[发明专利]一种越权漏洞的检测方法、装置及系统

权利要求书

1.一种越权漏洞的检测方法，其特征在于，包括：

在使用第一登录态访问目标应用程序时，判断所产生的数据中是否存在预设类型数据；

若存在预设类型数据，则根据所述目标应用程序对应的域名信息，获得对应所述目标应用程序的第二登录态，其中，所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识；

在使用所述第二登录态访问所述目标应用程序时，判断所产生的数据中是否存在所述预设类型数据，若存在所述预设类型数据，则确定所述目标应用程序中存在越权漏洞；

其中，所述在使用第一登录态访问目标应用程序时，判断所产生的数据中是否存在预设类型数据，具体包括：获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求；根据所述第一访问请求，获得针对所述第一访问请求产生的第一响应数据；将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型；若提取到所述预设类型数据，则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据，若没有提取到所述预设类型数据，则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。

2.根据权利要求1所述的方法，其特征在于，所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述目标应用程序时的所有操作指令。

3.根据权利要求1所述的方法，其特征在于，所述第一响应数据为使用所述第一登录态访问所述目标应用程序时，针对所述第一访问请求获得的所有响应数据。

4.根据权利要求1所述的方法，其特征在于，所述在使用所述第二登录态访问所述目标应用程序时，判断所产生的数据中是否存在所述预设类型数据，具体包括：

获得在使用所述第二登录态访问所述目标应用程序时针对所述目标应用程序重新发送的所述第一访问请求；

根据所述第一访问请求，获得针对所述第一访问请求产生的第二响应数据；

将所述第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型；

若提取到所述预设类型数据，则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据，若没有提取到所述预设类型数据，则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。

5.根据权利要求4所述的方法，其特征在于，所述第二响应数据为使用所述第二登录态访问所述目标应用程序时，针对所述第一访问请求获得的所有响应数据。

6.根据权利要求1所述的方法，其特征在于，所述根据所述目标应用程序对应的域名信息，获得对应所述目标应用程序的第二登录态，具体包括：

获取所述目标应用程序对应的域名信息；

对所述域名信息进行拼接处理，得到针对所述目标应用程序的第二登录态。

7.根据权利要求1所述的方法，其特征在于，所述获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求，具体包括：

在向所述目标应用程序发送所述第一访问请求之前触发执行日志记录操作，获得记录所述目标应用程序的所产生的数据的日志记录表；

分析所述日志记录表，获得使用所述第一登录态访问所述目标应用程序时的所述第一访问请求以及针对所述第一访问请求返回的所述第一响应数据。

8.根据权利要求1-7任意一项权利要求所述的方法，其特征在于，所述预设类型数据包括所述目标应用程序中存在的手机号数据、身份证号数据以及电子邮件数据中的至少一种数据。

9.根据权利要求1所述的方法，其特征在于，还包括：

若确定所述目标应用程序存在所述越权漏洞，则根据所述预设类型数据以及预设的预设类型数据与目标区域之间的对应关系，确定所述预设类型数据对应的目标区域；

对所述目标区域进行标识，输出用于显示所述越权漏洞在所述目标应用程序中具体位置的目标区域标识。