[发明专利]一种水平权限漏洞的识别方法、装置及其设备在审
| 申请号: | 201710908561.5 | 申请日: | 2017-09-29 |
| 公开(公告)号: | CN109583210A | 公开(公告)日: | 2019-04-05 |
| 发明(设计)人: | 金耀宇 | 申请(专利权)人: | 阿里巴巴集团控股有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 北京博思佳知识产权代理有限公司 11415 | 代理人: | 陈蕾 |
| 地址: | 英属开曼群岛大开*** | 国省代码: | 开曼群岛;KY |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 权限 漏洞 装置及其设备 访问结果 方式判断 人工成本 申请 访问 发现 | ||
1.一种水平权限漏洞的识别方法,其特征在于,所述方法包括:
获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;
获取所述第一URL信息的第一特征、所述第一访问结果的第二特征;
根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系,所述对应关系用于识别水平权限漏洞。
2.根据权利要求1所述的方法,其特征在于,
所述获取第一URL信息的过程,具体包括:
收集用户访问特定业务时产生的URL;
对收集的URL进行预处理,得到预处理后的第一URL信息。
3.根据权利要求1所述的方法,其特征在于,
所述对所述第一URL信息进行访问,得到第一访问结果的过程,具体包括:
通过使用至少一个角色的用户信息,对所述第一URL信息进行访问,得到与所述角色对应的第一访问结果;其中,所述第一访问结果包括响应页面信息。
4.根据权利要求1所述的方法,其特征在于,所述第二特征包括以下之一或者任意组合:分组信息;第一访问结果的数据量;同一分组下,相同或相似的访问结果数量;登陆态编码;第一访问结果的页面大小;第一访问结果的格式;第一访问结果中的关键字信息;第一访问结果中的文本上下文信息。
5.根据权利要求1所述的方法,其特征在于,根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系的过程,具体包括:
根据所述第一特征、所述第二特征、所述第一URL信息的识别结果,训练第一特征、第二特征、与特征值的对应关系。
6.根据权利要求5所述的方法,其特征在于,
所述根据所述第一特征、所述第二特征、所述第一URL信息的识别结果,训练第一特征、第二特征、与特征值的对应关系之前,所述方法还包括:
根据预设过滤策略确定所述第一URL信息的识别结果;其中,所述第一URL信息的识别结果是存在水平权限漏洞,或者,不存在水平权限漏洞。
7.根据权利要求6所述的方法,其特征在于,所述根据预设过滤策略确定所述第一URL信息的识别结果的过程,具体包括:
若第一访问结果与预设过滤策略匹配,确定所述第一URL信息的识别结果是不存在水平权限漏洞;或者,若第一访问结果与预设过滤策略不匹配,确定所述第一URL信息的识别结果是存在水平权限漏洞或者不存在水平权限漏洞。
8.根据权利要求6或7所述的方法,其特征在于,
所述预设过滤策略包括以下之一或者任意组合:用于过滤HTTP错误码的策略;用于过滤JSON错误码的策略;用于过滤特定关键字的策略。
9.根据权利要求1所述的方法,其特征在于,所述特征值具体包括:存在水平权限漏洞的概率值,或者,不存在水平权限漏洞的概率值。
10.根据权利要求1所述的方法,其特征在于,所述根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系之后,还包括:
获取第二URL信息,对所述第二URL信息进行访问,得到第二访问结果;
获取所述第二URL信息的第一特征、所述第二访问结果的第二特征;
通过获取的第一特征和第二特征查询所述对应关系,得到对应的特征值;
根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。
11.根据权利要求10所述的方法,其特征在于,
所述对所述第二URL信息进行访问,得到第二访问结果的过程,具体包括:
通过使用至少一个角色的用户信息,对所述第二URL信息进行访问,得到与所述角色对应的第二访问结果;其中,所述第二访问结果包括响应页面信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于阿里巴巴集团控股有限公司,未经阿里巴巴集团控股有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710908561.5/1.html,转载请声明来源钻瓜专利网。
