[发明专利]接口安全性检测方法、装置、电子设备与存储介质有效
| 申请号: | 202011455949.2 | 申请日: | 2020-12-10 |
| 公开(公告)号: | CN112653674B | 公开(公告)日: | 2023-01-10 |
| 发明(设计)人: | 郑晓峰;沈凯文;李想;陈震宇;段海新;张浩凌;齐向东;吴云坤 | 申请(专利权)人: | 奇安信网神信息技术(北京)股份有限公司;奇安信科技集团股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L61/4511 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 王宇杨 |
| 地址: | 100044 北京市西*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 接口 安全性 检测 方法 装置 电子设备 存储 介质 | ||
本发明提供一种接口安全性检测方法、装置、电子设备与存储介质,方法包括:基于目标系统的待测域名集,获取所述目标系统的接口信息;其中,所述待测域名集包括能够访问所述目标系统的多个域名;所述接口信息包括接口的输入元素以及接口的输出元素;根据所述接口的输入元素以及所述接口的输出元素,确定敏感信息;将所述目标系统中多个接口的接口信息进行关联,当根据第一信息以及所述关联后的多个接口的接口信息,得到第二信息且所述第二信息为敏感信息时,确定所述目标系统存在信息交叉泄漏风险。
技术领域
本发明涉及信息安全技术领域,尤其涉及一种接口安全性检测方法、装置、电子设备与存储介质。
背景技术
在计算机中,接口是计算机系统中两个独立的部件进行信息交换的共享边界。接口安全性检测是指对接口是否存在安全漏洞,从而导致信息泄漏进行检测。
在实际应用中存在信息交叉泄漏的情况,即:接口单次查询结果不会泄露信息,但将单个接口多次查询的结果或对多个接口查询的结果关联后会获得额外的信息,从而造成信息泄漏。现有技术中的接口安全性检测方法一般只关注单个接口是否存在安全漏洞,无法检测到信息交叉泄漏的情况。
发明内容
本发明提供一种接口安全性检测方法、装置、电子设备与存储介质,用以解决现有技术中只关注单个接口是否存在安全漏洞,无法检测到多接口信息交叉泄漏风险的缺陷。
本发明提供一种接口安全性检测方法,包括:
基于目标系统的待测域名集,获取所述目标系统的接口信息;其中,所述待测域名集包括能够访问所述目标系统的多个域名;所述接口信息包括接口的输入元素以及接口的输出元素;
根据所述接口的输入元素以及所述接口的输出元素,确定敏感信息;
将所述目标系统中多个接口的接口信息进行关联,当根据第一信息以及所述关联后的多个接口的接口信息,得到第二信息且所述第二信息为敏感信息时,确定所述目标系统存在信息交叉泄漏风险;其中,所述第二信息与所述第一信息不属于同一接口的接口信息。
根据本发明提供的一种接口安全性检测方法,方法还包括:
根据所述目标系统的接口信息,确定所述目标系统中的开放接口;
检查所述开放接口是否符合开放标准,当所述开放接口不符合开放标准时,确定所述目标系统存在隐藏接口风险。
根据本发明提供的一种接口安全性检测方法,方法还包括:
确定第一接口的输出元素中是否包含除第三信息之外的第四信息,当包含第四信息且所述第四信息为敏感信息时,确定所述目标系统存在横向信息流溢出风险;其中,
所述第一接口为所述目标系统中的任意一个接口;所述第三信息为所述第一接口的输入元素所包含的敏感信息。
根据本发明提供的一种接口安全性检测方法,方法还包括:
确定第一接口的输入元素中是否同时包含身份标识信息与密码信息,当未同时包含身份标识信息与密码信息时,确定所述目标系统存在弱复杂度验证风险;
或,确定第一接口的输入元素中的输入限制条件,根据所述输入限制条件,当预设时间段内输入身份标识信息的次数大于预设阈值时,确定所述目标系统存在弱复杂度验证风险。
根据本发明提供的一种接口安全性检测方法,方法还包括:
根据第一接口的输入元素,当确定所述输入元素中的验证码未满足预设的安全条件时,确定所述目标系统存在弱验证码风险。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信网神信息技术(北京)股份有限公司;奇安信科技集团股份有限公司,未经奇安信网神信息技术(北京)股份有限公司;奇安信科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011455949.2/2.html,转载请声明来源钻瓜专利网。
