[发明专利]越权漏洞的检测方法、装置、存储介质及计算机设备

说明书

本申请提出一种越权漏洞的检测方法、装置、存储介质及计算机设备，该方法包括接收请求消息；确定与请求消息对应的第一账户信息；确定与请求消息对应的会话的第二账户信息；根据第一账户信息结合第二账户信息对请求消息进行越权漏洞检测。通过本申请能够有效提升越权漏洞检测全面性，提升越权漏洞检测的精准性，从而提升越权漏洞的检测效果。

技术领域

本申请涉及计算机安全技术领域，尤其涉及一种越权漏洞的检测方法、装置、存储介质及计算机设备。

背景技术

在各类安全漏洞中，逻辑漏洞相比于SQL结构化查询语言(Structured QueryLanguage)注入等传统安全漏洞更加难以发现的，且更容易产生，所以此类漏洞已经成为数据泄露等安全风险的主要原因之一。而在各类逻辑漏洞中越权漏洞则更为常见，开发人员往往无法保障所有的接口都具备完善的权限校验逻辑，导致应用中或多或少的都会存在一定的接口存在越权漏洞，而一但是存在于关键接口，例如获取敏感信息接口，执行敏感操作接口等，则会导致严重的安全问题。

相关技术中，通常基于特征检测逻辑漏洞，而基于特征检测的方法是难以适用于越权漏洞的检测的，因为越权漏洞的攻击请求没有固定的请求特征，或者，通过识别请求应答页面中的表单及对应的隐藏域中不可修改参数来检测越权漏洞等，这类方式的检测覆盖范围有限，检测的准确性不佳。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的目的在于提出一种越权漏洞的检测方法、装置、存储介质及计算机设备，能够有效提升越权漏洞检测全面性，提升越权漏洞检测的精准性，从而提升越权漏洞的检测效果。

为达到上述目的，本申请第一方面实施例提出的越权漏洞的检测方法，包括：接收请求消息；确定与所述请求消息对应的第一账户信息；确定与所述请求消息对应的会话的第二账户信息；根据所述第一账户信息结合所述第二账户信息对所述请求消息进行越权漏洞检测。

本申请第一方面实施例提出的越权漏洞的检测方法，通过接收请求消息，确定与请求消息对应的第一账户信息，并确定与请求消息对应的会话的第二账户信息，以及根据第一账户信息结合第二账户信息对请求消息进行越权漏洞检测，能够有效提升越权漏洞检测全面性，提升越权漏洞检测的精准性，从而提升越权漏洞的检测效果。

为达到上述目的，本申请第二方面实施例提出的越权漏洞的检测装置，包括：接收模块，用于接收请求消息；第一确定模块，用于确定与所述请求消息对应的第一账户信息；第二确定模块，用于确定与所述请求消息对应的会话的第二账户信息；检测模块，用于根据所述第一账户信息结合所述第二账户信息对所述请求消息进行越权漏洞检测。

本申请第二方面实施例提出的越权漏洞的检测装置，通过接收请求消息，确定与请求消息对应的第一账户信息，并确定与请求消息对应的会话的第二账户信息，以及根据第一账户信息结合第二账户信息对请求消息进行越权漏洞检测，能够有效提升越权漏洞检测全面性，提升越权漏洞检测的精准性，从而提升越权漏洞的检测效果。

本申请第三方面实施例提出的非临时性计算机可读存储介质，当所述存储介质中的指令由计算机设备的处理器被执行时，使得计算机设备能够执行一种越权漏洞的检测方法，所述方法包括：本申请第一方面实施例提出的越权漏洞的检测方法。

本申请第三方面实施例提出的非临时性计算机可读存储介质，通过接收请求消息，确定与请求消息对应的第一账户信息，并确定与请求消息对应的会话的第二账户信息，以及根据第一账户信息结合第二账户信息对请求消息进行越权漏洞检测，能够有效提升越权漏洞检测全面性，提升越权漏洞检测的精准性，从而提升越权漏洞的检测效果。