[发明专利]平行越权漏洞检测方法、装置、存储介质及电子设备

说明书

本公开提供了一种平行越权漏洞检测方法、装置、存储介质及电子设备。该方法包括：获取包含目标参数的第一访问地址，并根据所述第一访问地址构建第一网络请求；调用网络通信服务，以根据所述第一网络请求获取第一响应信息；修改所述目标参数，以形成包含修改后的目标参数的第二访问地址，并根据所述第二访问地址构建第二网络请求；调用所述网络通信服务，以根据所述第二网络请求获取第二响应信息；根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。本公开的技术方案能够快速地、准确地检测出平行越权漏洞，提高用户敏感信息的安全性，进一步提高用户体验。

技术领域

本公开涉及计算机技术领域，具体而言，涉及一种平行越权漏洞检测方法、平行越权漏洞检测装置、计算机可读存储介质及电子设备。

背景技术

越权漏洞是一种常见的逻辑安全漏洞，相比SQL注入、XSS漏洞等传统安全漏洞，攻击者更倾向于挖掘业务逻辑层的应用安全问题，这类安全问题的危害巨大，可能造成企业的用户敏感信息泄露和名誉损失。

越权漏洞包括平行越权漏洞和垂直越权漏洞，其中平行越权漏洞是服务器端对用户提出的数据操作请求过于信任，忽略了对用户操作权限的判定，导致普通用户拥有了其他普通用户的增删改查功能。如果业务存在平行越权漏洞的话，就可以查看其他用户的敏感信息，而传统的Web安全漏洞扫描器没有一个是具有平行越权漏洞扫描功能的。

鉴于此，本领域亟需开发一种新的平行越权漏洞检测方法。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的实施例提供了一种平行越权漏洞检测方法、平行越权漏洞检测装置、计算机可读存储介质及电子设备，进而至少在一定程度上可以快速检测出平行越权漏洞，降低平行越权漏洞的误报率，进而提高业务逻辑层的安全性。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开实施例的一个方面，提供了一种平行越权漏洞检测方法，包括：获取包含目标参数的第一访问地址，并根据所述第一访问地址构建第一网络请求；调用网络通信服务，以根据所述第一网络请求获取第一响应信息；修改所述目标参数，以形成包含修改后的目标参数的第二访问地址，并根据所述第二访问地址构建第二网络请求；调用所述网络通信服务，以根据所述第二网络请求获取第二响应信息；根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。

根据本公开实施例的一个方面，提供了一种平行越权漏洞检测装置，包括：第一请求构建模块，用于获取包含目标参数的第一访问地址，并根据所述第一访问地址构建第一网络请求；第一信息获取模块，用于调用网络通信服务，以根据所述第一网络请求获取第一响应信息；第二请求构建模块，用于修改所述目标参数，以形成包含修改后的目标参数的第二访问地址，并根据所述第二访问地址构建第二网络请求；第二信息获取模块，用于调用所述网络通信服务，以根据所述第二网络请求获取第二响应信息；越权漏洞检测模块，用于根据所述第一响应信息和所述第二响应信息判断是否存在平行越权漏洞。

在本公开的一些实施例中，基于前述方案，所述越权漏洞检测模块包括第一检测单元，用于调用规则管理服务并提取第一判断规则，以根据所述第一响应信息、所述第二响应信息和所述第一判断规则判断是否存在所述平行越权漏洞。

在本公开的一些实施例中，所述第一判断规则包括内容比对和内容长度比对；基于前述方案，所述第一检测单元包括：比对单元，用于将所述第一响应信息的内容与所述第二响应信息的内容进行比对；第一判定单元，用于在所述第一响应信息的内容与所述第二响应信息的内容相同时，判定不存在所述平行越权漏洞；第二判定单元，用于在所述第一响应信息的内容与所述第二响应信息的内容不同时，根据所述第一响应信息的内容长度与所述第二响应信息的内容长度判断是否存在所述平行越权漏洞。