[发明专利]一种越权访问漏洞检测方法、装置、系统和存储介质

权利要求书

1.一种越权访问漏洞检测方法，其特征在于，应用于代理服务器，包括：

当接收到用户访问目标网站的http请求时，将所述http请求发送至所述目标网站的服务器，并获取所述目标网站的服务器根据所述http请求发送的原始返回信息；

确定所述http请求的请求参数，替换所述请求参数中的cookie信息，生成第一目标http请求；

获取所述目标网站的服务器根据所述第一目标http请求发送的第一目标返回信息，并对所述原始返回信息与所述第一目标返回信息进行比对；

根据得到的第一比对结果，生成越权检测结果。

2.根据权利要求1所述的越权访问漏洞检测方法，其特征在于，在所述确定所述http请求的请求参数之后，还包括：

删除所述请求参数中的cookie信息，生成第二目标http请求；

获取所述目标网站的服务器根据所述第二目标http请求发送的第二目标返回信息，并对所述原始返回信息与所述第二目标返回信息进行比对，生成第二比对结果；

根据所述第二比对结果和所述第一比对结果，生成更新后的越权检测结果。

3.根据权利要求2所述的越权访问漏洞检测方法，其特征在于，所述根据所述第二比对结果和所述第一比对结果，生成更新后的越权检测结果，包括：

若所述第二比对结果和所述第一比对结果不同，则所述更新后的越权检测结果为所述目标网站存在越权访问漏洞。

4.根据权利要求1所述的越权访问漏洞检测方法，其特征在于，所述替换所述请求参数中的cookie信息，包括：

利用库函数替换所述请求参数中的cookie信息。

5.一种越权访问漏洞检测装置，其特征在于，应用于代理服务器，包括：

获取模块，用于当接收到用户访问目标网站的http请求时，将所述http请求发送至所述目标网站的服务器，并获取所述目标网站的服务器根据所述http请求发送的原始返回信息；

替换模块，用于确定所述http请求的请求参数，替换所述请求参数中的cookie信息，生成第一目标http请求；

第一比对模块，用于获取所述目标网站的服务器根据所述第一目标http请求发送的第一目标返回信息，并对所述原始返回信息与所述第一目标返回信息进行比对；

第一生成模块，用于根据得到的第一比对结果，生成越权检测结果。

6.根据权利要求5所述的越权访问漏洞检测装置，其特征在于，还包括：

删除模块，用于删除所述请求参数中的cookie信息，生成第二目标http请求；

第二比对模块，用于获取所述目标网站的服务器根据所述第二目标http请求发送的第二目标返回信息，并对所述原始返回信息与所述第二目标返回信息进行比对，生成第二比对结果；

第二生成模块，用于根据所述第二比对结果和所述第一比对结果，生成更新后的越权检测结果。

7.根据权利要求5所述的越权访问漏洞检测装置，其特征在于，所述第二生成模块，包括：

越权检测结果单元，用于若所述第二比对结果和所述第一比对结果不同，则所述更新后的越权检测结果为所述目标网站存在越权访问漏洞。

8.一种越权访问漏洞检测系统，其特征在于，包括：

客户端，用于发送访问目标网站的http请求；

代理服务器，用于执行所述计算机程序时实现如权利要求1至4任一项所述的越权访问漏洞检测方法的步骤；

网站服务器，用于接收所述http请求和第一目标http请求，并发送根据所述http请求生成的原始返回信息以及根据所述第一目标http请求发送的第一目标返回信息至所述代理服务器。

9.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至4任一项所述的越权访问漏洞检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的越权访问漏洞检测方法的步骤。