[发明专利]一种水平越权漏洞的检测方法、装置及电子设备

说明书

本说明书实施例提供一种水平越权漏洞的检测方法、装置及电子设备。方法包括：在目标移动应用中，基于第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求，其中，至少一个第二账户身份发起的业务请求是将第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的。确定账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度，从而判断目标移动应用是否存在水平越权漏洞。

技术领域

本文件涉及数据处理技术领域，尤其涉及一种水平越权漏洞的检测方法、装置及电子设备。

背景技术

业务系统随着功能不断扩展，架构也越来越来复杂，在搭建完成后难免会存在一些漏洞。这其中就包括越权漏洞。在越权中，有一种是水平越权，即攻击者与被攻击者所属同一权限组，各人本应该只能对自身账号的内容进行操作，但实际上攻击者通过将向系统发送携带有被攻击者签名的请求，对被攻击者的权限内容进行了操作。例如：用户A将自己向系统发送的请求中的签名修改为了用户B的签名，从而成功修改了用户B的密码，这种情况就是水平越权。

在现有技术中，移动应用的水平越权漏洞是测试人员根据自身的经验，手动进行测试的。对于一些架构相对复杂的移动应用系统，业务接口种类的较多，细分下的每个权限操作都需要经过大量测试才能验证是否存在水平越权漏洞，因此经常会出现人为遗漏和人为错误的情况发生。有鉴于此，当前急需一种能够自动挖掘移动应用中的水平越权漏洞的技术方案。

发明内容

本说明书实施例目的是提供一水平越权漏洞的检测方法、装置及电子设备，能够自动挖掘移动应用中的水平越权漏洞。

为了实现上述目的，本说明书实施例是这样实现的：

第一方面，提供一种水平越权漏洞的检测方法，包括：

在目标移动应用中，基于所述第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求，其中，所述至少一个第二账户身份发起的业务请求是将所述第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的；

基于所述第一账户身份和至少一个第二账户身份发起的业务请求，确定账户身份不同对业务请求中的请求参数的差异性影响系数；

基于所述第一账户身份和至少一个第二账户身份发起的业务请求所获得的业务反馈结果，确定账户身份不同对业务反馈结果中的反馈参数的差异性影响系数，以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度；

基于账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度，确定所述目标移动应用是否存在水平越权漏洞。

第二方面，提供一种水平越权漏洞的检测装置，包括：

测试模块，在目标移动应用中，基于所述第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求，其中，所述至少一个第二账户身份发起的业务请求是将所述第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的；

第一确定模块，基于所述第一账户身份和至少一个第二账户身份发起的业务请求，确定账户身份不同对业务请求中的请求参数的差异性影响系数；

第二确定模块，基于所述第一账户身份和至少一个第二账户身份发起的业务请求所获得的业务反馈结果，确定账户身份不同对业务反馈结果中的反馈参数的差异性影响系数，以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度；