[发明专利]越权检测方法和辅助装置

说明书

本发明涉及安全测试相关技术领域，具体涉及一种越权检测方法和辅助装置。本申请提供的越权检测方法，包括：对待检测系统进行预设置，使得进行越权检测时，角色信息可以自动认证；创建用于进行越权检测的工作空间；对工作空间进行配置，以便于确定测试范围和越权检测时可以进行角色信息替换；从redis队列中取得测试流量，流入与所述测试流量匹配的工作空间；其中，所述测试流量为测试人员在点击待测功能时，通过流量传输装置传入服务端在经过身份校验后存入redis服务器中；使用工作空间，对所述测试流量以不通身份进行重放，得到响应信息；存储所述响应信息。

技术领域

本发明涉及安全测试相关技术领域，具体涉及一种越权检测方法和辅助装置。

背景技术

随着业务的拓展，应用数量越来越多，应用的复杂度也越来越大。众多安全问题中，逻辑漏洞是自动化扫描工具所难以覆盖到的，而越权便是逻辑漏洞中常见的一个问题。

越权大致可分为三种类型：未授权访问、垂直越权和水平越权。

目前，安全测试中的越权检测主要还是要依靠人力手动去测试，对于一些复杂的业务系统，需要在不同身份之间切换，且分析大量请求的过程不仅对人力的需求很大，同时容易漏掉一些越权逻辑漏洞。

发明内容

为至少在一定程度上克服相关技术中存在的问题，本申请提供一种越权检测方法和辅助装置。

基于本申请的第一方面，本申请提供一种越权检测方法，包括：

对待检测系统进行预设置，使得进行越权检测时，角色信息可以自动认证；

创建用于进行越权检测的工作空间；

对工作空间进行配置，以便于确定测试范围和越权检测时可以进行角色信息替换；

从redis队列中取得测试流量，流入与所述测试流量匹配的工作空间；其中，所述测试流量为测试人员在点击待测功能时，通过流量传输装置传入服务端在经过身份校验后存入redis服务器中；

使用工作空间，对所述测试流量以不通身份进行重放，得到响应信息；存储所述响应信息。

可选的，还包括：

|通过websocket或js轮询实时展示所述测试流量在不同角色下的响应信息。

可选的，轮询实时监听到所述测试流量在不同角色下的响应信息时，对响应信息完全一样的条目进行高亮标识。

可选的，获取第一控制指令；

基于第一获取的控制指令，重放、过滤和/或刷新测试操作中的操作。

可选的，获取第二控制指令；

基于第二获取的控制指令，改变控制该工作空间的状态为开始、暂停或完成。

可选的，首页解析包括：

使用chrome headless去打开这个首页地址；

通过预先配置的账号模拟登录，模拟点击菜单，并记录下来所有流量；

根据流量获取到该工作空间需要测试的范围及一些必要的配置信息。

可选的，所述对待检测系统进行预设置包括：

若待检测系统为接入统一认证的系统，通过管理员账号进行一定的预配置，以便在扫描时完成角色的自动认证。

可选的，实现自动认证的方式包括：

与统一认证系统打通，以使得无需特殊配置即可完成身份认证；

或者，模拟统一认证的登录过程，通过预先获取的账号配置，保证在越权检测时自动完成身份认证；