[发明专利]水平越权检测方法及装置在审
| 申请号: | 202211176940.7 | 申请日: | 2022-09-26 |
| 公开(公告)号: | CN115460014A | 公开(公告)日: | 2022-12-09 |
| 发明(设计)人: | 熊文成;郑志攀;吴若腾;李想;王海 | 申请(专利权)人: | 建信金融科技有限责任公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京三友知识产权代理有限公司 11127 | 代理人: | 贾磊;李辉 |
| 地址: | 200120 上海市自由*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 水平 越权 检测 方法 装置 | ||
1.一种水平越权检测方法,其特征在于,包括:
接收用户在被测系统的客户端发起的业务请求;
基于抓包参数,获得对被测系统抓包的业务数据;
基于越权参数特征值,从所述业务数据中识别越权接口,所述越权接口包含越权参数;
对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编排,获得编排流程,所述编排节点包括防重放防篡改编排节点、参数加密编排节点;
基于所述编排流程和水平越权漏洞确认参数,进行自动化测试,获得测试结果,所述测试结果包括确定的越权接口。
2.如权利要求1所述的方法,其特征在于,在接收用户在被测系统的客户端发起的业务请求之前,还包括:
在被测系统中载入抓包参数、水平越权漏洞确认参数、越权参数特征值、预配置的编排节点、加密组件后,初始化被测系统。
3.如权利要求1所述的方法,其特征在于,所述抓包参数包括待抓取的域名、待抓取的业务请求的类型、待抓取的业务请求的后缀。
4.如权利要求1所述的方法,其特征在于,所述编排节点还包括自定义编排节点,所述自定义编排节点为能够测试复用的编排节点。
5.如权利要求1所述的方法,其特征在于,在接收用户在被测系统的客户端发起的业务请求之前,还包括:
启动被测系统的应用层以进行抓包;
在接收到用户在被测系统的客户端发起的业务请求后,接收所述应用层对被测系统抓包的业务数据。
6.如权利要求1所述的方法,其特征在于,还包括:
获得测试后确定的所有的越权接口进行遍历测试。
7.如权利要求1所述的方法,其特征在于,还包括:
基于测试结果,生成测试报告;
存储所述测试报告,以供复测。
8.一种水平越权检测装置,其特征在于,包括:
业务请求接收模块,用于接收用户在被测系统的客户端发起的业务请求;
抓包模块,用于基于抓包参数,获得对被测系统抓包的业务数据;
越权接口识别模块,用于基于越权参数特征值,从所述业务数据中识别越权接口,所述越权接口包含越权参数;
编排模块,用于对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编排,获得编排流程,所述编排节点包括防重放防篡改编排节点、参数加密编排节点;
自动化测试模块,用于基于所述编排流程和水平越权漏洞确认参数,进行自动化测试,获得测试结果,所述测试结果包括确定的越权接口。
9.如权利要求8所述的装置,其特征在于,还包括初始化模块,用于:
在接收用户在被测系统的客户端发起的业务请求之前,在被测系统中载入抓包参数、水平越权漏洞确认参数、越权参数特征值、预配置的编排节点、加密组件后,初始化被测系统。
10.如权利要求8所述的装置,其特征在于,所述抓包参数包括待抓取的域名、待抓取的业务请求的类型、待抓取的业务请求的后缀。
11.如权利要求8所述的装置,其特征在于,所述编排节点还包括自定义编排节点,所述自定义编排节点为能够测试复用的编排节点。
12.如权利要求8所述的装置,其特征在于,还包括应用层启动模块,用于:
在接收用户在被测系统的客户端发起的业务请求之前,启动被测系统的应用层以进行抓包;
抓包模块具体用于:在接收到用户在被测系统的客户端发起的业务请求后,接收所述应用层对被测系统抓包的业务数据。
13.如权利要求8所述的装置,其特征在于,还包括遍历测试模块,用于:
获得测试后确定的所有的越权接口进行遍历测试。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于建信金融科技有限责任公司,未经建信金融科技有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211176940.7/1.html,转载请声明来源钻瓜专利网。
