[发明专利]一种水平权限漏洞的识别方法、装置及其设备在审
| 申请号: | 201710908561.5 | 申请日: | 2017-09-29 |
| 公开(公告)号: | CN109583210A | 公开(公告)日: | 2019-04-05 |
| 发明(设计)人: | 金耀宇 | 申请(专利权)人: | 阿里巴巴集团控股有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 北京博思佳知识产权代理有限公司 11415 | 代理人: | 陈蕾 |
| 地址: | 英属开曼群岛大开*** | 国省代码: | 开曼群岛;KY |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 权限 漏洞 装置及其设备 访问结果 方式判断 人工成本 申请 访问 发现 | ||
本申请提供一种水平权限漏洞的识别方法、装置及其设备,该方法包括:获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;获取所述第一URL信息的第一特征、所述第一访问结果的第二特征;根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系,所述对应关系用于识别水平权限漏洞。通过本申请的技术方案,可以实现水平权限漏洞的发现和识别,不需要或者辅助采用人工访问URL的方式判断是否存在水平权限漏洞,提高识别的效率,并降低人工成本。
技术领域
本申请涉及互联网技术领域,尤其是涉及一种水平权限漏洞的识别方法、装置及其设备。
背景技术
伴随着大数据时代的到来,越来越多的数据开始被生产、加工、存储和消费,数据的安全成为越来越重要的问题。目前,数据泄露的方式有很多种,比如SQL(StructuredQuery Language,结构化查询语言)注入、大规模爬取等。
其中,网站的权限管理可以分为垂直权限和水平权限,垂直权限是指:用户拥有不同角色,每种角色的页面访问权限不同。水平权限是指:相同角色的不同用户访问内容的权限控制,如网上银行用户只允许访问属于自己的信用卡数据。目前,水平权限漏洞是一种严重危害到用户隐私和用户数据的安全漏洞。
在传统方式中,为了识别是否存在水平权限漏洞,则可以通过人工访问URL(Uniform Resource Locator,统一资源定位符)的方式,来判断是否存在水平权限漏洞,但是,面对大量URL,通过人力识别的方式,效率很低,成本很高。
发明内容
本申请提供一种水平权限漏洞的识别方法,所述方法包括:
获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;
获取所述第一URL信息的第一特征、所述第一访问结果的第二特征;
根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系,所述对应关系用于识别水平权限漏洞。
本申请提供一种水平权限漏洞的识别方法,所述方法包括:
获取第二URL信息,对所述第二URL信息进行访问,得到第二访问结果;
获取所述第二URL信息的第一特征、所述第二访问结果的第二特征;
通过所述第一特征和所述第二特征查询映射关系,得到对应的特征值;其中,所述映射关系用于记录第一特征、第二特征与特征值的对应关系;
根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。
本申请提供一种水平权限漏洞的识别方法,所述方法包括:
获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;
获取所述第一访问结果的第二特征;
根据所述第二特征,训练第二特征与特征值的对应关系,所述对应关系用于识别水平权限漏洞。
本申请提供一种水平权限漏洞的识别方法,所述方法包括:
获取第二URL信息,对所述第二URL信息进行访问,得到第二访问结果;
获取所述第二访问结果的第二特征;
通过所述第二特征查询映射关系,得到对应的特征值;其中,所述映射关系用于记录第二特征与特征值的对应关系;
根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。
本申请提供一种水平权限漏洞的识别装置,所述装置包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于阿里巴巴集团控股有限公司,未经阿里巴巴集团控股有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710908561.5/2.html,转载请声明来源钻瓜专利网。
