[发明专利]越权漏洞的检测方法、装置、设备及存储介质

说明书

本申请公开了一种越权漏洞的检测方法、装置、设备及存储介质，所述方法应用于计算机领域，所述方法包括：获取样本请求和样本响应，样本响应是样本请求对应的响应结果，样本请求中的认证信息是第一认证信息，第一认证信息是有权获得样本响应的认证信息；对样本请求中的第一认证信息进行编辑处理，生成测试请求；获取测试请求对应的测试响应；通过样本响应和测试响应之间的相似度，计算样本请求的越权风险值。该方法可以解决人工进行越权漏洞的检测，工作过于繁复，且人工判断出的结果存在主观因素，无法精确判断越权漏洞。

技术领域

本申请涉及计算机领域，特别涉及一种越权漏洞的检测方法、装置、设备及存储介质。

背景技术

越权漏洞是一种常见的逻辑安全漏洞。越权，就是超出了权限或权力范围。多数应用都具备权限划分和控制，但是如果权限控制功能设计存在缺陷，那么用户就可以通过这些缺陷来访问未经授权的功能或数据，这就是越权漏洞。用户越权后就可以进行一些操作，例如查看敏感信息、进行一些增删改查的操作等。

相关技术中，安全工程师需要人工检测越权漏洞。人工检测越权漏洞是通过将请求中的认证信息替换为不同用户的认证信息进行交叉测试，通过对两次请求返回的响应数据的差异进行比较，确定是否存在越权漏洞。例如，用户A对应有第一数据，第一数据只有用户A有权访问，终端向服务器发送样本请求，请求访问第一数据，样本请求包括访问第一数据的请求和用户A的认证信息，服务器在验证用户A的认证信息后返回第一数据。若将样本请求中的认证信息更换为用户B的认证信息，服务器也返回第一数据，即，用户B访问了没有权限访问的数据，则说明存在越权漏洞。

相关技术中的越权漏洞检测方法，通过人工来判断每一次请求是否存在越权漏洞，存在主观因素，无法精确判断越权漏洞。

发明内容

本申请实施例提供了一种越权漏洞的检测方法、装置、设备及存储介质，可以解决相关技术中的越权漏洞检测方法，通过人工来判断每一次请求是否存在越权漏洞，存在主观因素，无法精确判断越权漏洞的问题。所述技术方案如下：

根据本申请的一个方面，提供了一种越权漏洞的检测方法，所述方法包括：

获取样本请求和样本响应，所述样本响应是所述样本请求对应的响应结果，所述样本请求中的认证信息是第一认证信息，所述第一认证信息是有权获得所述样本响应的认证信息；

对所述样本请求中的所述第一认证信息进行编辑处理，生成测试请求；

获取所述测试请求对应的测试响应；

通过所述样本响应和所述测试响应之间的相似度，计算所述样本请求的越权风险值。

根据本申请的另一方面，提供了一种越权漏洞的检测装置，所述装置包括：

获取模块，用于获取样本请求和样本响应，所述样本响应是所述样本请求对应的响应结果，所述样本请求中的认证信息是第一认证信息，所述第一认证信息是有权获得所述样本响应的认证信息；

生成模块，用于对所述样本请求中的所述第一认证信息进行编辑处理，生成测试请求；

所述获取模块，还用于获取所述测试请求对应的测试响应；

计算模块，用于通过所述样本响应和所述测试响应之间的相似度，计算所述样本请求的越权风险值。

根据本申请的另一方面，提供了一种计算机设备，所述计算机设备包括：处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上方面所述的越权漏洞的检测方法。