[发明专利]一种越权漏洞检测方法及装置

说明书

本申请实施例公开了一种越权漏洞检测方法及装置，其中方法包括：终端向服务器发送第一请求和第二请求，该第一请求包括目标URL，该第二请求包括该目标URL和第一标识，当该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配时，向该服务器发送第三请求，该第三请求包括该目标URL和第二标识，当该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配时，则确定该目标URL存在越权漏洞。采用本申请实施例，可以减少人工处理环节，节约时间，提高越权漏洞检测的效率。

技术领域

本申请涉及互联网技术领域，尤其涉及一种越权漏洞检测方法及装置。

背景技术

随着近期爆发的各种高危漏洞，网络安全问题引起了越来越多的关注。越权漏洞，是万维网(world wide web，WEB)应用程序中一种常见的安全漏洞，是指由于程序员疏忽，没有对某个操作所需的权限或用户进行严格的限制，导致本应没有操作权限的用户可正常进行操作，其威胁在于一个账户即可控制网站或服务器的所有用户数据。例如攻击者使用一个合法账户，就可对存在越权漏洞的其他账户数据进行非法操作，例如查询、删除、修改等常规数据库命令。

目前业内对于越权漏洞的检测基本都是人工检测，如测试人员对WEB程序进行渗透测试，人工测试耗费时间长，效率低。

发明内容

本申请实施例提供一种越权漏洞检测方法及装置，可减少人工处理环节，节约时间，提高检测效率。

第一方面，本申请实施例提供了一种越权漏洞检测方法，该方法包括：

向服务器发送第一请求和第二请求，该第一请求包括目标统一资源定位符URL，该第二请求包括该目标URL和第一标识，该第一标识用于标识第一用户的身份信息；

若该服务器针对该第一请求返回的页面内容与针对该第二请求返回的页面内容不匹配，向该服务器发送第三请求，该第三请求包括该目标URL和第二标识，该第二标识用于标识第二用户的身份信息；

若该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配，则确定该目标URL存在越权漏洞。

结合第一方面，在一种可能的实施方式中，向服务器发送第一请求和第二请求之前，该方法还包括：

获取至少一个原始URL；

获取该至少一个原始URL中每个原始URL的参数部分，并检测该每个原始URL的参数部分是否与目标参数特征匹配；

将该至少一个原始URL中参数部分与该目标参数特征匹配的原始URL确定为目标URL。

结合第一方面，在一种可能的实施方式中，向服务器发送第一请求和第二请求之前，该方法还包括：

获取至少一个原始URL；

获取针对该至少一个原始URL中每个原始URL对应的页面内容，并检测该每个原始URL对应的页面内容是否与目标页面特征匹配；

将该至少一个原始URL中页面内容与该目标页面特征匹配的原始URL确定为目标URL。

结合第一方面，在一种可能的实施方式中，若该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容匹配，则确定该目标URL存在越权漏洞，包括：

获取该服务器针对该第三请求返回的页面内容与针对该第二请求返回的页面内容之间的相似度值；

若该相似度值大于相似度阈值，则确定该目标URL存在越权漏洞。

结合第一方面，在一种可能的实施方式中，确定该目标URL存在越权漏洞之后，该方法还包括：