WO2023273139A1 - 越权漏洞检测方法、装置、设备及计算机程序产品 - Google Patents

Abstract

本申请涉及金融科技（Fintech）技术领域，公开了一种越权漏洞检测方法、装置、设备及产品，所述方法包括：接收对待检测***的包括第一身份标识的第一服务请求，对第一身份标识进行修改得到第二服务请求；执行第一服务请求和第二服务请求得到响应数据；对各响应数据分别进行分片，对各分片数据进行哈希得到第一分片哈希值和第二分片哈希值；对第一分片哈希值进行拼接得到第一拼接哈希值，对第二分片哈希值进行拼接得到第二拼接哈希值；根据两个拼接哈希值的相似度确定待检测***是否存在越权漏洞。

Description

越权漏洞检测方法、装置、设备及计算机程序产品

本申请要求于2021年6月28日申请的、申请号为202110722722.8的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及金融科技（Fintech）技术领域，尤其涉及越权漏洞检测方法、装置统、设备及计算机程序产品。

背景技术

随着计算机技术的发展，越来越多的技术（大数据、分布式、区块链Blockchain、人工智能等）应用在金融领域，传统金融业正在逐步向金融科技（Fintech）转变，但由于金融行业的安全性、实时性要求，也对越权漏洞检测技术提出了更高的要求。

随着近期爆发的各种高危漏洞，网络安全问题引起了越来越多的关注。越权漏洞，Web应用程序中一种常见的安全漏洞，是指由于程序员疏忽，没有对某个操作所需的权限/用户进行严格的限制，导致本应没有操作权限的用户可正常进行操作，其威胁在于一个账户即可控制全站用户数据，即攻击者使用一个合法账户，即可对存在越权缺陷漏洞的其他账户数据进行非法的操作，例如查询、***、删除、修改等常规数据库命令。

现有技术中，对于越权漏洞的检测主要是通过人工登录一个账号并修改账号ID，获取不同的账号ID所返回的请求响应数据，通过求取不同响应数据的文本相似度来判断是否存在越权漏洞，该方案需要对响应数据中的每个字符逐一进行比对，当响应数据的数据量比较大时，越权漏洞检测的效率较低。

技术问题

本申请的主要目的在于提出一种越权漏洞检测方法、装置、设备及计算机程序产品，旨在解决现有的越权漏洞检测的效率较低的技术问题。

技术解决方案

为实现上述目的，本申请提供一种越权漏洞检测方法，所述越权漏洞检测方法包括如下步骤：

接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；

通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；

对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；

对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值；

确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。

在一实施例中，所述对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值的步骤包括：

对所述第一分片哈希值进行数据提取，得到第二预设字符长度的第一分片提取哈希值，对所述第一分片提取哈希值进行拼接处理得到第一拼接哈希值，所述预设字符长度小于所述第一分片哈希值的字符长度；

对所述第二分片哈希值进行数据提取，得到第二预设字符长度的第二分片提取哈希值，对所述第二分片提取哈希值进行拼接处理得到第二拼接哈希值。

在一实施例中，所述对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求的步骤包括：

删除所述第一服务请求中的第一身份标识，得到第二服务请求；

和/或，

将所述第一服务请求中的第一身份标识替换为第二身份标识，得到第二服务请求，所述第二身份标识与所述第一身份标识不同。

在一实施例中，所述确定所述第一拼接哈希值和所述第二拼接哈希值的相似度的步骤包括：

计算所述第一拼接哈希值和所述第二拼接哈希值的最少编辑操作次数；

根据所述第一拼接哈希值和所述第二拼接哈希值的字符长度之和，与所述最少编辑操作次数确定所述第一拼接哈希值和所述第二拼接哈希值的相似度。

在一实施例中，所述计算所述第一拼接哈希值和所述第二拼接哈希值的最少编辑操作次数的步骤包括：

根据所述第一拼接哈希值的字符长度、所述第二拼接哈希值的字符长度、所述第一拼接哈希值的字符内容和所述第二拼接哈希值的字符内容，构建编辑操作次数矩阵，并对所述编辑操作次数矩阵进行初始化赋值；

按照预设编辑操作次数公式循环计算所述编辑操作次数矩阵中各矩阵元素对应的编辑操作次数；所述预设编辑操作次数公式为：

dp[i，j]=min(dp[i-1，j]+1，dp[i，j-1]+1，dp[i-1，j-1]+temp) ，

其中，dp[i，j]为编辑操作次数矩阵中第i行、第j列的矩阵元素对应的编辑操作次数；

dp[i-1，j]为编辑操作次数矩阵中第i-1行、第j列的矩阵元素对应的编辑操作次数；

dp[i，j-1]为编辑操作次数矩阵中第i行、第j-1列的矩阵元素对应的编辑操作次数；

dp[i-1，j-1]为编辑操作次数矩阵中第i-1行、第j-1列的矩阵元素对应的编辑操作次数；

若矩阵中第i行、第j列的矩阵元素所对应的两个字符相同，则temp=0；若矩阵中第i行、第j列的矩阵元素所对应的两个字符不相同，则temp=1；

根据各所述矩阵元素对应的编辑操作次数确定最少编辑操作次数。

在一实施例中，所述根据所述相似度确定所述待检测***是否存在越权漏洞的步骤包括：

若所述相似度大于或等于预设相似度阈值，确定所述待检测***存在越权漏洞；

若所述相似度小于预设相似度阈值，确定所述待检测***不存在越权漏洞。

在一实施例中，所述接收对待检测***的包括第一身份标识的第一服务请求的步骤之后，还包括：

确定所述第一服务请求是否涉及敏感信息；

若是，则执行步骤：对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求。

此外，为实现上述目的，本申请还提供一种越权漏洞检测装置，所述越权漏洞检测装置包括：

身份标识修改模块，用于接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；

请求执行模块，用于通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；

分片哈希模块，用于对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；

哈希拼接模块，用于对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值

越权确定模块，用于确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。

此外，为实现上述目的，本申请还提供一种越权漏洞检测设备，所述越权漏洞检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的越权漏洞检测程序，所述越权漏洞检测程序被所述处理器执行时实现如上所述的越权漏洞检测方法的步骤。

此外，为实现上述目的，本申请还提供一种计算机存储介质，所述计算机存储介质上存储有越权漏洞检测程序，所述越权漏洞检测程序被处理器执行时实现如上所述的越权漏洞检测方法的步骤。

此外，为实现上述目的，本申请还提供一种计算机程序产品，所述计算机程序产品包括越权漏洞检测程序，所述越权漏洞检测程序被处理器执行时实现如上所述的越权漏洞检测方法的步骤。

有益效果

本申请通过接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值；确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。一方面通过对响应数据的哈希值进行相似度比对，提升了相似对比对的效率，进而提升了越权漏洞检测的效率；另一方面，通过对响应数据进行分片处理，根据得到的分片数据的哈希值再进行相似度比对，实现了在保证越权漏洞检测精度的前提下，提升越权漏洞检测的效率。

附图说明

图1是本申请实施例方案涉及的硬件运行环境的越权漏洞检测设备结构示意图；

图2为本申请越权漏洞检测方法第一实施例的流程示意图；

图3为本申请越权漏洞检测装置的模块示意图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

本发明的实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

如图1所示，图1是本申请实施例方案涉及的硬件运行环境的越权漏洞检测设备结构示意图。

本申请实施例越权漏洞检测设备可以是PC机或服务器设备，其上运行有虚拟机。

如图1所示，该越权漏洞检测设备可以包括：处理器1001，例如CPU，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏（Display）、输入单元比如键盘（Keyboard），可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口（如WI-FI接口）。存储器1005可以是高速RAM存储器，也可以是稳定的存储器（non-volatile memory），例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的越权漏洞检测设备结构并不构成对设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及越权漏洞检测程序。

在图1所示的越权漏洞检测设备中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端（用户端），与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的越权漏洞检测程序，并执行下述越权漏洞检测方法中的操作。

基于上述硬件结构，提出本申请越权漏洞检测方法实施例。

参照图2，图2为本申请越权漏洞检测方法第一实施例的流程示意图，所述方法包括：

步骤S10，接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；

本实施例越权漏洞检测方法运用于越权漏洞检测设备中，越权漏洞检测设备可以是终端、机器人或者PC设备。

现有技术中，对于越权漏洞的检测主要是通过人工登录一个账号并修改账号ID，获取不同的账号ID所返回的请求响应数据，通过求取不同响应数据的文本相似度来判断是否存在越权漏洞，该方案需要对响应数据中的每个字符逐一进行比对，当响应数据的数据量比较大时，越权漏洞检测的效率较低。

在此背景下，本实施例提供了一种越权漏洞检测方案，一方面通过对响应数据的哈希值进行相似度比对，提升了相似对比对的效率，进而提升了越权漏洞检测的效率；另一方面，通过对响应数据进行分片处理，根据得到的分片数据的哈希值再进行相似度比对，实现了在保证越权漏洞检测精度的前提下，提升越权漏洞检测的效率。

在本实施例中，身份标识指的是用于表明服务请求的发起者身份的信息，身份标识可以为cookie或用户账户标识等中的至少一种。其中，cookie指的是储存在用户本地终端上的数据，是一个保存在客户机中的简单的文本文件，这个文件与特定的Web文档关联在一起，保存了该客户机访问这个Web 文档时的信息（例如用户个人信息），当客户机再次访问这个 Web 文档时，这些信息可供该Web文档使用。

本实施例中，越权漏洞检测设备会对访问待检测***的第一服务请求进行收集，在收集到第一服务请求后，对该第一服务请求中的身份标识进行修改，请求中的其他内容保持不变，得到第二服务请求。

进一步地，对第一服务请求中的身份标识进行修改的方式包括删除和/或替换两种处理方式，删除指的是将第一服务请求中的第一身份标识删除，保留请求中的其他内容，得到第二服务请求；替换指的是将第一服务请求中的第一身份标识，替换为与第一身份标识不同的第二身份标识，得到第二服务请求。其中，第一身份标识用于标识第一用户的身份信息，第二身份标识用于标识第二用户的身份信息，该第一用户和该第二用户为两个在该待检测***中具有不同操作权限的合法用户。

步骤S20，通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；

可以理解的是，本实施例不对第二服务请求的生成和第一服务请求的执行先后顺序进行限制，即，在接收到第一服务请求后，可以先生成第二服务请求再执行第一服务请求，也可以先执行第一服务请求再生成第二服务请求，还可以二者同时执行。

进一步地，在执行第一服务请求得到对应的第一响应数据后，可以确定第一响应数据的字符长度是否大于预设字符长度阈值，若否，说明第一响应数据的字符长度较短，不会显著影响越权漏洞检测的速度，可以将第一响应数据与第二响应数据直接进行相似度比对，无需进行分片和哈希；若是，说明第一响应数据的字符长度较短，直接将第一响应数据与第二响应数据进行相似度比对，其计算速度会显著降低，则执行步骤S30。如此，可以根据响应数据的字符长度，动态选择检测速度较快的方案。

步骤S30，对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；

在得到第一服务请求和第二服务请求后，通过待检测***执行第一服务请求和第二服务请求，分别得到第一服务请求对应的第一响应数据，第二服务请求对应的第二响应数据。通常在进行越权漏洞检测时，是直接将第一响应数据与第二响应数据直接进行相似度比对，根据相似度比对结果确定待检测***是否存在越权漏洞，但这种比对方式在响应数据的字符长度较长时，会产生巨大的工作量，且效率较低。

为避免这种情况，本实施例在得到响应数据之后，会对响应数据进行哈希运算，将任意长度的响应数据转换为固定长度的哈希值，以在后续步骤中根据响应数据的哈希值进行相似度比对，以减少相似度计算的工作量；进一步地，由于哈希运算具有输入变动敏感性，即输入的原始数据哪怕出现极其微小的变动，输出的哈希值也会出现巨大的变化，因此，若直接根据响应数据的哈希值进行相似度比对，即使第一响应数据和第二响应数据只有微小差异，由于二者的哈希值有较大差异，因此，根据二者的哈希值确定的相似度无法反映第一响应数据和第二响应数据的真实相似度，故而本实施例对响应数据先进行分片处理，即，按照第一预设字符长度对响应数据进行拆分，将响应数据拆分为若干个分片数据。

其中，第一预设字符长度由管理人员根据越权漏洞检测精度需求和越权漏洞检测效率需求进行设置，可以理解的是，第一预设字符长度越大，越权漏洞检测精度越低，检测效率越高；第一预设字符长度越小，越权漏洞检测精度越高，检测效率越低。

在得到第一响应数据和第二响应数据各自的分片数据后，分别对各分片数据进行哈希运算，得到第一响应数据的各分片数据的哈希值，即第一分片哈希值，以及第二响应数据的各分片数据的哈希值，即第二分片哈希值。其中，哈希运算的算法具体可以为MD5（Message Digest Algorithm MD5，消息摘要算法），或者其他散列函数算法，例如MD4、SHA1、SHA-224、SHA-256、SHA-384和SHA-512等中的至少一种。

步骤S40，对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值；

在本实施例中，在得到第一响应数据对应的第一分片哈希值后，按照第一分片哈希值对应的分片数据在第一响应数据中的位置进行拼接，得到第一拼接哈希值；在得到第二响应数据对应的第二分片哈希值后，按照第二分片哈希值对应的分片数据在第二响应数据中的位置进行拼接，得到第二拼接哈希值。

步骤S50，确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。

在本实施例中，在得到第一拼接哈希值和第二拼接哈希值后，即可计算二者的相似度，二者的相似度越高，存在越权漏洞的倾向性越高，二者的相似度越低，存在越权漏洞的倾向性越低，故可根据越权漏洞检测的精度要求，设置一区分越权漏洞存在与否的临界相似度阈值，即预设相似度阈值，若相似度大于或等于预设相似度阈值，确定待检测***存在越权漏洞；若相似度小于预设相似度阈值，确定待检测***不存在越权漏洞。

进一步地，若第一服务请求为A，对第一服务请求中的身份标识进行删除和替换得到第二服务请求B和C，则按照前述实施例，根据A和B的响应数据计算A对应的拼接哈希值与B对应的拼接哈希值的相似度，根据A和C的响应数据计算A对应的拼接哈希值与C对应的拼接哈希值的相似度，若这两个相似度中存在一者大于或等于预设相似度阈值，确定待检测***存在越权漏洞；若这两个相似度均小于预设相似度阈值，则确定待检测***不存在越权漏洞。

进一步地，若确定待检测***存在越权漏洞，则可输出越权漏洞告警。其中，越权漏洞告警中包括待检测***的标识信息、第一拼接哈希值和第二拼接哈希值的相似度中的一种或多种。

进一步地，所述输出越权漏洞告警的步骤具体可以包括：根据相似度的大小确定对应的告警等级，根据所确定的告警等级输出对应等级的越权漏洞告警。

本实施例通过接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值；确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。本实施例一方面通过对响应数据的哈希值进行相似度比对，提升了相似对比对的效率，进而提升了越权漏洞检测的效率；另一方面，通过对响应数据进行分片处理，根据得到的分片数据的哈希值再进行相似度比对，实现了在保证越权漏洞检测精度的前提下，提升越权漏洞检测的效率。

进一步地，基于上述实施例，提出本申请越权漏洞检测方法第二实施例。

上述步骤S40包括：

步骤S41，对所述第一分片哈希值进行数据提取，得到第二预设字符长度的第一分片提取哈希值，对所述第一分片提取哈希值进行拼接处理得到第一拼接哈希值，所述预设字符长度小于所述第一分片哈希值的字符长度；

步骤S42，对所述第二分片哈希值进行数据提取，得到第二预设字符长度的第二分片提取哈希值，对所述第二分片提取哈希值进行拼接处理得到第二拼接哈希值。

在本实施例中，为进一步提升越权漏洞检测效率，在得到分片哈希值后，按照第二预设字符长度对分片哈希值进行数据提取，得到字符长度为第二预设字符长度的分片提取哈希值，再对分片提取哈希值进行拼接，以缩短拼接哈希值的字符长度。可以理解的是，第二预设字符长度小于分片哈希值的字符长度；对第一分片哈希值和第二分片哈希值采用的数据提取方式相同。

其中，该数据提取方式可以为取各分片哈希值预设指定位置和第二预设字符长度的字符串，例如，取分片哈希值头部或尾部12位的字符串作为分片提取哈希值。可以理解的是，第二预设字符长度由管理人员根据越权漏洞检测精度需求和越权漏洞检测效率需求进行设置，第二预设字符长度越大，越权漏洞检测精度越高，检测效率越低；第一预设字符长度越小，越权漏洞检测精度越低，检测效率越高。

在本实施例中，通过对分片哈希值进行数据提取，再对提取到的分片提取哈希值进行拼接，能够缩短拼接哈希值的字符长度，从而提升相似度计算的速度，进而提升越权漏洞检测的效率。

进一步地，基于上述实施例，提出本申请越权漏洞检测方法第三实施例。

在上述步骤S50中，所述确定所述第一拼接哈希值和所述第二拼接哈希值的相似度的步骤包括：

步骤S51，计算所述第一拼接哈希值和所述第二拼接哈希值的最少编辑操作次数；

步骤S52，根据所述第一拼接哈希值和所述第二拼接哈希值的字符长度之和，与所述最少编辑操作次数确定所述第一拼接哈希值和所述第二拼接哈希值的相似度。

在本实施例中，提供了一种根据最少编辑操作次数计算相似度的方案，具体为，首先确定第一拼接哈希值和第二拼接哈希值的最少编辑操作次数dp[m，n]，再确定第一拼接哈希值和第二拼接哈希值的字符长度之和m+n，则相似度为dp[m，n]/（m+n）。

进一步地，上述步骤S51包括：

步骤S511，根据所述第一拼接哈希值的字符长度、所述第二拼接哈希值的字符长度、所述第一拼接哈希值的字符内容和所述第二拼接哈希值的字符内容，构建编辑操作次数矩阵，并对所述编辑操作次数矩阵进行初始化赋值；

步骤S512，根据所述第一拼接哈希值的字符长度、所述第二拼接哈希值的字符长度、所述第一拼接哈希值的字符内容和所述第二拼接哈希值的字符内容，构建编辑操作次数矩阵，并对所述编辑操作次数矩阵进行初始化赋值；

按照预设编辑操作次数公式循环计算所述编辑操作次数矩阵中各矩阵元素对应的编辑操作次数；所述预设编辑操作次数公式为：

dp[i，j]=min(dp[i-1，j]+1，dp[i，j-1]+1，dp[i-1，j-1]+temp) ，

其中，dp[i，j]为编辑操作次数矩阵中第i行、第j列的矩阵元素对应的编辑操作次数；

dp[i-1，j]为编辑操作次数矩阵中第i-1行、第j列的矩阵元素对应的编辑操作次数；

dp[i，j-1]为编辑操作次数矩阵中第i行、第j-1列的矩阵元素对应的编辑操作次数；

dp[i-1，j-1]为编辑操作次数矩阵中第i-1行、第j-1列的矩阵元素对应的编辑操作次数；

若矩阵中第i行、第j列的矩阵元素所对应的两个字符相同，则temp=0；若矩阵中第i行、第j列的矩阵元素所对应的两个字符不相同，则temp=1；

步骤S513，根据各所述矩阵元素对应的编辑操作次数确定最少编辑操作次数。

本实施例为确定最少编辑操作次数的具体过程。首先，创建一个编辑操作次数矩阵，设第一拼接哈希值和第二拼接哈希值的字符长度的字符串的长度分别是m和n，那么，编辑操作次数矩阵的维度为(m+1)*(n+1)，将第一拼接哈希值和第二拼接哈希值分别填入第一行和第一列，得到下表1所示的矩阵（设第一拼接哈希值为ABCD，第二拼接哈希值为ACD）；

		A	B	C	D
A
C
D

表1

对表1对应的矩阵进行初始化赋值，使各拼接哈希值的各字符均有对应的定位字符，得到表2所示的矩阵；

		A	B	C	D
	0	1	2	3	4
A	1
C	2
D	3

表2

再按照预设编辑操作次数公式，从矩阵的左上角遍历到右下角，循环计算表2中的各矩阵元素对应的编辑操作次数，得到表3所示的矩阵，则最少编辑操作次数dp[m，n]为1。该预设编辑操作次数公式为dp[i，j]=min(dp[i-1，j]+1，dp[i，j-1]+1，dp[i-1，j-1]+temp) ，其中，dp[i，j]指的是矩阵中第i行、第j列的矩阵元素对应的编辑操作次数；dp[i-1，j]指的是矩阵中第i-1行、第j列的矩阵元素对应的编辑操作次数；dp[i，j-1]指的是矩阵中第i行、第j-1列的矩阵元素对应的编辑操作次数；dp[i-1，j-1]指的是矩阵中第i-1行、第j-1列的矩阵元素对应的编辑操作次数；关于temp，若矩阵中第i行、第j列的矩阵元素所对应的两个字符相同，则temp=0，若矩阵中第i行、第j列的矩阵元素所对应的两个字符不相同，则temp=1。

		A	B	C	D
	0	1	2	3	4
A	1	0	1	2	3
C	2	1	1	1	2
D	3	2	2	2	1

表3

在本实施例中，通过根据最少编辑操作次数确定相似度，能够降低文本相似度计算的复杂度，进而提升越权漏洞检测的效率。

进一步地，在计算第一拼接哈希值和第二拼接哈希值相似度时，还可以采用其他相似度计算方法，例如余弦相似度算法等。

进一步地，在上述步骤S10中，所述接收对待检测***的包括第一身份标识的第一服务请求的步骤之后，还包括：

确定所述第一服务请求是否涉及敏感信息；

若是，则执行步骤：对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求。

在本实施例中，在接收到包括第一身份标识的第一服务请求后，对该第一服务请求进行解析，获取该第一服务请求的请求内容，确定该请求内容中是否包括手机号码、邮箱、账号密码、银行***或身份证号码等敏感信息，若是，则表明需要对该请求对应的待检测***进行越权漏洞检测，以防止敏感信息被非法用户获取；若否，则可以不进行越权漏洞检测。

本实施例设置了越权漏洞检测的自动触发条件，使得越权漏洞检测方案能够在满足触发条件时自动执行，从而使越权漏洞检测更加灵活和高效。

本申请还提供一种越权漏洞检测装置，参照图3，所述越权漏洞检测装置包括：

身份标识修改模块10，用于接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；

请求执行模块20，用于通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；

分片哈希模块30，用于对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；

哈希拼接模块40，用于对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值

越权确定模块50，用于确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。

在一实施例中，所述分片哈希模块，还用于：

对所述第一分片哈希值进行数据提取，得到第二预设字符长度的第一分片提取哈希值，对所述第一分片提取哈希值进行拼接处理得到第一拼接哈希值，所述预设字符长度小于所述第一分片哈希值的字符长度；

对所述第二分片哈希值进行数据提取，得到第二预设字符长度的第二分片提取哈希值，对所述第二分片提取哈希值进行拼接处理得到第二拼接哈希值。

在一实施例中，所述身份标识修改模块，还用于：

删除所述第一服务请求中的第一身份标识，得到第二服务请求；

和/或，

将所述第一服务请求中的第一身份标识替换为第二身份标识，得到第二服务请求，所述第二身份标识与所述第一身份标识不同。

在一实施例中，所述越权确定模块，还用于：

计算所述第一拼接哈希值和所述第二拼接哈希值的最少编辑操作次数；

根据所述第一拼接哈希值和所述第二拼接哈希值的字符长度之和，与所述最少编辑操作次数确定所述第一拼接哈希值和所述第二拼接哈希值的相似度。

在一实施例中，所述越权确定模块，还用于：

根据所述第一拼接哈希值的字符长度、所述第二拼接哈希值的字符长度、所述第一拼接哈希值的字符内容和所述第二拼接哈希值的字符内容，构建编辑操作次数矩阵，并对所述编辑操作次数矩阵进行初始化赋值；

按照预设编辑操作次数公式循环计算所述编辑操作次数矩阵中各矩阵元素对应的编辑操作次数；所述预设编辑操作次数公式为：

dp[i，j]=min(dp[i-1，j]+1，dp[i，j-1]+1，dp[i-1，j-1]+temp) ，

其中，dp[i，j]为编辑操作次数矩阵中第i行、第j列的矩阵元素对应的编辑操作次数；

dp[i-1，j]为编辑操作次数矩阵中第i-1行、第j列的矩阵元素对应的编辑操作次数；

dp[i，j-1]为编辑操作次数矩阵中第i行、第j-1列的矩阵元素对应的编辑操作次数；

dp[i-1，j-1]为编辑操作次数矩阵中第i-1行、第j-1列的矩阵元素对应的编辑操作次数；

若矩阵中第i行、第j列的矩阵元素所对应的两个字符相同，则temp=0；若矩阵中第i行、第j列的矩阵元素所对应的两个字符不相同，则temp=1；

根据各所述矩阵元素对应的编辑操作次数确定最少编辑操作次数。

在一实施例中，所述越权确定模块，还用于：

若所述相似度大于或等于预设相似度阈值，确定所述待检测***存在越权漏洞；

若所述相似度小于预设相似度阈值，确定所述待检测***不存在越权漏洞。

在一实施例中，所述身份标识修改模块，还用于：

确定所述第一服务请求是否涉及敏感信息；

若是，则执行步骤：对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求。

上述各程序单元所执行的方法可参照本申请越权漏洞检测方法各个实施例，此处不再赘述。

本申请还提供一种越权漏洞检测设备，越权漏洞检测设备包括：存储器、处理器及存储在存储器上并可在处理器上运行的越权漏洞检测程序，越权漏洞检测程序被处理器执行时所实现的方法可参照本申请越权漏洞检测方法各个实施例，此处不再赘述。

本申请还提供一种计算机存储介质。

本申请计算机存储介质上存储有越权漏洞检测程序，所述越权漏洞检测程序被处理器执行时实现如上所述的越权漏洞检测方法的步骤。

其中，在所述处理器上运行的越权漏洞检测程序被执行时所实现的方法可参照本申请越权漏洞检测方法各个实施例，此处不再赘述。

本申请还提供一种计算机程序产品。

本申请计算机程序产品包括越权漏洞检测程序，所述越权漏洞检测程序被处理器执行时实现如上所述的越权漏洞检测方法的步骤。

其中，在所述处理器上运行的越权漏洞检测程序被执行时所实现的方法可参照本申请越权漏洞检测方法各个实施例，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims (10)

1. 一种越权漏洞检测方法，其中，所述越权漏洞检测方法包括：

   接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；

   通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；

   对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；

   对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值；

   确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。
2. 如权利要求1所述的越权漏洞检测方法，其中，所述对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值的步骤包括：

   对所述第一分片哈希值进行数据提取，得到第二预设字符长度的第一分片提取哈希值，对所述第一分片提取哈希值进行拼接处理得到第一拼接哈希值，所述预设字符长度小于所述第一分片哈希值的字符长度；

   对所述第二分片哈希值进行数据提取，得到第二预设字符长度的第二分片提取哈希值，对所述第二分片提取哈希值进行拼接处理得到第二拼接哈希值。
3. 如权利要求1所述的越权漏洞检测方法，其中，所述对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求的步骤包括：

   删除所述第一服务请求中的第一身份标识，得到第二服务请求；

   和/或，

   将所述第一服务请求中的第一身份标识替换为第二身份标识，得到第二服务请求，所述第二身份标识与所述第一身份标识不同。
4. 如权利要求1所述的越权漏洞检测方法，其中，所述确定所述第一拼接哈希值和所述第二拼接哈希值的相似度的步骤包括：

   计算所述第一拼接哈希值和所述第二拼接哈希值的最少编辑操作次数；

   根据所述第一拼接哈希值和所述第二拼接哈希值的字符长度之和，与所述最少编辑操作次数确定所述第一拼接哈希值和所述第二拼接哈希值的相似度。
5. 如权利要求4所述的越权漏洞检测方法，其中，所述计算所述第一拼接哈希值和所述第二拼接哈希值的最少编辑操作次数的步骤包括：

   根据所述第一拼接哈希值的字符长度、所述第二拼接哈希值的字符长度、所述第一拼接哈希值的字符内容和所述第二拼接哈希值的字符内容，构建编辑操作次数矩阵，并对所述编辑操作次数矩阵进行初始化赋值；

   按照预设编辑操作次数公式循环计算所述编辑操作次数矩阵中各矩阵元素对应的编辑操作次数；所述预设编辑操作次数公式为：

   dp[i，j]=min(dp[i-1，j]+1，dp[i，j-1]+1，dp[i-1，j-1]+temp) ，

   其中，dp[i，j]为编辑操作次数矩阵中第i行、第j列的矩阵元素对应的编辑操作次数；

   dp[i-1，j]为编辑操作次数矩阵中第i-1行、第j列的矩阵元素对应的编辑操作次数；

   dp[i，j-1]为编辑操作次数矩阵中第i行、第j-1列的矩阵元素对应的编辑操作次数；

   dp[i-1，j-1]为编辑操作次数矩阵中第i-1行、第j-1列的矩阵元素对应的编辑操作次数；

   若矩阵中第i行、第j列的矩阵元素所对应的两个字符相同，则temp=0；若矩阵中第i行、第j列的矩阵元素所对应的两个字符不相同，则temp=1；

   根据各所述矩阵元素对应的编辑操作次数确定最少编辑操作次数。
6. 如权利要求1所述的越权漏洞检测方法，其中，所述根据所述相似度确定所述待检测***是否存在越权漏洞的步骤包括：

   若所述相似度大于或等于预设相似度阈值，确定所述待检测***存在越权漏洞；

   若所述相似度小于预设相似度阈值，确定所述待检测***不存在越权漏洞。
7. 如权利要求1所述的越权漏洞检测方法，其中，所述接收对待检测***的包括第一身份标识的第一服务请求的步骤之后，还包括：

   确定所述第一服务请求是否涉及敏感信息；

   若是，则执行步骤：对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求。
8. 一种越权漏洞检测装置，其中，所述越权漏洞检测装置包括：

   身份标识修改模块，用于接收对待检测***的包括第一身份标识的第一服务请求，对所述第一服务请求中的第一身份标识进行修改，得到第二服务请求；

   请求执行模块，用于通过所述待检测***执行所述第一服务请求和所述第二服务请求，得到所述第一服务请求对应的第一响应数据和所述第二服务请求对应的第二响应数据；

   分片哈希模块，用于对所述第一响应数据和所述第二响应数据分别进行分片处理，对分片处理得到的各分片数据进行哈希运算，得到所述第一响应数据对应的第一分片哈希值和所述第二应数据对应的第二分片哈希值；

   哈希拼接模块，用于对所述第一分片哈希值进行拼接处理得到第一拼接哈希值，对所述第二分片哈希值进行拼接处理得到第二拼接哈希值

   越权确定模块，用于确定所述第一拼接哈希值和所述第二拼接哈希值的相似度，根据所述相似度确定所述待检测***是否存在越权漏洞。
9. 一种越权漏洞检测设备，其中，所述越权漏洞检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的自定义图表生成程序，所述自定义图表生成程序被所述处理器执行时实现如权利要求1至7中任一项所述的越权漏洞检测方法的步骤。
10. 一种计算机程序产品，其中，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的越权漏洞检测方法的步骤。