一種越權漏洞的檢測方法、裝置及系統制造方法及圖紙

本申請公開一種越權漏洞的檢測方法，在使用第一登錄態訪問目標應用程序時，判斷所產生的數據中是否存在預設類型數據；若存在預設類型數據，則根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態。在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，若存在所述預設類型數據，則確定所述目標應用程序中存在越權漏洞。采用本申請所述的越權漏洞的檢測方法，可以通過替換登錄態的方式，實現兩次判斷待檢測的目標應用程序中是否存在敏感信息，從而確定是否存在越權漏洞，減少繁瑣的操作步驟，提升了用戶的使用體驗。

A detection method, device and system of ultra vires loopholes

【技術實現步驟摘要】
一種越權漏洞的檢測方法、裝置及系統
本申請涉及數據安全領域，具體涉及一種越權漏洞的檢測方法、裝置及系統。另外涉及一種檢測越權漏洞的電子設備及存儲設備。
技術介紹
Web應用程序是基于瀏覽器/服務器架構的應用程序，是隨著網絡技術的發展而產生的應用程序類型。Web應用程序包含一些靜態的頁面，不僅具有信息展示功能，還可以通過調用頁面中的不同業務邏輯接口對數據執行相應的處理操作。但是，與傳統的計算機應用程序一樣，Web應用程序由于在開發過程中安全策略上的缺陷，使其必然存在一定量的漏洞。其中，越權漏洞是測試Web應用程序過程中常見的業務邏輯漏洞之一。它的形成原因是由于服務器端對客戶端的Web應用程序提出的數據操作請求過分信任，忽略了對其操作權限的判定。攻擊者使用一個合法賬戶，即可對存在越權缺陷漏洞的其他賬戶數據進行非法的操作。為了應對Web應用程序的存在越權漏洞的問題，本領域技術人員已經開發出一些針對Web應用程序的越權漏洞掃描工具，例如BurpSuite等。用戶利用這些軟件進行抓包操作，然后修改請求Request參數，對比反饋的結果確定是否包含敏感信息，從而實現對Web應用程序的一些常規越權漏洞的檢測。但是，上述解決方案通常消耗的人力資源比較大，檢測人員需要進行大量的重復性工作，且依賴安全測試人員的主觀經驗，存在操作步驟比較繁瑣、檢測效率低下等弊端，尤其是無法實現大規模的Web應用程序越權漏洞的檢測工作。
技術實現思路
本申請提供一種越權漏洞的檢測方法、裝置及系統，以解決現有技術中存在的檢測越權漏洞的方式效率低下，難以滿足用戶需求的問題。本申請另外提供一種檢測越權漏洞的電子設備及存儲設備。本申請提供的一種越權漏洞的檢測方法，包括：在使用第一登錄態訪問目標應用程序時，判斷所產生的數據中是否存在預設類型數據；若存在預設類型數據，則根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態，其中，所述第一登錄態和所述第二登錄態分別表示訪問所述目標應用程序的兩個不同用戶的身份標識；在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，若存在所述預設類型數據，則確定所述目標應用程序中存在越權漏洞。可選的，所述在使用第一登錄態訪問目標應用程序時，判斷所產生的數據中是否存在預設類型數據，具體包括：獲得在使用所述第一登錄態訪問所述目標應用程序時的第一訪問請求；根據所述第一訪問請求，獲得針對所述第一訪問請求產生的第一響應數據；將所述第一響應數據輸入預先訓練的用于提取預設類型數據的預設類型數據提取模型；若提取到所述預設類型數據，則判斷在使用所述第一登錄態訪問所述目標應用程序時所產生的數據中存在所述預設類型數據，若沒有提取到所述預設類型數據，則判斷在使用所述第一登錄態訪問所述目標應用程序時所產生的數據中不存在所述預設類型數據。可選的，所述第一訪問請求為在所述第一登錄態對應的操作權限范圍內訪問所述目標應用程序時的所有操作指令。可選的，所述第一響應數據為使用所述第一登錄態訪問所述目標應用程序時針對所述第一訪問請求獲得的所有響應數據。可選的，所述在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，具體包括：獲得在使用所述第二登錄態訪問所述目標應用程序時針對所述目標應用程序重新發送的所述第一訪問請求；根據所述第一訪問請求，獲得針對所述第一訪問請求產生的第二響應數據；將所述第二響應數據輸入預先訓練的用于提取預設類型數據的預設類型數據提取模型；若提取到所述預設類型數據，則判斷在使用所述第二登錄態訪問所述目標應用程序時所產生的數據中存在所述預設類型數據，若沒有提取到所述預設類型數據，則判斷在使用所述第二登錄態訪問所述目標應用程序時所產生的數據中不存在所述預設類型數據。可選的，所述第二響應數據為使用所述第二登錄態訪問所述目標應用程序時針對所述第一訪問請求獲得的所有響應數據。可選的，所述根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態，具體包括：獲取所述目標應用程序對應的域名信息；對所述域名信息進行拼接處理，得到針對所述目標應用程序的第二登錄態。可選的，所述獲得在使用第一登錄態訪問目標應用程序時的第一訪問請求，具體包括：在向所述目標應用程序發送所述第一訪問請求之前觸發執行日志記錄操作，獲得記錄所述目標應用程序的數據流量的日志記錄表；分析所述日志記錄表，獲得使用所述第一登錄態訪問所述目標應用程序時的所述第一訪問請求以及針對所述第一訪問請求返回的所述第一響應數據。可選的，所述預設類型數據包括所述目標應用程序中存在的手機號數據、身份證號數據以及電子郵件數據中的至少一種數據。所述的方法還包括：若確定所述目標應用程序存在越權漏洞，則根據所述預設類型數據以及預設的預設類型數據與目標區域之間的對應關系，確定所述預設類型數據對應的目標區域；對所述目標區域進行標識，輸出用于顯示所述越權漏洞在所述目標應用程序中具體位置的目標區域標識。可選的，所述目標區域為包含所述預設類型數據的頁面區域和用于處理所述預設類型數據的程序接口區域中的至少一種區域。相應的本申請還提供另一種越權漏洞的檢測方法，包括：獲得目標應用程序，其中，所述目標應用程序是指在使用第一登錄態訪問應用程序時所產生的數據中存在預設類型數據的應用程序；根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態，其中，所述第一登錄態和所述第二登錄態分別表示訪問所述目標應用程序的兩個不同用戶的身份標識；在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，若存在所述預設類型數據，則確定所述目標應用程序中存在越權漏洞。可選的，所述的方法還包括：在使用所述第一登錄態訪問所述應用程序時，判斷所產生的數據中是否存在所述預設類型數據；若存在所述預設類型數據，則確定所述應用程序為目標應用程序。可選的，所述在使用所述第一登錄態訪問所述應用程序時，判斷所產生的數據中是否存在所述預設類型數據，具體包括：獲得在使用所述第一登錄態訪問所述應用程序時的所述第一訪問請求；根據所述第一訪問請求，獲得針對所述第一訪問請求產生的第一響應數據；將所述第一響應數據輸入預先訓練的用于提取預設類型數據的預設類型數據提取模型；若提取到所述預設類型數據，則判斷在使用所述第一登錄態訪問所述應用程序時所產生的數據中存在所述預設類型數據，若沒有提取到所述預設類型數據，則判斷在使用所述第一登錄態訪問所述應用程序時所產生的數據中不存在所述預設類型數據。可選的，所述第一訪問請求為在所述第一登錄態對應的操作權限范圍內訪問所述應用程序時的所有操作指令。可選的，所述第一響應數據為使用所述第一登錄態訪問所述應用程序時針對所述第一訪問請求獲得的所有響應數據。可選的，所述在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，具體包括：獲得在使用所述第二登錄態訪問所述目標應用程序時針對所本文檔來自技高網...

【技術保護點】
1.一種越權漏洞的檢測方法，其特征在于，包括：/n在使用第一登錄態訪問目標應用程序時，判斷所產生的數據中是否存在預設類型數據；/n若存在預設類型數據，則根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態，其中，所述第一登錄態和所述第二登錄態分別表示訪問所述目標應用程序的兩個不同用戶的身份標識；/n在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，若存在所述預設類型數據，則確定所述目標應用程序中存在越權漏洞。/n

【技術特征摘要】
1.一種越權漏洞的檢測方法，其特征在于，包括：
在使用第一登錄態訪問目標應用程序時，判斷所產生的數據中是否存在預設類型數據；
若存在預設類型數據，則根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態，其中，所述第一登錄態和所述第二登錄態分別表示訪問所述目標應用程序的兩個不同用戶的身份標識；
在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，若存在所述預設類型數據，則確定所述目標應用程序中存在越權漏洞。


2.根據權利要求1所述的方法，其特征在于，所述在使用第一登錄態訪問目標應用程序時，判斷所產生的數據中是否存在預設類型數據，具體包括：
獲得在使用所述第一登錄態訪問所述目標應用程序時的第一訪問請求；
根據所述第一訪問請求，獲得針對所述第一訪問請求產生的第一響應數據；
將所述第一響應數據輸入預先訓練的用于提取預設類型數據的預設類型數據提取模型；
若提取到所述預設類型數據，則判斷在使用所述第一登錄態訪問所述目標應用程序時所產生的數據中存在所述預設類型數據，若沒有提取到所述預設類型數據，則判斷在使用所述第一登錄態訪問所述目標應用程序時所產生的數據中不存在所述預設類型數據。


3.根據權利要求2所述的方法，其特征在于，所述第一訪問請求為在所述第一登錄態對應的操作權限范圍內訪問所述目標應用程序時的所有操作指令。


4.根據權利要求2所述的方法，其特征在于，所述第一響應數據為使用所述第一登錄態訪問所述目標應用程序時，針對所述第一訪問請求獲得的所有響應數據。


5.根據權利要求1所述的方法，其特征在于，所述在使用所述第二登錄態訪問所述目標應用程序時，判斷所產生的數據中是否存在所述預設類型數據，具體包括：
獲得在使用所述第二登錄態訪問所述目標應用程序時針對所述目標應用程序重新發送的所述第一訪問請求；
根據所述第一訪問請求，獲得針對所述第一訪問請求產生的第二響應數據；
將所述第二響應數據輸入預先訓練的用于提取預設類型數據的預設類型數據提取模型；
若提取到所述預設類型數據，則判斷在使用所述第二登錄態訪問所述目標應用程序時所產生的數據中存在所述預設類型數據，若沒有提取到所述預設類型數據，則判斷在使用所述第二登錄態訪問所述目標應用程序時所產生的數據中不存在所述預設類型數據。


6.根據權利要求5所述的方法，其特征在于，所述第二響應數據為使用所述第二登錄態訪問所述目標應用程序時，針對所述第一訪問請求獲得的所有響應數據。


7.根據權利要求1所述的方法，其特征在于，所述根據所述目標應用程序對應的域名信息，獲得對應所述目標應用程序的第二登錄態，具體包括：
獲取所述目標應用程序對應的域名信息；
對所述域名信息進行拼接處理，得到針對所述目標應用程序的第二登錄態。


8.根據權利要求2所述的方法，其特征在于，所述獲得在使用所述第一登錄態訪問所述目標應用程序時的第一訪問請求，具體包括：
在向所述目標應用程序發送所述第一訪問請求之前觸發執行日志記錄操作，獲得記錄所述目標應用程序的所產生的數據的日志記錄表；
分析所述日志記錄表，獲得使用所述第一登錄態訪問所述目標應用程序時的所述第一訪問請求以及針對所述第一訪問請求返回的所述第一響應數據。


9.根據...

【專利技術屬性】
技術研發人員：林曉明，
申請(專利權)人：阿里巴巴集團控股有限公司，
類型：發明
國別省市：開曼群島;KY