[发明专利]一种越权漏洞检测方法及装置

权利要求书

1.一种越权漏洞检测方法，其特征在于，包括：

向服务器发送第一请求和第二请求，所述第一请求包括目标统一资源定位符URL，所述第二请求包括所述目标URL和第一标识，所述第一标识用于标识第一用户的身份信息；

若所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容不匹配，向所述服务器发送第三请求，所述第三请求包括所述目标URL和第二标识，所述第二标识用于标识第二用户的身份信息，所述第二用户为与所述第一用户不同的用户；

若所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配，则确定所述目标URL存在越权漏洞。

2.根据权利要求1所述的方法，其特征在于，所述向服务器发送第一请求和第二请求之前，所述方法还包括：

获取至少一个原始URL；

获取所述至少一个原始URL中每个原始URL的参数部分，并检测所述每个原始URL的参数部分是否与目标参数特征匹配；

将所述至少一个原始URL中参数部分与所述目标参数特征匹配的原始URL确定为目标URL。

3.根据权利要求1所述的方法，其特征在于，所述向服务器发送第一请求和第二请求之前，所述方法还包括：

获取至少一个原始URL；

获取针对所述至少一个原始URL中每个原始URL对应的页面内容，并检测所述每个原始URL对应的页面内容是否与目标页面特征匹配；

将所述至少一个原始URL中页面内容与所述目标页面特征匹配的原始URL确定为目标URL。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述若所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配，则确定所述目标URL存在越权漏洞，包括：

获取所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容之间的相似度值；

若所述相似度值大于相似度阈值，则确定所述目标URL存在越权漏洞。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述确定所述目标URL存在越权漏洞之后，所述方法还包括：

输出报警提示信息，所述报警提示信息包括所述目标URL，所述报警提示信息用于提示目标用户处理所述目标URL的所述越权漏洞。

6.一种越权漏洞检测装置，其特征在于，包括：

发送模块，用于向服务器发送第一请求和第二请求，所述第一请求包括目标统一资源定位符URL，所述第二请求包括所述目标URL和第一标识，所述第一标识用于标识第一用户的身份信息；

所述发送模块，还用于当所述服务器针对所述第一请求返回的页面内容与针对所述第二请求返回的页面内容不匹配时，向所述服务器发送第三请求，所述第三请求包括所述目标URL和第二标识，所述第二标识用于标识第二用户的身份信息；

第一确定模块，用于当所述服务器针对所述第三请求返回的页面内容与针对所述第二请求返回的页面内容匹配时，则确定所述目标URL存在越权漏洞。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

第一获取模块，用于获取至少一个原始URL；

第二获取模块，用于获取所述至少一个原始URL中每个原始URL的参数部分，并检测所述每个原始URL的参数部分是否与目标参数特征匹配；

第二确定模块，用于将所述至少一个原始URL中参数部分与所述目标参数特征匹配的原始URL确定为目标URL。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

第三获取模块，用于获取至少一个原始URL；

第四获取模块，用于获取针对所述至少一个原始URL中每个原始URL对应的页面内容，并检测所述每个原始URL对应的页面内容是否与目标页面特征匹配；

第三确定模块，将所述至少一个原始URL中页面内容与所述目标页面特征匹配的原始URL确定为目标URL。