[发明专利]基于IAST测试工具动态检测垂直越权的方法及系统

说明书

本发明公开了一种基于IAST测试工具动态检测垂直越权的方法及系统，其中，方法包括如下步骤：S1、通过IAST测试工具插桩用户代码；S2、将每条用户请求分别与其所对应的请求权限绑定；S3、获取用户请求所经过的方法链，并存储到数据库中；S4、对数据库中存储的所述方法链建立检测模型；S5、实时监听用户请求流程；S6通过所述检测模型判断所述请求所执行的方法链是否存在越权问题；根据上述检测过程可知，通过IAST测试工具对属于用户代码内的方法链的追踪和通过学习算法对检测模型的建立，使得测试软件的权限可深入到待测试应用程序的代码的内部，从而帮助用于发现方法级别的权限问题。

技术领域

本发明涉及应用程序漏洞检测技术领域，尤其涉及一种基于IAST测试工具动态检测垂直越权的方法及系统。。

背景技术

理论上说，一个架构完善、规则安全的应用系统，应当做到对接收到的每条请求，先对发送该请求的用户进行权限判定，再对其进行相应的服务。而现实生活中，由于搭建系统的工程人员的疏漏，系统在某些权限上，并不会对针对该权限的请求的发送用户进行权限判定，而直接对发送请求的用户进行服务，从而导致没有该权限的用户也能使用该权限，即在该权限上发生了越权。在越权中，有一种越权方式是垂直越权漏洞，即攻击者可以访问其所属权限组所没有的权限，例如：普通用户能够访问系统管理员的管理页面，这种情况就是垂直越权。而使用现有的应用程序漏洞检测手段，只能依据黑盒检测工具来检测请求级别的垂直越权问题，即：端对端的检测漏洞，只能依据返回值和响应状态判断权限问题，对于没有返回值的请求无能为力。

发明内容

本发明的目的是为解决上述技术问题不足而提供一种基于IAST测试工具动态检测垂直越权的方法，通过该检测方法可使得测试软件的权限可深入到所测试的应用程序的代码内部，以帮助用户发现应用程序中方法级别的权限问题。

本发明的另一目的是提供一种基于IAST测试工具动态检测垂直越权的系统，通过该检测吸可使得测试软件的权限可深入到所测试的应用程序的代码内部，以帮助用户发现应用程序中方法级别的权限问题。

为了实现上述目的，本发明公开了一种基于IAST测试工具动态检测垂直越权的方法，其包括如下步骤：

S1、根据用户给定的包路径，通过IAST测试工具动态获取待检测应用程序下的所有用户代码，并采用插桩方式在所述用户代码中的各个执行方法的前后插入检测代码，所述检测代码用于获取用户请求下的方法链；

S2、将每条用户请求分别与其所对应的请求权限绑定；

S3、当用户请求被发送至服务端执行时，根据上述步骤S1获取该请求所经过的方法链，并存储到数据库中；

S4、当根据步骤S3获取到足够多的所述方法链后，结合步骤S2中已经绑定好的各条请求的请求权限，以所述数据库中存储的所述方法链为基础数据建立检测模型，所述检测模型用于对待检测的请求的方法链进行权限验证；

S5、实时监听用户请求流程；

S6、采用所述检测模型对用户发送的请求进行权限验证，以判断所述请求所执行的方法链是否存在越权问题。