[发明专利]一种越权检测方法和装置

说明书

本发明公开了一种越权检测方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：预设基于第一账号访问预设线性表中的资源定位地址，生成第一请求并发送至服务端，以接收服务端反馈的第一报文；基于第二账号访问资源定位地址，生成第二请求；获取第一请求中的第一cookie，将第二请求中的第二cookie替换为第一cookie，发送替换后的第二请求至所述服务端，以接收服务端反馈的第二报文；若第一报文和第二报文相同，则确定在资源定位地址中，第二账号对第一账号存在越权行为。该实施方式基于账号cookie替换的方式，将响应报文进行比对并自动化校验，以此核对账号之间是否存在越权行为。

技术领域

本发明涉及计算机技术领域，尤其涉及一种越权检测方法和装置。

背景技术

安全测试领域中的越权漏洞主要分为两类，一类是水平越权，即权限平等的两个用户，可以互相看到对方的敏感数据；一类是垂直越权，即低权限的用户可以看到高权限用户的数据。

现有漏洞检测过程，主要依赖于人工分析Web页面的URL(Uniform ResourceLocator，统一资源定位符)链接，分析其参数(例如订单号、用户名)，猜测是否存在越权的可能性。

在实现本发明的过程中，发明人发现现有技术至少存在如下问题：

通过猜想是否越权并且通过手工方式验证，无法自动化校验并锁定是否越权的URL范围，且无法单一使用爬虫方法获取所有URL。

发明内容

有鉴于此，本发明实施例提供一种越权检测方法和装置，至少能够解决现有技术中无法爬取所有url，且对url是否存有越权漏洞验证艰难的问题。

为实现上述目的，根据本发明实施例的一个方面，提供了一种越权检测方法，包括：

预设基于第一账号访问预设线性表中的资源定位地址，生成第一请求并发送至服务端，以接收所述服务端反馈的第一报文；

基于第二账号访问所述资源定位地址，生成第二请求；其中，所述第二账号与所述第一账号具有不同的权限；

获取所述第一请求中的第一cookie，将所述第二请求中的第二cookie替换为所述第一cookie，发送替换后的第二请求至所述服务端，以接收所述服务端反馈的第二报文；

若所述第一报文和所述第二报文相同，则确定在所述资源定位地址中，所述第二账号对所述第一账号存在越权行为。

可选的，在所述预设基于第一账号访问预设线性表中的资源定位地址之前，还包括：

确定应用页面中的操作项，获取与各操作项对应的页面元素；

根据所述页面元素中的超文本引用属性进行所述资源定位地址确定，之后将所述资源定位地址存储至所述线性表中。

可选的，所述将所述资源定位地址存储至所述线性表中，还包括：

响应于对所述资源定位地址的点击操作，若页面跳转成功，则将所述资源定位地址存储至所述线性表中。

可选的，还包括：

确定跳转页面中的第一操作项，将与所述第一操作项对应的元素作为所述页面元素的子元素；

根据所述子元素的超文本引用属性进行第一资源定位地址确定，之后将所述第一资源定位地址存储至所述线性表中；

重复上述页面跳转以及子元素获取操作，直至不存在与当前页面元素对应的子元素时停止。

为实现上述目的，根据本发明实施例的另一方面，提供了一种越权检测装置，包括：

地址访问模块，用于预设基于第一账号访问预设线性表中的资源定位地址，生成第一请求并发送至服务端，以接收所述服务端反馈的第一报文；