[发明专利]一种越权漏洞检测方法、装置、设备及存储介质

说明书

本申请公开了一种越权漏洞检测方法、装置、设备及存储介质，包括：接收检测指令，并根据所述检测指令确定相应的目标检测模式；其中，所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式；利用所述目标检测模式对待检测系统进行越权漏洞检测；基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。本申请根据不同的检测指令灵活选择不同的检测模式对待检测系统的越权漏洞进行全方位、自动化检测，能够较大程度上减少安全测试人员的工作量，提高越权漏洞的检测效率和识别精度。

技术领域

本发明涉及信息安全技术领域，特别涉及一种越权漏洞检测方法、装置、设备及存储介质。

背景技术

在信息安全领域的安全测试方向中，安全测试工作者经常会面对各种各样的逻辑漏洞，而在这些逻辑漏洞中最为常见的就是越权漏洞。在安全权威机构OWASP制定的OWASPTop10漏洞中，越权漏洞长期活跃在榜单，一方面是由于越权漏洞造成的危害通常较大，如越权获取用户的敏感信息、越权删除他人创建的订单、越权修改管理员的账号等，另一方面，相对于SQL注入漏洞、跨站脚本攻击(XSS，cross Site Scripting)等其他常见的漏洞，难以对越权漏洞进行全方面的检测。目前，主流的Web应用安全测试技术主要分为三大类：DAST动态应用程序安全测试(Dynamic Application Security Testing)、SAST静态应用程序安全测试(Static Application Security Testing)、IAST交互式应用程序安全测试(Interactive Application Security Testing)。DAST动态应用程序测试是一种黑盒测试技术，是目前使用最广泛、最简单的一种Web应用安全测试技术；SAST静态应用程序安全测试技术是一种在开发阶段对源代码进行安全测试的一种技术，具有代码高度可视性、检测问题类型丰富等优势，但其误报多，不能确认漏洞的可利用性；IAST交互式应用程序安全测试技术，曾被Gartner咨询公司列为网络安全领域的Top10之一，融合了DAST与SAST的优势，漏洞检测率高，误报率低，同时可以定位到API接口和代码片段。

当前，现有技术中对越权漏洞的检测，局限于人工或者单一的漏洞检测方式对越权漏洞进行检测，无法根据用户需求提供多元化的自主检测模式。一方面，依赖人工来获取账户数据并进行修改、删除等操作一步一步进行检测，耗费大量的时间、人力成本，安全测试人员的增长速度赶不上安全测试需求的增加速度，严重影响了业务发布的效率；另一方面基于DAST动态应用程序测试技术利用代理模式对越权漏洞进行检测，上述检测方法覆盖范围有限，无法定位漏洞的具体位置，无法精确判断越权漏洞，且漏洞的检测率无法满足企业日益增长的安全需求。综上所述，现有技术中至少存在对越权漏洞的检测模式单一、检测效率较低、识别精度不高等技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种越权漏洞检测方法、装置、设备及存储介质，根据不同的检测指令灵活选择不同的检测模式对待检测系统的越权漏洞进行全方位、自动化检测，能够较大程度上减少安全测试人员的工作量，提高越权漏洞的检测效率和识别精度。其具体方案如下：

本申请的第一方面提供了一种越权漏洞检测方法，包括：

接收检测指令，并根据所述检测指令确定相应的目标检测模式；其中，所述目标检测模式为预先为IAST环境配置的代理模式、插桩模式或将所述代理模式与所述插桩模式相结合的混合模式；

利用所述目标检测模式对待检测系统进行越权漏洞检测；

基于所述目标检测模式的检测结果确定所述待检测系统的越权漏洞。

可选的，所述接收检测指令，并根据所述检测指令确定相应的目标检测模式，包括：

接收表征将代理模式与插桩模式相结合的检测指令，并将所述代理模式与所述插桩模式相结合的混合模式确定为目标检测模式；