[发明专利]水平越权漏洞检测方法、设备及计算机可读存储介质

权利要求书

1.一种水平越权漏洞检测方法，其特征在于，所述水平越权漏洞检测方法包括以下步骤：

遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，其中，预先设置所述预设资源库，存放web应用进行访问的访问请求；

根据过滤结果确认所述访问请求和所述访问请求的携带参数是否符合过滤条件，其中，将各所述访问请求作为处理单位进行单独处理，根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件，若符合预设过滤条件，则对所述访问请求进行过滤，若不符合预设过滤条件，则将所述访问请求作为待检测访问请求；

将所述访问请求中参数类型为预设类型的入参参数剔除，得到所述访问请求中的待过滤参数；

筛选出各所述待过滤参数中参数长度大于预设长度的目标待过滤参数，并将各所述目标待过滤参数中参数值为预设值的目标待过滤参数剔除，生成待检测参数；

对各所述待检测参数进行组合，生成组合参数，并从预设资源库中查找目标访问请求，其中所述目标访问请求的访问地址与所述待检测访问请求的访问地址相同；

查找所述目标访问请求中与所述组合参数对应的目标参数，用所述组合参数对所述目标参数进行替换，生成待验证访问请求，并基于所述待验证访问请求发起访问；

获取所述待验证访问请求发起访问所生成的响应结果，并调用所述待检测访问请求对应的目标访问结果；

生成所述响应结果和所述目标访问结果之间的相似度值，并判断所述相似度值是否大于预设阈值；

若所述相似度值大于所述预设阈值，则判定与所述访问请求对应的web应用存在水平越权漏洞；

若所述相似度值不大于所述预设阈值，则判定与所述访问请求对应的web应用不存在水平越权漏洞。

2.如权利要求1所述的水平越权漏洞检测方法，其特征在于，所述根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件的步骤包括：

判断所述访问请求中入参参数的参数类型是否均为预设类型，若所述参数类型均为预设类型，则判定所述访问请求符合预设过滤条件；

若所述参数类型不均为预设类型，则判断所述访问请求的响应属性是否为预设属性；

若所述响应属性为预设属性，则判定所述访问请求符合预设过滤条件；

若所述响应属性不为预设属性，则判定所述访问请求不符合预设过滤条件。

3.如权利要求1所述的水平越权漏洞检测方法，其特征在于，所述根据所述访问请求的入参参数，判断所述访问请求是否符合预设过滤条件的步骤包括：

判断所述预设资源库中是否存在与所述访问请求对应的待对比访问请求，其中所述待对比访问请求和所述访问请求之间具有相同的固定参数和参数值；

若存在与所述访问请求对应的待对比访问请求，则判断所述访问请求符合预设过滤条件；

若不存在与所述访问请求对应的待对比访问请求，则判定所述访问请求不符合预设过滤条件。

4.如权利要求1-3任一项所述的水平越权漏洞检测方法，其特征在于，所述水平越权漏洞检测方法还包括：

若与所述访问请求对应的web应用存在水平越权漏洞，则对所述web应用所存在的水平越权漏洞进行标记，并对经标记的所述水平越权漏洞输出提示信息。

5.一种水平越权漏洞检测设备，其特征在于，所述水平越权漏洞检测设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的水平越权漏洞检测程序，所述水平越权漏洞检测程序被所述处理器执行时实现如权利要求1-4中任一项所述的水平越权漏洞检测方法的步骤。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有水平越权漏洞检测程序，所述水平越权漏洞检测程序被处理器执行时实现如权利要求1-4中任一项所述的水平越权漏洞检测方法的步骤。