等,至少一个包括一个、两个或两个以上,多个包括两个或两个以上,每个是指对应的多个中的每一个,任一是指多个中的任意一个。举例来说,多个检测结果包括3个检测结果,而每个检测结果是指这3个检测结果中的每一个检测结果,任一是指这3个检测结果中的任意一个,可以是第一个,可以是第二个,也可以是第三个。
为了便于理解本申请实施例,先对本申请实施例涉及到的关键词进行解释。
API:API是一些预先定义的接口,可以是HTTP形式的接口,或者是软件***的不同组成部分之间衔接的约定。API用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需开发人员访问API的源码,或理解API内部工作机制的细节。API是现代互联网数据交换方式中被应用最为广泛的一种。
黑盒模式:本申请实施例采用了黑盒模式对API进行安全性检测,在对 API安全性的检测过程中,将测试目标,即API,看作一个不能打开的黑盒子,在完全不考虑API的内部结构和内部特性的情况下,对API 进行安全性检测。黑盒模式的检测着眼于API的外部结构,不考虑其内部的代码逻辑,在有限的条件下对 API的安全性进行检测。
本申请实施例提供了一种接口安全性检测方法,执行主体为计算机设备,计算机设备能够根据检测人员输入的检测信息调用目标接口,以对目标接口进行安全性检测。
可选地,该计算机设备为终端,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。
可选地,该计算机设备为服务器,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
可选地,该计算机设备包括终端和服务器,通过终端与服务器之间的交互实现对目标接口的安全性检测。以图1为例,图1是本申请实施例提供的一种实施环境的示意图,参见图1,该实施环境包括终端101和服务器102。终端101和服务器102之间通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做限制。
终端101上安装由服务器102提供服务的目标应用,服务器102为该目标应用的后台服务器,检测人员在终端101上能够通过该目标应用输入检测信息,以便服务器102基于该检测信息实现对目标接口的安全性检测,并且检测人员还能够在终端101上查看目标接口的检测结果。可选地,目标应用为终端101操作***中的目标应用,或者为第三方提供的目标应用。
另外,在一种可能实现方式中,本申请实施例所涉及的计算机程序可被部署在一个计算机设备上执行,或者在位于一个地点的多个计算机设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算机设备上执行,分布在多个地点且通过通信网络互连的多个计算机设备能够组成区块链***。本申请实施例中的计算机设备是区块链***中的节点,该节点能够将对目标接口的安全性检测结果存储在区块链中,之后该节点或者该区块链中的其他设备对应的节点可从区块链中获取该检测结果。
本申请实施例提供的方法可以应用于多种场景下。例如应用于检测人员对任一接口进行测试的场景下。在测试过程中需要对某一个接口进行安全性检测,此时检测人员输入该接口的IP地址、端口号等接口信息,并且输入要调用该接口所需的参数信息,之后点击确定控件,即可开始对该接口进行安全性检测,得到检测结果,展示给检测人员,检测人员根据该检测结果即可了解该接口的安全性能。
图2是本申请实施例提供的一种接口安全性检测方法的流程图。本申请实施例的执行主体为计算机设备,该计算机设备为如图1所示的终端或服务器。参见图2,该方法包括以下步骤。
201、计算机设备显示检测界面。
其中,检测界面用于触发对任一接口进行安全性检测,检测人员需要对某一接口进行安全性检测时,在计算机设备上打开该检测界面,即可基于该检测界面,触发对该接口的安全性检测。
202、计算机设备获取在检测界面中输入的检测信息。
其中,检测信息至少包括接口信息和参数信息,接口信息指示待检测的目标接口,例如可以为待检测的目标接口的IP地址或者端口号,或者该目标接口的其他信息,参数信息包括调用目标接口所需的参数,对于不同的接口来说,所需的参数是不同的。例如该目标接口为链接访问接口,则该参数信息可以包括待访问的链接地址。另外,该检测信息还可以包括与目标接口有关的其他信息,例如该检测信息还包括认证信息,该认证信息用于表示计算机设备的身份,后续在调用目标接口时,通过对该认证信息进行验证,确定计算机设备的身份是否符合要求。
本申请实施例中,待检测的目标接口为API或者为其他类型的接口。并且,目标接口为任一接口,也即是,检测人员可以根据需求,在检测界面中输入任一接口对应的接口信息和参数信息,从而对该接口进行安全性检测。
203、计算机设备基于检测信息调用目标接口,对目标接口进行安全性检测,得到检测结果。
计算机设备基于检测信息调用目标接口,能够根据目标接口的运行情况,对该目标接口进行安全性检测,了解该目标接口运行所存在的问题,从而得到更为准确的检测结果。
204、计算机设备在检测界面中显示检测结果。
本申请实施例提供的方法,只需在检测界面中输入检测信息,即可通过调用目标接口的方式,对目标接口进行安全性检测,显示检测结果,方便快捷,而不需要检测人员进行人工检测,提高了检测效率,且无需检测人员了解目标接口的内部结构和内部特性,降低了对检测人员的能力要求。
在上述图2所示实施例的基础上,上述计算机设备可以包括终端和服务器,通过终端与服务器之间的交互实现对目标接口的安全性检测,检测过程详见下述实施例。
图3是本申请实施例提供的一种接口安全性检测方法的流程图。本申请实施例的交互主体为终端和服务器。参见图3,该方法包括以下步骤。
301、终端显示检测界面。
其中,检测界面用于触发对任一接口进行安全性检测,该检测界面相当于是为检测人员提供了人机交互的入口,方便检测人员触发对接口的安全性检测,而不需要了解接口的内部结构和内部特性。
可选地,终端运行有目标应用,检测界面为目标应用提供的界面,则检测人员在终端上打开该目标应用,从而打开该检测界面,以便基于该检测界面对任一接口进行安全性检测。其中,目标应用可以为供检测人员进行接口管理的应用,或者为供检测人员开发软件的应用,或者为其他类型的应用。该检测界面可以为该目标应用的主界面,或者在该目标应用的功能展示界面中包括安全性检测的入口,响应于对该入口的触发操作,即可显示该检测界面。
可选地,检测界面中包括不同的信息输入栏,每个输入栏用于输入不同类型的信息,供检测人员输入各种类型的检测信息,因此检测人员根据需求,在检测界面中的信息输入栏中输入相应类型的检测信息。
302、终端获取在检测界面中输入的检测信息。
其中,检测信息至少包括接口信息和参数信息,接口信息指示待检测的目标接口,例如可以为待检测的目标接口的IP地址或者端口号,或者该目标接口的其他信息,参数信息包括调用目标接口所需的参数,例如该目标接口为链接访问接口,则该参数信息可以包括待访问的链接地址。另外,该检测信息还可以包括与目标接口有关的其他信息。
本申请实施例中,根据检测界面中的不同类型的输入栏,可以获取到不同类型的检测信息。
可选地,检测界面包括IP地址输入栏,检测人员在该IP地址输入栏中输入要检测的目标接口对应的IP地址,该IP地址指示待检测的目标接口,终端即可获取在IP地址输入栏中输入的IP地址,后续根据该IP地址即可确定要检测的目标接口是哪一个接口。
可选地,检测界面包括域名输入栏,检测人员在该域名输入栏中输入要检测的目标接口对应的域名,终端即可获取在域名输入栏中输入的域名,并对域名进行解析,得到域名对应的IP地址,后续再根据IP地址确定目标接口。
可选地,检测界面包括IP地址输入栏和域名输入栏,检测人员在该IP地址输入栏中输入要检测的目标接口对应的IP地址,在该域名输入栏中输入要检测的目标接口对应的域名,终端即可获取在IP地址输入栏中输入的IP地址,以及在域名输入栏中输入的域名,将IP地址和域名进行绑定,作为获取到的检测信息。
这是由于同一个域名可以对应多个IP地址,每个IP地址对应着不同的接口,因此通过将IP地址和域名进行绑定的方式,可以确定唯一的接口,即为本次要进行检测的目标接口。
上述多种输入检测信息的方式可以任选,本申请实施例对此不做限定。
另外,检测信息还可以包括认证信息,该认证信息指示计算机设备的身份,可选地,认证信息可以包括计算机设备登录的账号和密码,或者还可以包括API Key(密钥),或者认证cookie(一种记录访问者信息的文件),或者其他认证信息。相应地,检测界面还包括认证信息输入栏,检测人员在该认证信息输入栏中输入认证信息,终端即可获取在认证信息输入栏中输入的认证信息,以便后续调用目标接口时能够对该认证信息进行验证。
例如,如图4所示,检测界面中包括IP地址输入栏401、端口号输入栏402、参数输入栏403和认证cookie输入栏404,供检测人员分别输入目标接口对应的IP地址、端口号、调用目标接口所需的参数和认证cookie。另外,检测界面中还包括确定控件406,检测人员输入检测信息完成后,点击确定控件406,终端即可获取到所输入的检测信息,或者点击取消控件405,取消所输入的检测信息。
或者,如图5所示,检测界面中包括域名输入栏501、IP地址输入栏502、参数输入栏503、认证cookie输入栏504、取消控件505和确定控件506,其中,IP地址输入栏为选填项,检测人员可以在IP地址输入栏中输入IP地址或者也可以不输入IP地址。
另外,检测界面中还可以包括IP地址选择控件“IP形式”和域名选择控件“域名形式”,检测人员可以选择IP地址选择控件,从而显示如图4所示的检测界面,或者选择域名选择控件,从而显示如图5所示的检测界面。这样即可为检测人员提供不同的输入方式,提高了灵活性。
303、终端向服务器发送检测请求,其中检测请求携带检测信息。
当检测人员在检测界面中输入检测信息后,点击确认控件,即可触发终端向服务器发送检测请求,该检测请求中携带有对应目标接口的检测信息,可以是IP地址、端口号、调用参数和认证cookie,也可以是域名、调用参数和认证cookie,或者其他相关检测信息。
304、服务器接收该检测请求,响应于该检测请求,基于检测信息调用目标接口,对目标接口进行安全性检测,得到检测结果。
当服务器接收到终端发送的检测请求后,根据检测请求中携带的检测信息生成调用指令,从而对目标接口进行调用,同时对目标接口进行各项安全性检测。例如,该安全性检测可以是对身份认证的安全性检测,也可以是对传输协议的安全性检测,或者其他方面的安全性检测。服务器对目标接口进行调用,得到生成的反馈信息,对获得的反馈信息进行解析,得到对目标接口的安全性检测结果。
在一种可能实现方式中,参见图7,服务器采用以下至少一种检测方式,对目标接口进行安全性检测。
方式1、认证开启检测:检测信息包括接口信息、参数信息和认证信息,服务器基于接口信息、参数信息和认证信息调用目标接口,得到第一反馈信息,获取第一反馈信息对应的第一特征值;基于接口信息和参数信息调用目标接口,得到第二反馈信息,获取第二反馈信息对应的第二特征值;将第一特征值与第二特征值进行对比,得到目标接口的第一检测结果。
对于开启认证功能的接口来说,调用该接口时,该接口会对访问者的认证信息进行验证,验证通过才会进行正常处理,认证不通过将会导致调用失败,这样的接口认为是安全的接口。而对于未开启认证功能的接口来说,调用该接口时,该接口不会对访问者的认证信息进行验证,则访问者是否具有认证信息,将不会对调用结果产生影响,而这样的接口认为是不安全的接口。
因此,为了验证目标接口是否开启了认证功能,服务器首先基于接口信息、参数信息和认证信息调用目标接口,得到第一反馈信息,再基于接口信息和参数信息调用目标接口,得到第二反馈信息,该第一反馈信息与该第二反馈信息是否相同,能够表示该目标接口是否开启了认证功能,因此,获取第一反馈信息对应的第一特征值和第二反馈信息对应的第二特征值,将这两个特征值进行对比,根据对比结果得到目标接口的第一检测结果。
可选地,反馈信息可以是调用目标接口成功的情况下目标接口返回的数据,也可以是调用目标接口失败的情况下返回的报警信息,或者是其他信息。
可选地,在获取任一反馈信息对应的特征值时,可以采用哈希算法,也可以采用其他算法,只需保证该反馈信息与该特征值一一对应,该特征值是否相同,能够代表该反馈信息是否相同。
可选地,响应于第一特征值与第二特征值一致,说明该目标接口未开启认证功能,是否携带认证信息对目标接口的反馈结果没有任何影响,因此确定该目标接口的第一检测结果为不安全;响应于第一特征值与第二特征值不一致,说明该目标接口开启了认证功能,调用该目标接口时需要携带认证信息才可以成功调用,因此确定该目标接口的第一检测结果为安全。
举例来说,检测过程包括如下步骤。
(1)在携带认证信息(包括账号密码,API KEY或者认证Cookie)的情况下,访问API获取到数据,将数据进行MD5计算得到数据的HASH值,这里称为M0。
(2)在不携带认证信息(包括账号密码,API KEY或者认证Cookie)的情况下,访问API获取到数据,将数据进行MD5计算得到数据的HASH(哈希)值,这里称为M1。
(3)将两次请求访问获取到的HASH值M0和M1进行对比,如果HASH 一致则说明API不具备身份认证逻辑,如果HASH不一致则说明API具备身份认证逻辑。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口未开启认证功能时,可以确定该目标接口的第一检测结果为高危。
方式2、认证弱口令检测:检测信息包括接口信息、参数信息和认证信息,服务器基于接口信息、参数信息和认证信息调用目标接口,得到第三反馈信息,获取第三反馈信息对应的第三特征值;基于接口信息、参数信息和从多个备选认证信息中选取的任一个认证信息调用目标接口,得到第四反馈信息,获取第四反馈信息对应的第四特征值;将第三特征值与第四特征值进行对比,得到目标接口的第二检测结果。
对于开启认证功能的接口来说,调用该接口时,该接口会对访问者的认证信息进行验证。如果该接口对认证信息进行强口令的验证,要求认证信息必须与合法认证信息完全一致,才能验证通过,则该接口认为是安全的接口。而如果该接口对认证信息进行弱口令的验证,只要求存在认证信息即可,则可能会出现冒用认证信息的情况,则该接口认为是不安全的接口。
因此,为了验证目标接口是否存在弱口令验证的情况,服务器首先基于接口信息、参数信息和输入的认证信息调用目标接口,得到第三反馈信息,再基于接口信息和参数信息和选取的其他认证信息调用目标接口,得到第四反馈信息,该第三反馈信息与该第四反馈信息是否相同,能够表示该目标接口是否存在弱口令验证的情况,因此,获取第三反馈信息对应的第一特征值和第四反馈信息对应的第二特征值,将这两个特征值进行对比,根据对比结果得到目标接口的第二检测结果。
可选地,反馈信息可以是调用目标接口成功的情况下目标接口返回的数据,也可以是调用目标接口失败的情况下返回的报警信息,或者是其他信息。
可选地,在获取任一反馈信息对应的特征值时,可以采用哈希算法,也可以采用其他算法,只需保证该反馈信息与该特征值一一对应,该特征值是否相同,能够代表该反馈信息是否相同。
可选地,响应于第三特征值与第四特征值一致,说明该目标接口存在弱口令验证的情况,未对认证信息进行严格的验证,因此确定该目标接口的第二检测结果为不安全;响应于第三特征值与第四特征值不一致,说明该目标接口不存在弱口令验证的情况,调用该目标接口时需要携带准确的认证信息才可以成功调用,因此确定该目标接口的第二检测结果为安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口存在弱口令验证时,可以确定该目标接口的第二检测结果为中危。
可选地,备选认证信息是存储在服务器上的其他检测人员的身份认证信息,或者是由服务器随机产生的虚拟的身份认证信息,或者是其他认证信息,例如备选认证信息为常见的账号(如admin,root,test和user)与常见的密码(admin,root,test和user)的组合。服务器每次可以从多个备选认证信息中随机选取任一认证信息,或者按照排列顺序依次选取认证信息。
其中,认证信息可以为账号密码或者为API KEY,则上述方式2可以实现对目标接口的账号密码弱口令的检测,或者实现对目标接口的API KEY弱口令的检测。
举例来说,检测过程包括如下步骤。
(1)账号密码弱口令检测:通过常见的账号名和密码进行组合,在调用API获取数据的时候携带上待尝试的账号密码组合对接口进行访问。获取到数据并进行MD5计算,得到HASH值Ma。将Ma和前面的M0进行对比,如果两个值相等则说明数据获取成功,目标接口存在账号密码弱口令风险,如果所有的账号密码对尝试之后都不能使Ma值和M0值相等,那么API不存在账号密码弱口令的风险。
(2)API KEY 弱口令检测:首先本地随机生成一些简单的 API KEY,在调用API获取数据的时候携带上随机的 API KEY 对API进行访问。获取到数据并进行 MD5 计算,得到HASH值Mb。将Mb和M0进行对比,如果两个值相等则说明数据获取成功,API存在API KEY弱口令风险,如果所有的API KEY尝试之后都不能让Mb值和M0值相等,那么API不存在API KEY弱口令的风险。
需要说明的是,上述方式1和方式2均为是对目标接口的认证安全性方面的检测。在一个实施例中,服务器先采用方式1进行检测,检测结果表明目标接口开启了认证功能的情况下,再采用方式2进行检测。而采用方式1进行检测的检测结果表明目标接口未开启认证功能的情况下,无需再采用方式2进行检测。
方式3、敏感信息泄露检测:服务器基于检测信息调用目标接口,接收目标接口返回的报警信息;对报警信息进行敏感信息检测,得到目标接口的第三检测结果。
对于某个接口来说,在调用该接口失败时,该接口会返回报警信息,该报警信息中可能会包括为攻击者提供便利的敏感信息,比如报警信息中提示仅仅是密码错误,则说明账号正确而密码错误,攻击者根据此报警信息即可获知正确的账号,从而通过暴力猜测的方式来破解正确的账号密码。反之,如果报警信息中提示仅仅账号错误,则说明账号错误而密码正确,攻击者可以通过暴力尝试账号的方式来破解正确的账号密码,从而攻破认证逻辑。
如果该报警信息中不包括敏感信息,表明该接口是安全的接口,不存在泄漏敏感信息的风险,而如果该报警信息包括敏感信息,表明该接口不是安全的接口,存在泄漏敏感信息的风险。
另外,通过构造特殊的 API 调用请求,可以导致 API服务端产生报错,同时服务端也会将报错信息返回给攻击者。这些报错信息可能有服务开发语言信息,服务版本信息,服务根目录信息,甚至未开放的内部接口等敏感信息。
因此,为了验证目标接口是否存在泄漏敏感信息的风险,服务器需要对返回的报警信息进行安全性检测,根据报警信息中是否包括敏感信息,确定目标接口的第三检测结果。
可选地,根据报警信息中是否包括敏感信息,确定目标接口的第三检测结果,包括:在报警信息中包括敏感信息的情况下,则说明目标接口存在泄露敏感信息的风险,因此确定该目标接口的第三检测结果为不安全;在报警信息中不包括敏感信息的情况下,则说明目标接口不存在泄露敏感信息的风险,因此确定该目标接口的第三检测结果为安全。
可选地,敏感信息可以是服务开发语言信息、服务版本信息、服务根目录信息或者其他未开放的内部接口信息。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口存在泄漏敏感信息的风险时,可以确定该目标接口的第三检测结果为低危。
方式4、HTTPS启用检测:基于检测信息采用HTTPS,生成对目标接口的第一调用请求,基于第一调用请求调用目标接口,得到第五反馈信息;基于检测信息采用HTTP,生成对目标接口的第二调用请求,基于第二调用请求调用目标接口,得到第六反馈信息;基于第五反馈信息和第六反馈信息,检测目标接口是否启用了HTTPS或HTTP,得到目标接口的第四检测结果。
HTTPS是一种在计算机网络中进行安全通信的传输协议,其底层还是通过HTTP实现数据交换的,但在HTTP外层包裹了SSL(Secure Sockets Layer,安全套接字协议)或TLS(Transport Layer Security,安全传输层协议)加密层来对数据进行加密。HTTPS 具有如下特点。
(1)内容加密:采用混合加密技术,网络中间者获取到报文也无法直接查看明文内容。
(2)验证身份:通过证书认证过程,客户端可以确保访问的是真实的服务器,而不是被伪造的目标站点。
(3)保护数据完整性:通过完整性验证逻辑防止传输的内容被攻击者截获冒充或者直接篡改数据。
启用了HTTPS而未启用HTTP的接口认为是安全的接口,而未启用HTTPS的接口认为是不安全的接口。
考虑到服务器在调用目标接口时,会先生成对目标接口的调用请求,基于该调用请求调用目标接口,而调用请求所采用的协议,应当与目标接口所采用的协议一致,才能调用成功。因此,为了检测目标接口是否启用了HTTPS,服务器首先基于检测信息采用HTTPS,生成对目标接口的第一调用请求,基于第一调用请求调用目标接口,得到第五反馈信息。第五反馈信息为调用该目标接口成功的情况下返回的信息,则表示该目标接口启用了HTTPS。而第五反馈信息为调用目标接口失败的情况下返回的信息,则表示该目标接口未启用HTTPS。
之后,为了检测目标接口是否启用了HTTP,服务器基于检测信息采用HTTP,生成对目标接口的第二调用请求,基于第二调用请求调用目标接口,得到第六反馈信息。第六反馈信息为调用该目标接口成功的情况下返回的信息,则表示该目标接口启用了HTTP。而第六反馈信息为调用目标接口失败的情况下返回的信息,则表示该目标接口未启用HTTP。
因此,在该目标接口启用了HTTPS,而未启用HTTP的情况下,确定该目标接口的第四检测结果为安全。而在其他情况下,确定该目标接口的第四检测结果为不安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口未启用HTTPS时,可以确定该目标接口的第四检测结果为高危。
方式5、证书安全性检测:基于检测信息调用目标接口,获取目标接口的证书中包含的至少一项配置信息;对至少一项配置信息进行安全性检测,得到目标接口的第五检测结果。
目标接口的证书包括至少一项配置信息,这些配置信息体现了目标接口的配置,能够一定程度上反映目标接口的安全性,因此服务器对目标接口的证书中的至少一项配置信息进行安全性检测。
可选地,服务器对目标接口进行调用时,读取目标接口的证书中包含的证书信息,对证书信息进行格式化映射,得到至少一项配置信息,分别对各项配置信息进行安全性检测,即可得到目标接口证书的检测结果。
可选地,根据配置信息的不同,对于证书安全性方面的检测,包括以下几种:对证书的签名哈希算法的安全性检测,对TLS协议版本的安全性检测,对加密算法的安全性检测,对HSTS(HTTP Strict Transport Security,HTTP严格传输安全)启用的安全性检测,对证书类型的安全性检测,或者对证书有效时间的安全性检测,以下将针对每项配置信息的检测进行说明。
(1)证书的签名哈希算法可能包括多种,如SHA-1(Secure Hash Algorithm,安全散列算法)、SHA-256或者其他强度的算法,在目标接口的证书的签名哈希算法为SHA-1的情况下,则认为该目标接口是不安全的,因此确定签名哈希算法的检测结果为不安全;在目标接口的证书的签名哈希算法为SHA-256或者更高强度算法的情况下则认为该目标接口是安全的,因此确定签名哈希算法的检测结果为安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在目标接口的证书的签名哈希算法为SHA-1的情况下,可以确定该目标接口的证书的签名哈希算法的检测结果为中危。
(2)在TLS协议版本检测中,认为使用了SSL各版本(禁用SSLv1 ~ SSLv3)以及TLS1.0、TLS1.1的接口都是不安全的,只有使用了TLS 1.2及以上的版本的接口才被认为是安全的。因此,在目标接口的TLS协议版本为SSL各版本(禁用SSLv1 ~ SSLv3)以及TLS1.0、TLS1.1的情况下,则认为该目标接口是不安全的,因此确定TLS协议版本的检测结果为不安全;在目标接口的TLS协议版本为TLS 1.2及以上的情况下,则认为该目标接口是安全的,因此确定TLS协议版本的检测结果为安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在目标接口的TLS协议版本为SSL各版本(禁用SSLv1 ~ SSLv3)以及TLS1.0、TLS1.1的情况下,可以确定该目标接口的证书的TLS协议版本的检测结果为中危。
(3)对于采用加密传输的接口来说,使用的加密算法的强度会影响接口的安全性。在目标接口使用的加密算法的加密强度较低的情况下,例如,RC4(Rivest Cipher 4,一种流加密算法)的相关加密算法和TLS_RSA(一种非对称加密算法)相关的非前向安全算法,目标接口存在会话密钥泄露的风险,必须使用前向安全算法以及其他安全的加密算法来提高通信信息的加密强度。因此,在目标接口的加密算法为RC4的相关加密算法和TLS_RSA相关的非前向安全算法的情况下,则认为该目标接口是不安全的,因此确定加密算法的检测结果为不安全;在目标接口的加密算法为前向安全算法以及其他安全的加密算法的情况下,则认为该目标接口是安全的,因此确定加密算法的检测结果为安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在目标接口的加密算法为RC4的相关加密算法和TLS_RSA相关的非前向安全算法的情况下,可以确定该目标接口的证书的加密算法的检测结果为高危。
(4)目标接口启用HSTS,则在对目标接口进行调用时,不需要检测人员手动输入HTTPS而默认自动使用HTTPS,或者即使输入的是HTTP,也可以自动切换成HTTPS。因此,启用了HSTS的目标接口会更为安全,基于检测信息采用HTTP,生成对目标接口的第三调用请求,基于第三调用请求调用目标接口,在目标接口将该第三调用请求自动切换成HTTPS形式的调用请求的情况下,则认为该目标接口启用了HSTS,因此确定该检测结果为安全;在目标接口不可以自动切换的情况下,则认为该目标接口未启用HSTS,因此确定该检测结果为不安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口未启用HSTS时,可以确定该目标接口的启用HSTS的检测结果为中危。
(5)考虑到旧版本的证书存在安全隐患,例如,Symantec(赛门铁克)证书或者其他证书等,容易受到攻击,降低了接口的安全性,而新版本的证书安全性较高。因此,需要确定证书的版本是否为目标版本,在证书的版本为非目标版本的情况下,则认为该目标接口是不安全的,因此确定该检测结果为不安全;在证书的版本为目标版本的情况下,则认为该目标接口是安全的,因此确定该检测结果为安全。其中,目标版本为预先设置的、满足安全要求的证书的版本。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在证书的版本为非目标版本的情况下,可以确定该目标接口的证书的版本的检测结果为中危。
(6)SSL证书的剩余有效期会影响接口的安全性,其剩余有效期越长,则说明该接口越安全,因此,在证书的剩余有效期大于等于目标时长时,则认为该目标接口是安全的,因此确定该目标接口的证书的有效期检测结果为安全;在证书的剩余有效期小于目标时长时,则认为该目标接口是不安全的,因此确定该目标接口的证书的有效期检测结果为不安全。其中,该目标时长可以根据对安全性的要求确定,例如可以为半年或一年。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在证书的剩余有效期小于目标时长时,可以确定该目标接口的证书的有效期的检测结果为中危。
可选地,该证书可以是HTTPS证书或者其他类型的证书。
综上所述,对证书的每项配置信息进行检测,得到相应的检测结果,因此该目标接口的第五检测结果包括每项配置信息对应的检测结果。
需要说明的是,上述方式4是对目标接口的HTTPS安全性方面的检测,在一个实施例中,上述方式5为对目标接口的HTTPS的证书的安全性检测的情况下,服务器先采用方式4进行检测,检测结果表明目标接口启用了HTTPS而未启用HTTP的情况下,再采用方式5进行检测。而采用方式4进行检测的检测结果表明目标接口未启用HTTPS的情况下,无需再采用方式5进行检测。
方式6、重放攻击检测:基于检测信息调用目标接口,得到第七反馈信息,获取第七反馈信息对应的第七特征值;基于检测信息再次调用目标接口,得到第八反馈信息,获取第八反馈信息对应的第八特征值;将第七特征值与第八特征值进行对比,得到目标接口的第六检测结果。
重放攻击技术是指攻击者发送一个目标主机已接收过的包,来达到欺骗目标主机的目的。重放攻击用于身份认证过程,或者用于与身份认证相关的目标接口调用过程。通过重放攻击可以破坏认证的准确性,重放攻击可以由请求发起者发起,也可以由网络中间的攻击者拦截并重发该数据来进行。
例如,当用户发起一个付款请求,请求中有付款参数,需要调用接口完成付款动作。攻击者拦截了该付款请求,向服务器重复发送该付款请求,如果服务器端用于付款的接口不具备防护重放攻击的能力,则可能会出现进行多次付款的情况,造成用户财产的损失。这种攻击行为就称为重放攻击,又称重播攻击、回放攻击。
对于不具备抵御重放攻击的能力的接口来说,不能识别重复发送的相同调用请求,也就是说,只要有合法的调用请求就可以重复调用该接口,存在重放攻击的风险,则该接口认为是不安全的。而如果该接口具备抵御重放攻击的能力,则在重复发送相同调用请求对目标接口进行重复调用时,会导致调用失败,则该接口认为是安全的。
因此,为了检测目标接口是否具备抵御重放攻击的能力,服务器首先基于检测信息调用目标接口,得到第七反馈信息,再基于同一检测信息调用目标接口,得到第八反馈信息,该第七反馈信息与该第八反馈信息是否相同,能够表示该目标接口是否具备抵御重放攻击的能力,因此,获取第七反馈信息对应的第七特征值和第八反馈信息对应的第八特征值,将这两个特征值进行对比,根据对比结果得到目标接口的第六检测结果。
可选地,响应于第七特征值与第八特征值一致,说明该目标接口不具备抵御重放攻击的能力,因此确定该目标接口的第六检测结果为不安全;响应于第七特征值与第八特征值不一致,说明该目标接口具备抵御重放攻击的能力,因此确定该目标接口的第六检测结果为安全。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口不具备抵御重放攻击的能力时,可以确定该目标接口的第六检测结果为高危。
方式7、限频能力检测:基于检测信息多次调用目标接口,接收目标接口的第九反馈信息;检测第九反馈信息中是否包括报警信息,得到目标接口的第七检测结果。
由于业务场景的不同,目标接口被访问的具体情况也有所不同,频繁调用接口本身也是一种攻击行为。若对于目标接口的无效调用频率过高,则会过度消耗接口资源,从而影响目标接口响应正常的调用请求。因此目标接口要具备限频能力来防御攻击者高频调用的攻击方式。被攻击的接口会出现被调用次数剧增或者调用频率与正常情况出现较大差异的情况,因此通过限制接口被访问的速度,进行访问限流等方式可以防护接口的安全,保证业务平稳持续服务。此外,当接口存在安全风险导致攻击者可以通过调用接口的方式获取服务端数据的时候,限频保护也可以有效地缓解数据泄露的风险。
因此,为了验证目标接口是否具备限频能力,服务器多次调用目标接口,得到目标接口的第九反馈信息,对第九反馈信息进行安全性检测,根据其是否包括报警信息,确定目标接口的第七检测结果。
可选地,根据第九反馈信息中是否包括报警信息,确定目标接口的第七检测结果,包括:在第九反馈信息中包括报警信息的情况下,则说明目标接口具备限频能力,因此确定该目标接口的第七检测结果为安全;在第九反馈信息中不包括报警信息的情况下,则说明目标接口不具备限频能力,因此确定该目标接口的第七检测结果为不安全。
可选地,服务器采用不同的频率多次调用目标接口,所采用的频率依次增大,则可以得到在不同频率下的第九反馈信息,检测得到的第九反馈信息中是否包括报警信息,开始出现报警信息的第九反馈信息对应的调用频率,能够反映目标接口的限频能力的强弱,因此在得到的第九反馈信息中不包括报警信息,或者在开始出现报警信息的第九反馈信息对应的调用频率大于目标频率的情况下,表示该目标接口的限频能力较弱,该目标接口是不安全的。而在开始出现报警信息的第九反馈信息对应的调用频率不大于目标频率的情况下,表示该目标接口的限频能力较强,该目标接口是安全的。其中,该目标频率可以根据对安全性的要求设置。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口不具备限频能力或者限频能力较弱时,可以确定该目标接口的第七检测结果为中危。
方式8、遍历攻击检测:基于接口信息、参数信息和第一认证信息调用目标接口,访问第一用户的数据,得到第十反馈信息,获取第十反馈信息对应的第十特征值,第一认证信息指示第一用户的访问权限;基于接口信息、参数信息和第二认证信息调用目标接口,访问第一用户的数据,得到第十一反馈信息,获取第十一反馈信息对应的第十一特征值,第二认证信息指示与第一用户不同的其他用户的访问权限;将第十特征值与第十一特征值进行对比,得到目标接口的第八检测结果。
遍历攻击是指攻击者利用一些特殊字符来绕过目标接口的安全限制,从而可以访问任意的文件内容,甚至可以访问目标接口的操作***文件来控制***的执行。
对于具备遍历攻击防护能力的接口来说,调用该接口时,该接口会对访问者的权限进行验证。如果验证通过才会允许该访问者访问其权限范围内的数据,而不允许该访问者访问超出其权限范围内的数据。而对于不具备遍历攻击防护能力的接口来说,调用该接口时,该接口不对访问者的权限进行验证,或者仅对访问者是否具有访问权限进行验证,而不会考虑访问者所访问的数据是否属于该访问者的权限范围,而这样的接口认为是不安全的接口。
因此,为了验证目标接口是否具备遍历攻击防护能力,服务器首先基于接口信息、参数信息和第一认证信息调用目标接口,访问第一用户的数据,得到第十反馈信息,再基于接口信息和参数信息和第二认证信息调用目标接口,访问第一用户的数据,得到第十一反馈信息,该第十反馈信息与该第十一反馈信息是否相同,能够表示该目标接口是否具备遍历攻击防护能力,因此,获取第十反馈信息对应的第十特征值和第十一反馈信息对应的第十一特征值,将这两个特征值进行对比,根据对比结果得到目标接口的第八检测结果。
可选地,响应于第十特征值与第十一特征值一致,说明该目标接口不具备遍历攻击防护能力,访问者是否越权访问其他用户的数据,对目标接口的反馈结果没有任何影响,因此确定该目标接口的第八检测结果为不安全;响应于第十特征值与第十一特征值不一致,说明该目标接口具备遍历攻击防护能力,调用该目标接口时需要具备访问权限才可以成功访问其权限范围内的数据,而不允许访问超出其权限范围的数据,因此确定该目标接口的第八检测结果为安全。
举例来说,检测过程包括如下步骤。
(1)使用访问者B的权限调用访问者B相关的数据内容,将返回数据进行 MD5计算得到数据的 HASH 值,这里称为 Mb。
(2)使用访问者A的权限调用访问者B相关的数据内容,将返回数据进行MD5计算得到数据的HASH值,这里称为Mab。
(3)将两次请求访问获取到的HASH值Mb和Mab进行对比,如果HASH 一致则说明接口可以被遍历攻击,使用访问者A的权限可以越权访问到B的数据内容,存在服务内遍历攻击的安全风险。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口不具备遍历攻击防护能力时,可以确定该目标接口的第八检测结果为高危。
本申请实施例仅是以上述方式8为例,对目标接口的遍历攻击的防护能力进行检测,而在另一实施例中,还可以采用其他的检测方式,例如,调用目标接口时,通过关键字符访问***敏感文件,如果访问成功,则表示该目标接口存在遍历攻击的风险,因此确定该目标接口的第八检测结果为不安全的。其中,该关键字符为用于访问***敏感文件的特殊字符,如'../'等跳转字符,该敏感文件可以为/etc/passwd等。
方式9、访问控制策略检测:采用第一IP地址,基于检测信息调用目标接口,得到第十二反馈信息,获取第十二反馈信息对应的第十二特征值;采用第二IP地址,基于检测信息调用目标接口,得到第十三反馈信息,并获取第十三反馈信息对应的第十三特征值;将第十二特征值与第十三特征值进行对比,得到目标接口的第九检测结果。
为保证目标接口调用的私密性,需要设置访问控制策略,利用该访问控制策略进行控制。其中,该访问控制策略中要求仅允许必要的IP地址访问目标接口。
对于具备访问控制策略防护能力的接口来说,调用该接口时,该接口会对访问者的IP地址进行验证。如果该访问者的IP地址具备访问权限,验证通过才会进行正常处理,验证不通过将会导致调用失败,这样的接口认为是安全的接口。而对于不具备访问控制策略防护能力的接口来说,调用该接口时,该接口不会对访问者的IP地址进行验证,则访问者的IP地址是否具有访问权限,将不会对调用结果产生影响,而这样的接口认为是不安全的接口。
因此,为了验证目标接口是否具备访问控制策略防护能力,服务器首先基于检测信息和第一IP地址调用目标接口,得到第十二反馈信息,再基于检测信息和第二IP地址调用目标接口,得到第十三反馈信息,该第十二反馈信息与该第十三反馈信息是否相同,能够表示该目标接口是否具备访问控制策略防护能力,因此,获取第十二反馈信息对应的第十二特征值和第十三反馈信息对应的第十三特征值,将这两个特征值进行对比,根据对比结果得到目标接口的第九检测结果。
其中,第一IP地址和第二IP地址中的其中一个IP地址是具备目标接口的访问权限的IP地址,而另一个IP地址是不具备访问权限的IP地址。例如,该第一IP地址为检测人员输入的、具有访问权限的IP地址,而第二IP地址为服务器选取的不具备访问权限的任一IP地址。
可选地,响应于第十二特征值与第十三特征值一致,说明该目标接口不具备访问控制策略防护能力,访问者的IP地址是否有访问权限对目标接口的反馈结果没有任何影响,因此确定该目标接口的第九检测结果为不安全;响应于第十二特征值与第十三特征值不一致,说明该目标接口具备访问控制策略防护能力,调用该目标接口时所用IP地址需要具备访问权限才可以成功调用,因此确定该目标接口的第九检测结果为安全。
举例来说,检测过程包括如下步骤。
(1)使用IP地址X正常访问API数据操作接口,对数据进行一次有效数据读取操作,获取到API返回的操作结果,将返回数据进行MD5计算得到数据的HASH值,这里称为Mx。
(2)使用IP地址Y再次正常访问API数据操作接口,对数据进行第二次有效的数据读取操作,获取到API接口返回的操作结果,将返回数据进行MD5 计算得到数据的HASH值,这里称为My。
(3)将两次请求访问获取到的HASH值Mx和My进行对比,如果HASH一致则说明接口没有网络层的访问控制策略防护,任意IP地址都可以调用接口操作数据,存在安全风险。如果HASH不一致或者第二次访问不成功则说明接口具备网络层的访问控制策略保护,具备较高的安全性。
例如,服务器针对不安全的检测结果,可以设置多种不同的等级,例如高危、中危、低危等,在确定该目标接口不具备访问控制策略防护能力时,可以确定该目标接口的第九检测结果为高危。
方式10、应用层攻击检测:基于接口信息和参数信息调用目标接口,得到第十四反馈信息,获取第十四反馈信息对应的第十四特征值;基于接口信息、参数信息和攻击载荷信息调用目标接口,得到第十五反馈信息,获取第十五反馈信息对应的第十五特征值,攻击载荷信息指示攻击目标接口;将第十四特征值与第十五特征值进行对比,得到目标接口的第十检测结果。
对于具备应用层攻击防护能力的接口来说,调用该接口时,该接口会对检测信息进行验证,如果该检测信息不包括攻击载荷信息,验证通过才会进行正常处理,验证不通过将会导致调用失败,这样的接口认为是安全的接口。而对于不具备应用层攻击防护能力的接口来说,调用该接口时,该接口不会对检测信息进行验证,则检测信息中是否包括攻击载荷信息,将不会对调用结果产生影响,而这样的接口认为是不安全的接口。
因此,为了验证目标接口是否具备应用层攻击防护能力,服务器首先基于检测信息调用目标接口,得到第十四反馈信息,再基于检测信息和攻击载荷信息调用目标接口,得到第十五反馈信息,该第十四反馈信息与该第十五反馈信息是否相同,能够表示该目标接口是否具备应用层攻击防护能力,因此,获取第十四反馈信息对应的第十四特征值和第十五反馈信息对应的第十五特征值,将这两个特征值进行对比,根据对比结果得到目标接口的第十检测结果。
可选地,响应于第十四特征值与第十五特征值一致,说明该目标接口不具备应用层攻击防护能力,检测信息中是否包括攻击载荷信息对目标接口的反馈结果没有任何影响,因此确定该目标接口的第十检测结果为不安全;响应于第十四特征值与第十五特征值不一致,说明该目标接口具备应用层攻击防护能力,因此确定该目标接口的第十检测结果为安全。
目标接口本身是WEB(World Wide Web,全球广域网)服务的一种,采用的通信协议也遵循HTTP协议要求,因此也可能存在WEB应用层漏洞。一个安全的接口,必须具备包括但不限于以下防御攻击的能力:SQL(Structured Query Language,具有数据操纵和数据定义等多种功能的数据库语言)注入攻击、XSS(跨站脚本攻击)、***命令注入攻击、漏洞扫描行为、网络爬虫行为、WEB服务器攻击、WEB应用攻击、后门连接行为和越权访问行为在内的9种攻击类型的防御能力。
可选地,攻击载荷信息为SQL注入攻击载荷、XSS攻击载荷、***命令注入攻击载荷、漏洞扫描行为载荷、网络爬虫行为载荷、WEB 服务器攻击载荷、WEB 应用攻击载荷、后门连接行为载荷以及越权访问行为载荷,或者其他应用攻击载荷。
举例来说,检测过程包括如下步骤。
(1)正常访问API数据操作接口,对数据进行一次有效数据读取操作,获取到API返回的操作结果,将返回数据进行MD5计算得到数据的HASH值,这里称为M0。
(2)在正常访问API的请求参数中携带WEB应用攻击载荷,对数据进行第二次有效数据读取操作,将访问接口的返回数据进行MD5计算得到数据的HASH值,这里称为Mk。
(3)将两次请求访问获取到的HASH值M0和Mk进行对比,如果HASH一致则说明API没有应用层攻击防护能力,存在安全风险。如果HASH不一致或者第二次访问不成功则说明API具备应用层攻击防护能力,具备较高的安全性。
需要说明的是,本申请实施例提供了上述10种检测方式,除此之外还可以包括其他检测方式,在此不再赘述。并且针对多种检测方式,可以并行地采用每种检测方式进行检测,或者仅选取其中的一种或几种检测方式进行检测。并且,本申请实施例对该多种检测方式之间的优先级不做限定,可以在采用某种检测方式进行检测之后,再采用其他的检测方式进行检测,也可以随机选取检测方式进行检测。
在一种可能实现方式中,该步骤304包括:基于检测信息调用目标接口,采用多种检测方式对目标接口进行安全性检测,得到多种检测方式分别对应的检测结果;将得到的多个检测结果进行汇总,得到目标接口的汇总检测结果。
可选地,上述检测结果可以采用等级来表示,因此可以得到多种检测方式分别对应的等级,此时将多种检测方式分别对应的等级进行统计,得到每种等级的出现次数,根据每种等级的出现次数,确定目标接口的等级。例如,将多种等级中,出现次数最多的等级,确定为目标接口最终的等级。
例如,等级分为严重、高危、中危和低危,其中各项检测结果对应的等级如下表1所示:
表1
序号 | 检测结果 | 等级 |
1 | 接口认证未开启 | 高危 |
2 | 存在账号密码弱口令 | 中危 |
3 | 存在API KEY弱口令 | 中危 |
4 | 存在敏感信息泄露 | 低危 |
5 | HTTPS未启用 | 高危 |
6 | 证书签名哈希算法不安全 | 中危 |
7 | TLS协议版本不安全 | 中危 |
8 | 加密算法不安全 | 高危 |
9 | HSTS未启用 | 中危 |
10 | 证书类型不安全 | 中危 |
11 | 证书有效时间不达标 | 中危 |
12 | 重放攻击防护能力未具备 | 高危 |
13 | 接口调用限频能力未具备 | 中危 |
14 | 服务内遍历攻击能力未具备 | 高危 |
15 | ***层遍历攻击能力未具备 | 严重 |
16 | 访问控制策略未具备 | 高危 |
17 | SQL注入攻击防护能力未具备 | 严重 |
18 | XSS攻击防护能力未具备 | 中危 |
19 | ***命令注入攻击防护能力未具备 | 严重 |
20 | 漏洞扫描行为防护能力未具备 | 低危 |
21 | 网络爬虫行为防护能力未具备 | 低危 |
22 | WEB服务器攻击防护能力未具备 | 中危 |
23 | WEB应用攻击防护能力未具备 | 中危 |
24 | 后门连接行为防护能力未具备 | 严重 |
25 | 越权访问行为防护能力未具备 | 高危 |
在采用每种检测方式对目标接口的安全性进行检测时,根据检测情况结合上表1可以确定每种检测方式下的检测结果,从而对多项检测结果进行汇总,得到最终的检测结果。例如,参见图7,在目标接口存在严重漏洞或者存在大于或等于2个高危风险的情况下,检测结果为严重,在目标接口存在高危漏洞或者存在大于或等于2个中危风险的情况下,检测结果为高危,在目标接口存在中危漏洞或者存在大于或等于2个低危风险的情况下,检测结果为中危,在目标接口仅存在低危风险的情况下,检测结果为低危,以及在目标接口未发现安全风险的情况下,检测结果为安全。
305、服务器向终端发送该检测结果。
可选地,基于上述步骤304中的可选方案,在服务器采用了多种检测方式,得到多项检测结果的情况下,向终端发送的检测结果不仅可以包括汇总检测结果,还可以包括每种检测方式对应的检测结果。
306、终端接收服务器发送的检测结果,在检测界面中显示检测结果。
可选地,基于上述步骤304中的可选方案,在服务器采用了多种检测方式,得到多项检测结果的情况下,终端可以接收到服务器发送的汇总检测结果和每种检测方式对应的检测结果,则终端先在检测界面中显示该汇总检测结果,以便技术人员直观地了解目标接口的安全性情况。
并且,该检测界面中还可以包括详情展示控件,如图6所示,该详情展示控件601用于触发展示目标接口的各项检测结果,那么技术人员可以触发该详情展示控件,终端响应于对检测界面中的详情展示控件的触发操作,显示多种检测方式分别对应的检测结果,这样技术人员就能查看每一项检测方式检测得到的检测结果,更加具体地了解目标接口在各方面的安全性情况。
另外,在图7的基础上,本申请实施例提供的多种检测方式可以按照顺序依次进行。以下提供了一种示例,具体包括以下步骤。
1、检测人员在检测界面内输入检测信息,之后点击确定控件。
2、终端向服务器发送检测请求,该检测请求携带该检测信息。
3、服务器使用检测信息调用目标接口,发起安全性检测。
4、首先,服务器进行认证开启检测,检测目标接口是否开启了认证功能,如果开启,本次检测结果为安全,进行下述步骤5的认证弱口令检测,如果未开启,本次检测结果为不安全,则无需再进行下述步骤5的认证弱口令检测,直接进行下述步骤6的敏感信息泄露检测。
5、服务器进行认证弱口令检测,检测目标接口是否要求认证信息必须与合法认证信息完全一致,如果是,本次检测结果为安全,如果否,本次检测结果为不安全,且无论本次检测结果安全与否,均进行下述步骤6的敏感信息泄露检测。
6、服务器进行敏感信息泄露检测,检测目标接口是否会泄露敏感信息,如果是,本次检测结果为不安全,如果否,本次检测结果为安全,且无论本次检测结果安全与否,均进行下述步骤7的HTTPS启用检测。
7、服务器进行HTTPS启用检测,检测目标接口是否启用了HTTPS而未启用HTTP,如果是,本次检测结果为安全,进行下述步骤8的HTTPS证书安全性检测;如果否,本次检测结果为不安全,不再进行下述步骤8的HTTPS证书安全性检测,直接进行下述步骤9的重放攻击检测。
8、服务器进行HTTPS证书安全性检测,检测目标接口的HTTPS证书是否满足要求,如果是,本次检测结果为安全,如果否,本次检测结果为不安全,且无论本次检测结果安全与否,均进行下述步骤9的重放攻击检测。
9、服务器进行重放攻击检测,检测目标接口是否具备抵御重放攻击的能力,如果是,本次检测结果为安全,如果否,本次检测结果为不安全,且无论本次检测结果安全与否,均进行下述步骤10的限频能力检测。
10、服务器进行限频能力检测,检测目标接口是否具备限频能力,如果是,本次检测结果为安全,如果否,本次检测结果为不安全,且无论本次检测结果安全与否,均进行下述步骤11的遍历攻击检测。
11、服务器进行遍历攻击检测,检测目标接口是否具备遍历攻击防护能力,如果是,本次检测结果为安全,如果否,本次检测结果为不安全,且无论本次检测结果安全与否,均进行下述步骤12的访问控制策略检测。
12、服务器进行访问控制策略检测,检测目标接口是否具备访问控制策略防护能力,如果是,本次检测结果为安全,如果否,本次检测结果为不安全,且无论本次检测结果安全与否,均进行下述步骤13的应用层攻击检测。
13、服务器进行应用层攻击检测,检测目标接口是否具备应用层攻击防护能力,如果是,本次检测结果为安全,如果否,本次检测结果为不安全。
至此,服务器按照优先级顺序完成了对目标接口的多项检测,得到了多项检测结果。
14、服务器对多项检测结果进行汇总,得到最终的汇总检测结果,将该汇总检测结果进行存储,并且,向终端发送该汇总结果,以供终端在检测界面中进行显示。
当然,除上述示例之外,上述10种检测方式还可以采用其他的优先级顺序进行。
另外,在上述图3所示实施例的基础上,服务器进行安全性检测得到检测结果之后,还需要将检测结果存储下来,以下实施例将对检测结果的存储进行介绍。
在本申请实施例中,服务器配置有第一数据库和第二数据库,其中一个数据库作为提供读写服务的主库,另一个数据库作为用于备份数据的备库。采用一个主库一个备库的方式进行保存,能够确保数据不会丢失。
首先,在第一数据库作为主库的情况下,将检测结果写入第一数据库中,将第一数据库中所存储的数据同步备份至第二数据库。
之后,在第一数据库出现故障的情况下,关闭第一数据库的读写服务,将第二数据库切换为提供读写服务的主库,中断第一数据库与第二数据库之间的数据同步备份。
本申请实施例中,在第一数据库作为主库对外提供读写服务的过程中,第一数据库出现故障,则该第一数据库无法再对外提供数据读写服务,该数据读写服务由第二数据库来承担,此时中断第一数据库和第二数据库之间的数据同步备份。换言之,第一数据库出现故障时,该第一数据库停止原本的读写服务,而该第一数据库原本的读写服务由第二数据库来承担,当然,在第二数据库承担数据读写服务时停止数据备份服务。
之后,在第一数据库已被修复正常的情况下,将第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
本申请实施例中,第一数据库的故障被修复之后,将第一数据库作为用于备份数据的备库,将第二数据库作为用于提供读写服务的主库,将第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
图8是本申请实施例提供的一种数据存储示意图。如图8所示,在正常工作时,A库为提供读写服务的主库,B库为进行数据备份的备库,即A库作为主库能够承载所有的数据读写工作,B库作为备库,能够从A库进行数据同步,将A库中所存储的数据备份至B库。当A库作为主库发生故障时,该A库无法对外提供数据读写服务,数据读写服务改为B库来承担,同时中断A库与B库之间的数据同步备份。当A库的故障修复时,此时A库和B库之间的身份发生交换,将B库切换为提供读写服务的主库,将A库切换为进行数据备份的备库,A库能够从B库进行数据同步。
另外,在服务器的运行过程中,会产生行为日志,该行为日志用于记录该服务器发生的行为。因此也需要对该行为日志进行存储。
可选地,服务器将行为日志存储到日志服务器中,同时在服务器本地还采用文本的方式存储一份行为日志。图9是本申请实施例提供的一种行为日志存储示意图。如图9所示,服务器获取到行为日志后,将行为日志存储至日志服务器,同时在本地以文本的方式存储一份。
其中,上述行为日志能够进行等级划分,如日志等级包括:ERROR(错误)、WARN(警告)、INFO(关键信息)、DEBUG(调试)等,上述日志等级详情信息如下述表2所示:
表2
等级 | 说明 |
ERROR | ERROR日志是最高级别错误记录,表明***发生了非常严重的故障,直接导致无法正常工作。ERROR 日志需要管理员重点关注,及时解决保障业务***正常运行。 |
WARN | WARN日志是低级别异常日志,表明***在运行过程中触发了异常过程,但不影响***的正常工作,下一阶段的业务流程能够正常执行。WARN日志需要管理员足够关注,通常表示***运行存在一定的风险,***可能出现运行故障。 |
INFO | INFO日志通常记录***关键信息,保留***正常工作期间关键运行数据,管理员在日常运维工作中也需要进行一定的关注。 |
DEBUG | DEBUG日志主要是各类详细***信息的记录,起到调试***的作用,包括参数详细信息,调试细节相关信息,运行返回信息等等其他各类信息。 |
可选的,上述行为日志用于***日常的故障排查以及状态记录,根据日志内容对行为日志进行分类,如下述表3所示,将行为日志划分为配置日志、监控日志、告警日志以及运行日志等。其中,表3表示如下:
表3
分类 | 说明 |
配置日志 | 记录用户新增,删除,修改配置的行为。 |
监控日志 | 记录监控模块每次探测目标站点证书有效性的操作行为。 |
告警日志 | 记录告警模块每次对外告警动作的行为。 |
运行日志 | 用于记录整个***后台运行过程中的行为。 |
可选的,日志服务器为区块链***,服务器生成行为日志,将行为日志上传至区块链***,以使区块链***中的区块链节点将行为日志封装为交易区块,对达成共识的交易区块进行记账处理;接收区块链***中的区块链节点返回的上链成功信息,根据上链成功信息,在本地数据库中存储行为日志在区块链***中的文件哈希;文件哈希用于指示行为日志在区块链***中的存储位置。换言之,服务器将行为日志作为交易数据上传至区块链***,区块链***中的区块链节点在接收到行为日志后,将行为日志封装为交易区块,并将交易区块发送给区块链***中的共识节点,共识节点对交易区块进行共识处理,当交易区块在区块链***中达成共识时,对达成共识的交易区块进行记账处理,交易区块在区块链***中上链成功后,向服务器返回针对行为日志的上链成功信息,该上链成功信息用于提示行为日志在区块链***中上链成功。该上链成功信息包括行为日志对应的文件哈希,服务器接收到上链成功信息后,在本地存储该文件哈希,后续需要查询行为日志时,根据该文件哈希在区块链***中获取上述行为日志。
需要说明的是,图3所示的实施例是以终端与服务器之间的交互为例进行说明,而在另一实施例中,本申请实施例提供的接口安全性检测方法还可以由计算机设备执行,检测人员在计算机设备的检测界面中输入检测信息,从而触发计算机设备对目标接口进行安全性检测,并在检测界面中显示检测结果。其中,该计算机设备进行检测的步骤与上述图3所示的实施例同理,在此不再赘述。
本申请实施例聚焦于目标接口的安全性检测,提供了一种对目标接口进行安全性检测的方法,只需在检测界面中输入检测信息,即可通过调用目标接口的方式,对目标接口进行安全性检测,显示检测结果,方便快捷,而不需要检测人员进行人工检测,提高了检测效率,且无需检测人员了解目标接口的内部结构和内部特性,降低了对检测人员的能力要求。
并且,本申请实施例提供了包括多种输入栏的检测界面,供检测人员直观快速地输入各项检测信息,方便了检测人员的操作,而且检测人员可以选择输入IP地址还是域名,灵活性更强。
并且,本申请实施例紧密贴合API的业务特性,专门针对API的业务特性进行安全性检测,例如,对API的HTTPS证书的安全检测,限频能力检测和应用层攻击防御能力检测等。而且本申请实施例是基于黑盒模式的检测,仅仅需要少量API信息即可对API的整体安全态势进行全面检测。可以在不考虑API的内部结构和内部特性的情况下,得到API安全性的检测结果,是一种低成本高效率的检测方法。且本申请实施例至少提供了8大类25小项的检测方式,保证了多项不同的检测能力能够集成于一套***中,通过多种检测方式的结合,保证了检测的准确性和权威性,避免了检测项目的遗漏,而且降低了检测人员的使用门槛,不具备相关技术能力的人员也可以直接使用该***来进行检测,增强了可操作性。
并且,在采用了多种检测方式的情况下,检测人员只需触发详情展示控件即可查看每种检测方式下得到的检测结果,了解目标接口更为详细的检测结果,增加了信息量。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
在上述实施例的基础上,本申请实施例还提供了一种计算机设备的结构,图10为本申请实施例提供的一种计算机设备的结构示意图,参见图10,该计算机设备包括:前端模块、多个检测模块、检测结果汇总模块、存储模块和日志模块。
其中,前端模块,用于接受检测人员需要进行检测的目标接口相关的信息,主要有IP地址,端口号,域名,参数和认证Cookie等。因此该前端模块能够显示检测界面,供检测人员在检测界面中输入检测信息;多个检测模块用于基于检测信息对目标接口进行安全性检测,不同的检测模块所用的检测方式不同,因此每个检测模块均可得到一项检测结果;检测结果汇总模块,用于对得到的多项检测结果进行汇总,将汇总后的检测结果发送给前端模块,由前端模块显示汇总后的检测结果。
具体来说,该多个检测模块包括以下多个模块。
认证安全性检测模块,能够采用上述实施例中的方式1和方式2进行检测,完成对接口认证相关的安全性检测,包括是否开启接口认证的检测和接口认证弱口令的检测,接口认证弱口令的检测分为账号密码弱口令安全检测和API KEY弱口令检测。
敏感信息泄露检测模块,能够采用上述实施例中的方式3进行检测,完成对接口敏感信息泄露相关的安全性检测,包括认证报错敏感信息泄露检测,参数处理报错敏感信息泄露检测和代码注释敏感信息泄露检测。
HTTPS安全性检测模块,能够采用上述实施例中的方式4和方式5进行检测,包含有是否开启HTTTS的检测和HTTPS证书的安全性检测,是否开启HTTPS的安全检测要求目标接口有且仅有HTTPS接口对外提供服务。HTTPS证书安全性检测包含有:证书签名哈希算法安全性检测,TLS协议版本安全性检测,加密算法安全性检测,HSTS启用安全性检测,证书类型安全性检测和证书有效时间安全性检测,总共6类HTTPS证书的安全性检测。
重放攻击检测模块,能够采用上述实施例中的方式6进行检测,对目标接口的防重放攻击能力进行检测,保证目标接口具备防重放攻击的能力。
限频能力检测模块,能够采用上述实施例中的方式7进行检测,对目标接口是否具备调用限频能力进行安全检测,保证目标接口具备调用限频能力,以确保服务的可持续性。
遍历攻击检测模块,能够采用上述实施例中的方式8进行检测,对目标接口的遍历攻击防护能力进行安全性检测,遍历攻击防护能力又分为服务内遍历攻击防护能力检测和***层遍历攻击防护能力检测,通过这两类遍历攻击防护能力的检测来保证目标接口具备防护遍历攻击的能力。
访问控制策略检测模块,能够采用上述实施例中的方式9进行检测,用于检测目标接口是否具备网络层访问控制策略来保护目标接口不被非法调用,从而确保目标接口没有暴露给任意IP的攻击者。
应用层攻击检测模块,能够采用上述实施例中的方式10进行检测,检测的是目标接口是否具备类防护应用层攻击的能力,应用层攻击防护能力检测分为9大类:SQL注入攻击防护能力检测,XSS攻击防护能力检测,***命令注入攻击防护能力检测,漏洞扫描行为防护能力检测,网络爬虫行为防护能力检测,WEB服务器攻击防护能力检测,WEB应用攻击防护能力检测,后门连接行为防护能力检测和越权访问行为防护能力检测。
另外,存储模块用于存储检测结果,以及运行过程中的作业数据,而日志模块用于记录计算机设备运行过程中的行为日志。
图11是本申请实施例提供的一种接口安全性检测装置的结构示意图。参见图11,该装置包括:
显示模块1101,用于显示检测界面,检测界面用于触发对任一接口进行安全性检测;
信息获取模块1102,用于获取在检测界面中输入的检测信息,检测信息至少包括接口信息和参数信息,接口信息指示待检测的目标接口,参数信息包括调用目标接口所需的参数;
检测模块1103,用于基于检测信息调用目标接口,对目标接口进行安全性检测,得到检测结果;
显示模块1101,还用于在检测界面中显示检测结果。
本申请实施例提供的装置,为检测人员提供了输入检测信息的检测界面,该检测界面用于触发对目标接口的安全性检测,当检测人员在检测界面内输入完检测信息后,即可对目标接口进行安全性检测,从而在检测界面中显示最终的检测结果,方便快捷,降低了对检测人员的技术能力要求。
可选地,信息获取模块1102,包括:
检测界面包括IP地址输入栏,第一获取单元,用于获取在IP地址输入栏中输入的IP地址;或者,
检测界面包括域名输入栏,第二获取单元,用于获取在域名输入栏中输入的域名,对域名进行解析,得到域名对应的IP地址;或者,
检测界面包括IP地址输入栏和域名输入栏,第三获取单元,用于获取在IP地址输入栏中输入的IP地址,以及在域名输入栏中输入的域名,将IP地址和域名进行绑定;
其中,IP地址指示待检测的目标接口。
可选地,检测信息还包括认证信息,检测模块1103包括第一检测单元,第一检测单元用于:
基于接口信息、参数信息和认证信息调用目标接口,得到第一反馈信息,获取第一反馈信息对应的第一特征值;
基于接口信息和参数信息调用目标接口,得到第二反馈信息,获取第二反馈信息对应的第二特征值;
将第一特征值与第二特征值进行对比,得到目标接口的第一检测结果。
可选地,检测信息还包括认证信息,检测模块1103包括第二检测单元,第二检测单元用于:
基于接口信息、参数信息和认证信息调用目标接口,得到第三反馈信息,获取第三反馈信息对应的第三特征值;
基于接口信息、参数信息和从多个备选认证信息中选取的任一个认证信息调用目标接口,得到第四反馈信息,获取第四反馈信息对应的第四特征值;
将第三特征值与第四特征值进行对比,得到目标接口的第二检测结果。
可选地,检测模块1103包括第三检测单元,第三检测单元用于:
基于检测信息调用目标接口,接收目标接口返回的报警信息;
对报警信息进行敏感信息检测,得到目标接口的第三检测结果。
可选地,检测模块1103包括第四检测单元,第四检测单元用于:
基于检测信息采用HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议),生成对目标接口的第一调用请求,基于第一调用请求调用目标接口,得到第五反馈信息;
基于检测信息采用HTTP(Hyper Text Transfer Protocol,超文本传输协议),生成对目标接口的第二调用请求,基于第二调用请求调用目标接口,得到第六反馈信息;
基于第五反馈信息和第六反馈信息,检测目标接口是否启用了HTTPS或HTTP,得到目标接口的第四检测结果。
可选地,检测模块1103包括第五检测单元,第五检测单元用于:
基于检测信息调用目标接口,获取目标接口的证书中包含的至少一项配置信息;
对至少一项配置信息进行安全性检测,得到目标接口的第五检测结果。
可选地,检测模块1103包括第六检测单元,第六检测单元用于:
基于检测信息调用目标接口,得到第七反馈信息,获取第七反馈信息对应的第七特征值;
基于检测信息再次调用目标接口,得到第八反馈信息,获取第八反馈信息对应的第八特征值;
将第七特征值与第八特征值进行对比,得到目标接口的第六检测结果。
可选地,检测模块1103包括第七检测单元,第七检测单元用于:
基于检测信息多次调用目标接口,接收目标接口的第九反馈信息;
检测第九反馈信息中是否包括报警信息,得到目标接口的第七检测结果。
可选地,检测模块1103包括第八检测单元,第八检测单元用于:
基于接口信息、参数信息和第一认证信息调用目标接口,访问第一用户的数据,得到第十反馈信息,获取第十反馈信息对应的第十特征值,第一认证信息指示第一用户的访问权限;
基于接口信息、参数信息和第二认证信息调用目标接口,访问第一用户的数据,得到第十一反馈信息,获取第十一反馈信息对应的第十一特征值,第二认证信息指示与第一用户不同的其他用户的访问权限;
将第十特征值与第十一特征值进行对比,得到目标接口的第八检测结果。
可选地,检测模块1103包括第九检测单元,第九检测单元用于:
采用第一IP地址,基于检测信息调用目标接口,得到第十二反馈信息,获取第十二反馈信息对应的第十二特征值;
采用第二IP地址,基于检测信息调用目标接口,得到第十三反馈信息,并获取第十三反馈信息对应的第十三特征值;
将第十二特征值与第十三特征值进行对比,得到目标接口的第九检测结果。
可选地,检测模块1103包括第十检测单元,第十检测单元用于:
基于接口信息和参数信息调用目标接口,得到第十四反馈信息,获取第十四反馈信息对应的第十四特征值;
基于接口信息、参数信息和攻击载荷信息调用目标接口,得到第十五反馈信息,获取第十五反馈信息对应的第十五特征值,攻击载荷信息指示攻击目标接口;
将第十四特征值与第十五特征值进行对比,得到目标接口的第十检测结果。
可选地,检测模块1103包括汇总检测单元,汇总检测单元用于:
基于检测信息调用目标接口,采用多种检测方式对目标接口进行安全性检测,得到多种检测方式分别对应的检测结果;
将得到的多个检测结果进行汇总,得到目标接口的汇总检测结果。
可选地,检测结果采用等级表示,汇总检测单元用于:
将多种检测方式分别对应的等级进行统计,得到每种等级的出现次数,根据每种等级的出现次数,确定目标接口的等级。
可选地,显示模块1101,用于:
在检测界面中显示汇总检测结果;
响应于对检测界面中的详情展示控件的触发操作,显示多种检测方式分别对应的检测结果。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的接口安全性检测装置在对目标接口进行安全性检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的接口安全性检测装置与接口安全性检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本申请实施例还提供了一种计算机设备,该计算机设备包括处理器和存储器,存储器中存储有至少一条计算机程序,该至少一条计算机程序由处理器加载并执行,以实现上述实施例的接口安全性检测方法中所执行的操作。
可选地,该计算机设备提供为终端。图12是本申请实施例提供的一种终端1200的结构示意图。该终端1200可以是便携式移动终端,比如:智能手机、平板电脑、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端1200还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
终端1200包括有:处理器1201和存储器1202。
处理器1201可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器1201可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1201也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1201可以集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。在一些实施例中,处理器1201还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1202可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1202还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1202中的非暂态的计算机可读存储介质用于存储至少一条计算机程序,该至少一条计算机程序用于被处理器1201所执行以实现本申请中方法实施例提供的接口安全性检测方法。
在一些实施例中,终端1200还可选包括有:***设备接口1203和至少一个***设备。处理器1201、存储器1202和***设备接口1203之间可以通过总线或信号线相连。各个***设备可以通过总线、信号线或电路板与***设备接口1203相连。具体地,***设备包括:射频电路1204、显示屏1205、摄像头组件1206、音频电路1207、定位组件1208和电源1209中的至少一种。
***设备接口1203可被用于将I/O(Input/Output,输入/输出)相关的至少一个***设备连接到处理器1201和存储器1202。在一些实施例中,处理器1201、存储器1202和***设备接口1203被集成在同一芯片或电路板上;在一些其他实施例中,处理器1201、存储器1202和***设备接口1203中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路1204用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路1204通过电磁信号与通信网络以及其他通信设备进行通信。射频电路1204将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路1204包括:天线***、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路1204可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:万维网、城域网、内联网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路1204还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏1205用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏1205是触摸显示屏时,显示屏1205还具有采集在显示屏1205的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器1201进行处理。此时,显示屏1205还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏1205可以为一个,设置在终端1200的前面板;在另一些实施例中,显示屏1205可以为至少两个,分别设置在终端1200的不同表面或呈折叠设计;在另一些实施例中,显示屏1205可以是柔性显示屏,设置在终端1200的弯曲表面上或折叠面上。甚至,显示屏1205还可以设置成非矩形的不规则图形,也即异形屏。显示屏1205可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-EmittingDiode,有机发光二极管)等材质制备。
摄像头组件1206用于采集图像或视频。可选地,摄像头组件1206包括前置摄像头和后置摄像头。前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件1206还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路1207可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器1201进行处理,或者输入至射频电路1204以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端1200的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器1201或射频电路1204的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路1207还可以包括耳机插孔。
定位组件1208用于定位终端1200的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件1208可以是基于美国的GPS(GlobalPositioning System,全球定位***)、中国的北斗***、俄罗斯的格雷纳斯定位***或欧盟的伽利略定位***的定位组件。
电源1209用于为终端1200中的各个组件进行供电。电源1209可以是交流电、直流电、一次性电池或可充电电池。当电源1209包括可充电电池时,该可充电电池可以是有线充电电池或无线充电电池。有线充电电池是通过有线线路充电的电池,无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。
在一些实施例中,终端1200还包括有一个或多个传感器1210。该一个或多个传感器1210包括但不限于:加速度传感器1211、陀螺仪传感器1212、压力传感器1213、指纹传感器1214、光学传感器1215以及接近传感器1216。
加速度传感器1211可以检测以终端1200建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器1211可以用于检测重力加速度在三个坐标轴上的分量。处理器1201可以根据加速度传感器1211采集的重力加速度信号,控制显示屏1205以横向视图或纵向视图进行用户界面的显示。加速度传感器1211还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器1212可以检测终端1200的机体方向及转动角度,陀螺仪传感器1212可以与加速度传感器1211协同采集用户对终端1200的3D动作。处理器1201根据陀螺仪传感器1212采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器1213可以设置在终端1200的侧边框和/或显示屏1205的下层。当压力传感器1213设置在终端1200的侧边框时,可以检测用户对终端1200的握持信号,由处理器1201根据压力传感器1213采集的握持信号进行左右手识别或快捷操作。当压力传感器1213设置在显示屏1205的下层时,由处理器1201根据用户对显示屏1205的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器1214用于采集用户的指纹,由处理器1201根据指纹传感器1214采集到的指纹识别用户的身份,或者,由指纹传感器1214根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器1201授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器1214可以被设置在终端1200的正面、背面或侧面。当终端1200上设置有物理按键或厂商Logo时,指纹传感器1214可以与物理按键或厂商Logo集成在一起。
光学传感器1215用于采集环境光强度。在一个实施例中,处理器1201可以根据光学传感器1215采集的环境光强度,控制显示屏1205的显示亮度。具体地,当环境光强度较高时,调高显示屏1205的显示亮度;当环境光强度较低时,调低显示屏1205的显示亮度。在另一个实施例中,处理器1201还可以根据光学传感器1215采集的环境光强度,动态调整摄像头组件1206的拍摄参数。
接近传感器1216,也称距离传感器,设置在终端1200的前面板。接近传感器1216用于采集用户与终端1200的正面之间的距离。在一个实施例中,当接近传感器1216检测到用户与终端1200的正面之间的距离逐渐变小时,由处理器1201控制显示屏1205从亮屏状态切换为息屏状态;当接近传感器1216检测到用户与终端1200的正面之间的距离逐渐变大时,由处理器1201控制显示屏1205从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图12中示出的结构并不构成对终端1200的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
可选地,该计算机设备提供为服务器。图13是本申请实施例提供的一种服务器的结构示意图,该服务器1300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(Central Processing Units,CPU)1301和一个或一个以上的存储器1302,其中,存储器1302中存储有至少一条计算机程序,该至少一条计算机程序由处理器1301加载并执行以实现上述各个方法实施例提供的方法。当然,该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条计算机程序,该至少一条计算机程序由处理器加载并执行,以实现上述实施例的接口安全性检测方法中所执行的操作。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机程序代码,该计算机程序代码存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序代码,处理器执行该计算机程序代码,使得计算机设备实现上述实施例的接口安全性检测方法中所执行的操作。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本申请实施例的可选实施例,并不用以限制本申请实施例,凡在本申请实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (15)
1.一种接口安全性检测方法,其特征在于,所述方法包括:
显示检测界面,所述检测界面用于触发对任一接口进行安全性检测;
获取在所述检测界面中输入的检测信息,所述检测信息至少包括接口信息和参数信息,所述接口信息指示待检测的目标接口,所述参数信息包括调用所述目标接口所需的参数;
基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果;
在所述检测界面中显示所述检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取在所述检测界面中输入的检测信息,包括:
所述检测界面包括网络协议IP地址输入栏,获取在所述IP地址输入栏中输入的IP地址;或者,
所述检测界面包括域名输入栏,获取在所述域名输入栏中输入的域名,对所述域名进行解析,得到所述域名对应的IP地址;或者,
所述检测界面包括IP地址输入栏和域名输入栏,获取在所述IP地址输入栏中输入的IP地址,以及在所述域名输入栏中输入的域名,将所述IP地址和所述域名进行绑定;
其中,所述IP地址指示待检测的所述目标接口。
3.根据权利要求1所述的方法,其特征在于,所述检测信息还包括认证信息,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述接口信息、所述参数信息和所述认证信息调用所述目标接口,得到第一反馈信息,获取所述第一反馈信息对应的第一特征值;
基于所述接口信息和所述参数信息调用所述目标接口,得到第二反馈信息,获取所述第二反馈信息对应的第二特征值;
将所述第一特征值与所述第二特征值进行对比,得到所述目标接口的第一检测结果。
4.根据权利要求1所述的方法,其特征在于,所述检测信息还包括认证信息,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述接口信息、所述参数信息和所述认证信息调用所述目标接口,得到第三反馈信息,获取所述第三反馈信息对应的第三特征值;
基于所述接口信息、所述参数信息和从多个备选认证信息中选取的任一个认证信息调用所述目标接口,得到第四反馈信息,获取所述第四反馈信息对应的第四特征值;
将所述第三特征值与所述第四特征值进行对比,得到所述目标接口的第二检测结果。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述检测信息调用所述目标接口,接收所述目标接口返回的报警信息;
对所述报警信息进行敏感信息检测,得到所述目标接口的第三检测结果。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述检测信息采用超文本传输安全协议HTTPS,生成对所述目标接口的第一调用请求,基于所述第一调用请求调用所述目标接口,得到第五反馈信息;
基于所述检测信息采用超文本传输协议HTTP,生成对所述目标接口的第二调用请求,基于所述第二调用请求调用所述目标接口,得到第六反馈信息;
基于所述第五反馈信息和所述第六反馈信息,检测所述目标接口是否启用了HTTPS或HTTP,得到所述目标接口的第四检测结果。
7.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述检测信息调用所述目标接口,获取所述目标接口的证书中包含的至少一项配置信息;
对所述至少一项配置信息进行安全性检测,得到所述目标接口的第五检测结果。
8.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述检测信息调用所述目标接口,得到第七反馈信息,获取所述第七反馈信息对应的第七特征值;
基于所述检测信息再次调用所述目标接口,得到第八反馈信息,获取所述第八反馈信息对应的第八特征值;
将所述第七特征值与所述第八特征值进行对比,得到所述目标接口的第六检测结果。
9.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述检测信息多次调用所述目标接口,接收所述目标接口的第九反馈信息;
检测所述第九反馈信息中是否包括报警信息,得到所述目标接口的第七检测结果。
10.根据权利要求1-4任一项所述的方法,其特征在于,所述基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果,包括:
基于所述检测信息调用所述目标接口,采用多种检测方式对所述目标接口进行安全性检测,得到所述多种检测方式分别对应的检测结果;
将得到的多个检测结果进行汇总,得到所述目标接口的汇总检测结果。
11.根据权利要求10所述的方法,其特征在于,所述检测结果采用等级表示,所述将得到的多个检测结果进行汇总,得到所述目标接口的汇总检测结果,包括:
将所述多种检测方式分别对应的等级进行统计,得到每种等级的出现次数,根据所述每种等级的出现次数,确定所述目标接口的等级。
12.根据权利要求10所述的方法,其特征在于,所述在所述检测界面中显示所述检测结果,包括:
在所述检测界面中显示所述汇总检测结果;
响应于对所述检测界面中的详情展示控件的触发操作,显示所述多种检测方式分别对应的检测结果。
13.一种接口安全性检测装置,其特征在于,所述装置包括:
显示模块,用于显示检测界面,所述检测界面用于触发对任一接口进行安全性检测;
信息获取模块,用于获取在所述检测界面中输入的检测信息,所述检测信息至少包括接口信息和参数信息,所述接口信息指示待检测的目标接口,所述参数信息包括调用所述目标接口所需的参数;
检测模块,用于基于所述检测信息调用所述目标接口,对所述目标接口进行安全性检测,得到检测结果;
所述显示模块,还用于在所述检测界面中显示所述检测结果。
14.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现如权利要求1至12任一权利要求所述的接口安全性检测方法中所执行的操作。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行,以实现如权利要求1至12任一权利要求所述的接口安全性检测方法中所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110940851.4A CN113392410B (zh) | 2021-08-17 | 2021-08-17 | 接口安全性检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110940851.4A CN113392410B (zh) | 2021-08-17 | 2021-08-17 | 接口安全性检测方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113392410A true CN113392410A (zh) | 2021-09-14 |
CN113392410B CN113392410B (zh) | 2022-02-11 |
Family
ID=77622799
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110940851.4A Active CN113392410B (zh) | 2021-08-17 | 2021-08-17 | 接口安全性检测方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113392410B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697273A (zh) * | 2022-03-29 | 2022-07-01 | 杭州安恒信息技术股份有限公司 | 流量识别方法、装置、计算机设备和存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111047309A (zh) * | 2019-12-18 | 2020-04-21 | 北京三快在线科技有限公司 | 安全合规性检测方法、装置、计算机设备及存储介质 |
CN111262887A (zh) * | 2020-04-26 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 基于对象特征的网络风险检测方法、装置、设备及介质 |
CN111756697A (zh) * | 2020-05-27 | 2020-10-09 | 杭州数梦工场科技有限公司 | Api安全检测方法、装置、存储介质及计算机设备 |
CN112231711A (zh) * | 2020-10-20 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 一种漏洞检测方法、装置、计算机设备及存储介质 |
CN112541181A (zh) * | 2020-12-22 | 2021-03-23 | 建信金融科技有限责任公司 | 一种检测服务器安全性的方法和装置 |
CN113014587A (zh) * | 2021-03-05 | 2021-06-22 | 南京领行科技股份有限公司 | 一种api检测方法、装置、电子设备及存储介质 |
CN113065165A (zh) * | 2021-03-03 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 证书安全性检测方法、装置和存储介质 |
-
2021
- 2021-08-17 CN CN202110940851.4A patent/CN113392410B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111047309A (zh) * | 2019-12-18 | 2020-04-21 | 北京三快在线科技有限公司 | 安全合规性检测方法、装置、计算机设备及存储介质 |
CN111262887A (zh) * | 2020-04-26 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 基于对象特征的网络风险检测方法、装置、设备及介质 |
CN111756697A (zh) * | 2020-05-27 | 2020-10-09 | 杭州数梦工场科技有限公司 | Api安全检测方法、装置、存储介质及计算机设备 |
CN112231711A (zh) * | 2020-10-20 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 一种漏洞检测方法、装置、计算机设备及存储介质 |
CN112541181A (zh) * | 2020-12-22 | 2021-03-23 | 建信金融科技有限责任公司 | 一种检测服务器安全性的方法和装置 |
CN113065165A (zh) * | 2021-03-03 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 证书安全性检测方法、装置和存储介质 |
CN113014587A (zh) * | 2021-03-05 | 2021-06-22 | 南京领行科技股份有限公司 | 一种api检测方法、装置、电子设备及存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697273A (zh) * | 2022-03-29 | 2022-07-01 | 杭州安恒信息技术股份有限公司 | 流量识别方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113392410B (zh) | 2022-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10796009B2 (en) | Security engine for a secure operating environment | |
US10375116B2 (en) | System and method to provide server control for access to mobile client data | |
Mylonas et al. | Smartphone sensor data as digital evidence | |
CN110245144B (zh) | 协议数据管理方法、装置、存储介质及*** | |
US9015845B2 (en) | Transit control for data | |
CN101529366B (zh) | 可信用户界面对象的标识和可视化 | |
WO2021169382A1 (zh) | 链接检测方法、装置、电子设备及存储介质 | |
CN111460516B (zh) | 基于非侵入式的数据保护方法、装置、终端及存储介质 | |
Schmidt | Detection of smartphone malware | |
WO2021051591A1 (zh) | 安全键盘实现方法、装置、计算机设备及存储介质 | |
CN105868625B (zh) | 一种拦截文件被重启删除的方法及装置 | |
CN108537040B (zh) | 电信诈骗木马程序拦截方法、装置、终端及存储介质 | |
CN114598541A (zh) | 一种安全评估方法及装置、电子设备和可读存储介质 | |
CN109995789B (zh) | Rpc接口的风险检测方法、装置、设备及介质 | |
CN113392410B (zh) | 接口安全性检测方法、装置、计算机设备及存储介质 | |
CN108694329B (zh) | 一种基于软硬件结合的移动智能终端安全事件可信记录***及方法 | |
CN113821841B (zh) | 资源管理方法、计算装置、计算设备和可读存储介质 | |
CN115329309A (zh) | 验证方法、装置、电子设备及存储介质 | |
US11392692B2 (en) | Authentication device | |
Prakash et al. | Cloud and Edge Computing-Based Computer Forensics: Challenges and Open Problems. Electronics 2021, 10, 1229 | |
Lima et al. | An Introduction to Mobile Device Security | |
CN115203713A (zh) | 终端设备的入网合规性检测方法、装置、设备及介质 | |
Kadir et al. | Understanding Cybersecurity on Smartphones | |
CN116954693A (zh) | 状态协同方法、装置、计算机设备及存储介质 | |
WO2022269398A1 (en) | Detecting data leakage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40052350 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |