[发明专利]水平越权漏洞检测方法、设备及计算机可读存储介质

说明书

本发明公开了一种水平越权漏洞检测方法、设备及计算机可读存储介质，该方法包括以下步骤：遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数；根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问；根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞。本发明因用于确定web应用是否存在水平越权漏洞的响应结果依据待检测参数生成，而待检测参数来源于访问请求，使得针对web应用中各功能的访问请求均可触发检测，确保了检测的灵活性和全面性。

技术领域

本发明涉及互联网技术领域，尤其涉及一种水平越权漏洞检测方法、设备及计算机可读存储介质。

背景技术

随着互联网技术的发展，web(World Wide Web，全球广域网，也称为万维网)应用的普及程度越来越高。web应用是通过web访问的应用程序，只需要在终端中安装浏览器，即可实现对各应用软件进行访问，方便了对应用软件的访问需求。

但是，互联网在给人们生活带来便利的同时，也使得不法分子对互联网的网络攻击大幅增加。web应用中，水平越权漏洞是常见的安全漏洞，攻击者利用该漏洞可能造成大量用户敏感数据泄密丢失、用户资金恶意盗刷等安全问题。因此，如何增强web应用的水平越权漏洞，提前发现安全隐患，已成为当前web应用的迫切需要。

现阶段对Web应用的安全检测主要是通过通用扫描工具或者人工渗透来实现，但是通用扫描工具只能覆盖常规漏洞，针对产品个性化特点的漏洞，通用扫描工具则无法检测，检测的灵活性差。而人工渗透需要反复投入人力，且在web应用所支持功能较多的情况下，容易遗漏。从而如何提高web应用水平越权漏洞的灵活性和全面性，是当前亟待解决的技术问题。

发明内容

本发明的主要目的在于提供一种水平越权漏洞检测方法、设备及计算机可读存储介质，旨在解决现有技术如何提高web应用水平越权漏洞的灵活性和全面性的技术问题。

为实现上述目的，本发明提供一种水平越权漏洞检测方法，所述水平越权漏洞检测方法包括以下步骤：

遍历预设资源库中的访问请求，并对各所述访问请求进行过滤，生成待检测访问请求以及所述待检测访问请求的待检测参数；

根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问；

根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞。

可选地，所述根据各所述待检测参数，生成待验证访问请求，并基于所述待验证访问请求发起访问的步骤包括：

对各所述待检测参数进行组合，生成组合参数，并从预设资源库中查找目标访问请求，其中所述目标访问请求的访问地址与所述待检测访问请求的访问地址相同；

查找所述目标访问请求中与所述组合参数对应的目标参数，用所述组合参数对所述目标参数进行替换，生成待验证访问请求，并基于所述待验证访问请求发起访问。

可选地，所述根据访问所生成的响应结果，确定与所述访问请求对应的web应用是否存在水平越权漏洞的步骤包括：

获取所述待验证访问请求发起访问所生成的响应结果，并调用所述待检测访问请求对应的目标访问结果；

生成所述响应结果和所述目标访问结果之间的相似度值，并判断所述相似度值是否大于预设阈值；

若所述相似度值大于所述预设阈值，则判定与所述访问请求对应的web应用存在水平越权漏洞；

若所述相似度值不大于所述预设阈值，则判定与所述访问请求对应的web应用不存在水平越权漏洞。