CN113779585B - 越权漏洞检测方法和装置 - Google Patents

越权漏洞检测方法和装置 Download PDF

Info

Publication number
CN113779585B
CN113779585B CN202110003407.XA CN202110003407A CN113779585B CN 113779585 B CN113779585 B CN 113779585B CN 202110003407 A CN202110003407 A CN 202110003407A CN 113779585 B CN113779585 B CN 113779585B
Authority
CN
China
Prior art keywords
access
access request
database
information
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110003407.XA
Other languages
English (en)
Other versions
CN113779585A (zh
Inventor
王伟
张超
司琛芝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Original Assignee
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingdong Century Trading Co Ltd, Beijing Wodong Tianjun Information Technology Co Ltd filed Critical Beijing Jingdong Century Trading Co Ltd
Priority to CN202110003407.XA priority Critical patent/CN113779585B/zh
Publication of CN113779585A publication Critical patent/CN113779585A/zh
Priority to PCT/CN2021/137814 priority patent/WO2022143145A1/zh
Application granted granted Critical
Publication of CN113779585B publication Critical patent/CN113779585B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开提出一种越权漏洞检测方法和装置,涉及网络安全领域。该方法包括:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。在web应用访问过程中,自动捕获和收集相关的访问信息,根据访问信息是否包括敏感信息和访问过程是否与合规模型匹配的判定结果,确定web应用访问过程是否存在越权漏洞,从而实现一种能够自动检测的通用性好的越权漏洞检测方案。

Description

越权漏洞检测方法和装置
技术领域
本公开涉及网络安全领域,特别涉及一种越权漏洞检测方法和装置。
背景技术
越权漏洞的发生,一般是对数据或者资源的使用超出用户权限造成的。
在一些相关技术中,通过人工审查代码的方式检测越权漏洞。但是人工检测效率低,而且受检测人员业务水平的限制。
在另一些相关技术中,通过模拟低权限用户(如普通用户)是否能访问高权限用户(如管理员)的URL(Uniform Resource Locator,统一资源***)检测越权漏洞。需要预设不同权限的用户和不同的URL,并且需要针对请求返回结果进行针对性对比,通用性差。
在另一些相关技术中,收集所有可访问的页面集以及访问受限的页面集,然后对这些页面进行模拟访问,通过比对模拟访问的结果与这些页面的实际访问权限检测越权漏洞。需要先对页面地址进行分类,并逐一的进行模拟访问,工作量大,通用性差。
发明内容
本公开实施例的目的是提出一种能够自动检测的通用性好的越权漏洞检测方案。
本公开实施例提出一种越权漏洞检测方法,包括:
捕获web应用的访问请求;
收集所述访问请求涉及的数据库访问信息;
捕获所述访问请求相应的访问响应;
判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;
判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;
根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
在一些实施例中,捕获web应用的访问请求包括:
获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址。
在一些实施例中,收集所述访问请求涉及的数据库访问信息包括:
基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情;
基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后***数据库元数据信息查询命令。
在一些实施例中,捕获所述访问请求相应的访问响应包括:
通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应;
获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
在一些实施例中,判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息包括:
将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联;
将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息。
在一些实施例中,判断所述访问请求的数据访问过程是否与预设的合规模型匹配包括:
判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数;
如果均符合,判定匹配,如果任意一项不符合,判定不匹配。
在一些实施例中,根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞包括:
如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞;
如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞;
如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
在一些实施例中,通过hookMethod方法的insertAfter操作修改数据库连接函数。
在一些实施例中,由设置于web应用***的代理执行:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;由越权漏洞检测的检测器执行:判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
本公开一些实施例提出一种越权漏洞检测装置,包括:
设置于web应用***的代理,被配置为捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;
越权漏洞检测的检测器,被配置为判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
在一些实施例中,所述代理被配置为:
获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址;
或者,基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情,基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后***数据库元数据信息查询命令;
或者,通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应,获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
在一些实施例中,所述检测器被配置为:
将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联,将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息;
或者,判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数,如果均符合,判定匹配,如果任意一项不符合,判定不匹配;
或者,如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞,如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞,如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
本公开一些实施例提出一种越权漏洞检测装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行任一个实施例所述的越权漏洞检测方法。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现任一个实施例所述的越权漏洞检测方法的步骤。
本公开实施例在web应用访问过程中,自动捕获和收集相关的访问信息,根据访问信息是否包括敏感信息和访问过程是否与合规模型匹配的判定结果,确定web应用访问过程是否存在越权漏洞,从而实现一种能够自动检测的通用性好的越权漏洞检测方案。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开。
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一些实施例的越权漏洞检测的部署方案示意图。
图2示出本公开一些实施例的越权漏洞检测方法的流程示意图。
图3为本公开一些实施例的越权漏洞检测装置的结构示意图。
图4为本公开另一些实施例的越权漏洞检测装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
除非特别说明,否则,本公开中的“第一”“第二”等描述用来区分不同的对象,并不用来表示大小或时序等含义。
图1示出本公开一些实施例的越权漏洞检测的部署方案示意图。
如图1所示,web(World Wide Web,全球广域网,也称为万维网)应用***中有可供用户访问的web应用。web应用***在用户访问web应用的过程中,通过IAM(Identity andAccess Management,身份识别与访问管理)对用户进行身份识别和访问鉴权,鉴权通过后,通过数据库提供相应的数据或资源等。在web应用***中部署代理,在web应用***外部署越权漏洞检测的检测器。代理中设置了hook(钩子)函数。代理利用hook函数,在用户访问***中的web应用的过程中,自动捕获(hook)和收集相关的访问信息,并转发给检测器。检测器根据访问信息是否包括敏感信息和访问过程是否与合规模型匹配的判定结果,确定web应用访问过程是否存在越权漏洞。从而实现一种能够自动检测的通用性好的越权漏洞检测方案。此外,还可以设置控制台,管理员通过控制台对越权漏洞检测任务进行控制,例如,设置并发检测的访问用户数量,设置对特定应用进行越权漏洞检测等。管理员通过控制台还可以查看越权漏洞检测结果。
图2示出本公开一些实施例的越权漏洞检测方法的流程示意图。
如图2所示,该越权漏洞检测方法包括:步骤210-260。该越权漏洞检测方法例如由越权漏洞检测装置执行,其中,步骤210-230可由设置于web应用***的代理执行,步骤240-260可由越权漏洞检测的检测器执行。
在步骤210,捕获web应用的访问请求。
代理通过hook函数,获取访问请求的对象,基于访问请求的对象创建访问请求的实例,访问请求的实例的地址设置为越权漏洞检测的检测器的地址,以便将访问请求的实例转发给检测器。
访问请求的相关方法一般放在指定目录下,如org/apache/catalina/。hook函数从该目录下获取访问请求的相关方法,如onInputStreamRead,ApplicationFilterChain等。
在步骤220,收集访问请求涉及的数据库访问信息。
代理基于hook技术记录访问请求涉及的数据库操作命令详情、代码执行上下文(调用者,调用参数等)和返回值详情等数据库访问信息,基于修改的数据库连接函数记录数据库元数据信息,并发送给检测器。修改的数据库连接函数(如connection)在原始数据库连接操作之后***数据库元数据信息查询命令(如show tables),通过这些命令获取正在操作的数据库元数据信息。例如,通过Javassist的hookMethod方法的insertAfter操作修改数据库连接函数。
访问请求的相关方法一般放在指定目录下,如com/mysql/jdbc。hook函数从该目录下获取各种数据库访问信息,如connection,execute,executeQuery,executeUpdate,checkSqlQueryResult等。
在步骤230,捕获访问请求相应的访问响应。
访问请求的头部和访问响应的头部增设了键值对标识,通过键值对标识将访问请求及其相应的访问响应关联起来。
代理通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获访问请求相应的访问响应,获取访问响应的对象,基于访问响应的对象创建访问响应的实例,访问响应的实例的地址设置为越权漏洞检测的检测器的地址,以便将访问响应的实例转发给检测器。
访问响应的相关方法一般放在指定目录下,如org/apache/catalina/。hook函数从该目录下获取访问响应的相关方法,如,OutputBuffer,sendRedirect,sendError等。
在步骤230之后,可以并行地分别执行步骤240和250,或者,也可以先执行步骤240再执行步骤250,或者,也可以先执行步骤250再执行步骤240。
在步骤240,判断访问请求、访问响应和数据库访问信息中是否包括预设的敏感信息,得到第一判断结果。
将访问请求、访问响应和数据库访问信息的参数列表与数据库元数据信息相关联,将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息。
上诉相关联操作时,将访问请求/访问响应的参数字符串拆解成键值对的形式,例如,将get/post请求的参数字符串a=1&b=2,先用“&”切分,再分别用‘=’切分,最后得到{“a”=”1”,”b”=”2”}这种键值对。然后,利用键值对中的键与数据库元数据信息相关联。由于元数据(Metadata)是描述数据的数据(data about data),因此,通过与参数的键相关联的数据库元数据信息,明确参数的业务含义,方便与敏感信息进行匹配。
敏感信息例如包括手机号,身份证号,详细地址,订单号码,快递号码等。
在步骤250,判断访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果。
合规模型约束了各种访问请求的标准访问流程和标准访问流程应当涉及的标准参数。例如,用户访问某个应用的某个页面的数据查询功能,涉及到对数据库的某个表的查询操作,合规模型为:需要先确定操作者的身份,然后需要确定该用户是否有该操作的权限,然后需要再确定该操作对应的数据操作语句,是否有与用户身份等关联的限定条件(一般是由sql语句的where子语句体现)。
上述匹配时,判断访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数,如果均符合,判定匹配,如果任意一项不符合,判定不匹配。
在步骤260,根据第一判断结果和第二判断结果,确定是否存在越权漏洞。
如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞;如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞;如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险,可以结合其他方法(如人工检测或其他自动越权漏洞检测方法)进一步判定。
上述实施例,在web应用访问过程中,自动捕获和收集相关的访问信息,根据访问信息是否包括敏感信息和访问过程是否与合规模型匹配的判定结果,确定web应用访问过程是否存在越权漏洞,从而实现一种能够自动检测的通用性好的越权漏洞检测方案。并且,通过敏感信息检测实现了水平越权漏洞检测,通过合规模型匹配实现了垂直越权漏洞检测,越权漏洞检测全面,有利于提高越权漏洞检测的准确性。
图3为本公开一些实施例的越权漏洞检测装置的结构示意图。
如图3所示,该实施例的装置300包括:设置于web应用***的代理310和越权漏洞检测的检测器320。检测器320例如可以是插件的实现形式。
设置于web应用***的代理310,被配置为捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应。
越权漏洞检测的检测器320,被配置为判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
在一些实施例中,代理310被配置为:获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址。
在一些实施例中,代理310被配置为:基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情,基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后***数据库元数据信息查询命令。
在一些实施例中,代理310被配置为:通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应,获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
在一些实施例中,检测器320被配置为:将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联,将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息。
在一些实施例中,检测器320被配置为:判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数,如果均符合,判定匹配,如果任意一项不符合,判定不匹配。
在一些实施例中,检测器320被配置为:如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞,如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞,如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
图4为本公开另一些实施例的越权漏洞检测装置的结构示意图。
如图4所示,该实施例的装置400包括:存储器410以及耦接至该存储器410的处理器420,处理器420被配置为基于存储在存储器410中的指令,执行前述任意一些实施例中的越权漏洞检测方法。
例如,处理器420捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
其中,存储器410例如可以包括***存储器、固定非易失性存储介质等。***存储器例如存储有操作***、应用程序、引导装载程序(Boot Loader)以及其他程序等。
装置400还可以包括输入输出接口430、网络接口440、存储接口450等。这些接口430,440,450以及存储器410和处理器420之间例如可以通过总线460连接。其中,输入输出接口430为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口440为各种联网设备提供连接接口。存储接口450为SD卡、U盘等外置存储设备提供连接接口。
本公开实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现越权漏洞检测方法的步骤。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、***、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (13)

1.一种越权漏洞检测方法,其特征在于,包括:
捕获web应用的访问请求;
收集所述访问请求涉及的数据库访问信息;
捕获所述访问请求相应的访问响应;
判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;
判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果,所述合规模型约束了标准访问流程和标准访问流程应当涉及的标准参数;
根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞,包括:如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞;或,如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞;或,如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
2.根据权利要求1所述的方法,其特征在于,捕获web应用的访问请求包括:
获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址。
3.根据权利要求1所述的方法,其特征在于,收集所述访问请求涉及的数据库访问信息包括:
基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情;
基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后***数据库元数据信息查询命令。
4.根据权利要求1所述的方法,其特征在于,捕获所述访问请求相应的访问响应包括:
通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应;
获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
5.根据权利要求1所述的方法,其特征在于,判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息包括:
将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联;
将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息。
6.根据权利要求1所述的方法,其特征在于,判断所述访问请求的数据访问过程是否与预设的合规模型匹配包括:
判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数;
如果均符合,判定匹配,如果任意一项不符合,判定不匹配。
7.根据权利要求3所述的方法,其特征在于,通过hookMethod方法的insertAfter操作修改数据库连接函数。
8.根据权利要求1-7任一项所述的方法,其特征在于,
由设置于web应用***的代理执行:捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;
由越权漏洞检测的检测器执行:判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞。
9.一种越权漏洞检测装置,其特征在于,包括:
设置于web应用***的代理,被配置为捕获web应用的访问请求;收集所述访问请求涉及的数据库访问信息;捕获所述访问请求相应的访问响应;
越权漏洞检测的检测器,被配置为判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息,得到第一判断结果;判断所述访问请求的数据访问过程是否与预设的合规模型匹配,得到第二判断结果,所述合规模型约束了标准访问流程和标准访问流程应当涉及的标准参数;根据所述第一判断结果和所述第二判断结果,确定是否存在越权漏洞,包括:如果包括预设的敏感信息、且与预设的合规模型不匹配,确定存在越权漏洞;或,如果不包括预设的敏感信息、且与预设的合规模型匹配,确定不存在越权漏洞;或,如果包括预设的敏感信息、或与预设的合规模型不匹配,确定存在越权漏洞的风险。
10.根据权利要求9所述的装置,其特征在于,所述代理,被配置为:
获取所述访问请求的对象,基于所述访问请求的对象创建所述访问请求的实例,所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址;
或者,基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情,基于修改的数据库连接函数记录数据库元数据信息,其中,所述修改的数据库连接函数在原始数据库连接操作之后***数据库元数据信息查询命令;
或者,通过访问请求的头部和访问响应的头部增设的键值对标识,识别并获取获所述访问请求相应的访问响应,获取所述访问响应的对象,基于所述访问响应的对象创建所述访问响应的实例,所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。
11.根据权利要求9所述的装置,其特征在于,所述检测器,被配置为:
将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联,将相关联的数据库元数据信息与预设的敏感信息进行匹配,如果匹配,判定包括敏感信息,并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数,如果不匹配,判定不包括敏感信息;
或者,判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数,如果均符合,判定匹配,如果任意一项不符合,判定不匹配。
12.一种越权漏洞检测装置,其特征在于,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-8中任一项所述的越权漏洞检测方法。
13.一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-8中任一项所述的越权漏洞检测方法的步骤。
CN202110003407.XA 2021-01-04 2021-01-04 越权漏洞检测方法和装置 Active CN113779585B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202110003407.XA CN113779585B (zh) 2021-01-04 2021-01-04 越权漏洞检测方法和装置
PCT/CN2021/137814 WO2022143145A1 (zh) 2021-01-04 2021-12-14 越权漏洞检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110003407.XA CN113779585B (zh) 2021-01-04 2021-01-04 越权漏洞检测方法和装置

Publications (2)

Publication Number Publication Date
CN113779585A CN113779585A (zh) 2021-12-10
CN113779585B true CN113779585B (zh) 2024-06-14

Family

ID=78835381

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110003407.XA Active CN113779585B (zh) 2021-01-04 2021-01-04 越权漏洞检测方法和装置

Country Status (2)

Country Link
CN (1) CN113779585B (zh)
WO (1) WO2022143145A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779585B (zh) * 2021-01-04 2024-06-14 北京沃东天骏信息技术有限公司 越权漏洞检测方法和装置
CN113961940B (zh) * 2021-12-21 2022-03-25 杭州海康威视数字技术股份有限公司 基于权限动态更新机制的越权检测方法及装置
CN114499960B (zh) * 2021-12-24 2024-03-22 深圳开源互联网安全技术有限公司 一种csrf漏洞识别方法、装置及计算机可读存储介质
CN115051824B (zh) * 2022-03-30 2024-04-02 杭州默安科技有限公司 一种垂直越权检测方法、***、设备及存储介质
CN115529171A (zh) * 2022-09-16 2022-12-27 浙江网商银行股份有限公司 行为检测方法及装置
CN115828256B (zh) * 2022-11-04 2023-08-29 杭州孝道科技有限公司 一种越权与未授权逻辑漏洞检测方法
CN116346488B (zh) * 2023-04-13 2024-05-17 贝壳找房(北京)科技有限公司 一种越权访问的检测方法及装置
CN117807575A (zh) * 2024-01-02 2024-04-02 广州优加市场调研有限公司 一种基于云计算的访员管理方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241292A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 漏洞检测方法及装置
CN109446819A (zh) * 2018-10-30 2019-03-08 北京知道创宇信息技术有限公司 越权漏洞检测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107908959B (zh) * 2017-11-10 2020-02-14 北京知道创宇信息技术股份有限公司 网站信息检测方法、装置、电子设备及存储介质
US10963167B2 (en) * 2017-12-29 2021-03-30 Thales Dis France Sa Method, first device, second device and system for managing access to data
CN110489966A (zh) * 2019-08-12 2019-11-22 腾讯科技(深圳)有限公司 平行越权漏洞检测方法、装置、存储介质及电子设备
CN111125748A (zh) * 2019-11-04 2020-05-08 广发银行股份有限公司 越权查询的判断方法、装置、计算机设备和存储介质
CN111767573A (zh) * 2020-06-28 2020-10-13 北京天融信网络安全技术有限公司 数据库安全管理方法、装置、电子设备及可读存储介质
CN113779585B (zh) * 2021-01-04 2024-06-14 北京沃东天骏信息技术有限公司 越权漏洞检测方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107241292A (zh) * 2016-03-28 2017-10-10 阿里巴巴集团控股有限公司 漏洞检测方法及装置
CN109446819A (zh) * 2018-10-30 2019-03-08 北京知道创宇信息技术有限公司 越权漏洞检测方法及装置

Also Published As

Publication number Publication date
WO2022143145A1 (zh) 2022-07-07
CN113779585A (zh) 2021-12-10

Similar Documents

Publication Publication Date Title
CN113779585B (zh) 越权漏洞检测方法和装置
CN109687991B (zh) 用户行为识别方法、装置、设备及存储介质
CN111209565B (zh) 水平越权漏洞检测方法、设备及计算机可读存储介质
CN109388532B (zh) 测试方法、装置、电子设备及计算机可读取存储介质
CN108763951B (zh) 一种数据的保护方法及装置
CN104182688A (zh) 基于动态激活及行为监测的Android恶意代码检测装置和方法
CN106326108A (zh) 一种新应用的测试方法及装置
CN111835756B (zh) App隐私合规检测方法、装置、计算机设备及存储介质
CN109361660B (zh) 异常行为分析方法、***、服务器及存储介质
EP3176719B1 (en) Methods and devices for acquiring certification document
CN111416811A (zh) 越权漏洞检测方法、***、设备及存储介质
CN107085549B (zh) 故障信息生成的方法和装置
CN109190368B (zh) 一种sql注入检测装置及sql注入检测方法
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN110955395A (zh) 打印***的风险评估方法、装置及存储介质
CN111563015A (zh) 数据监控方法及装置、计算机可读介质及终端设备
KR20150124020A (ko) 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템
CN105868056A (zh) 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机
CN112905996A (zh) 基于多维度数据关联分析的信息安全溯源***及方法
CN110443039A (zh) 插件安全性的检测方法、装置以及电子设备
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
CN116226865A (zh) 云原生应用的安全检测方法、装置、服务器、介质及产品
CN115146283A (zh) 车载信息交互***信息安全测试方法和装置
CN111241547A (zh) 一种越权漏洞的检测方法、装置及***
CN114048139A (zh) 一种sql语句审核方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant