[发明专利]水平越权检测方法及装置

说明书

本发明公开了一种水平越权检测方法及装置，应用于网络安全、自动化测试技术领域，该方法包括：接收用户在被测系统的客户端发起的业务请求；基于抓包参数，获得对被测系统抓包的业务数据；基于越权参数特征值，从所述业务数据中识别越权接口，所述越权接口包含越权参数；对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编排，获得编排流程，所述编排节点包括防重放防篡改编排节点、参数加密编排节点；基于所述编排流程和水平越权漏洞确认参数，进行自动化测试，获得测试结果，所述测试结果包括确定的越权接口。本发明可以实现水平越权检测，尤其针对已做了防重放和防篡改的加固的应用系统或加密的应用系统，检测效果好。

技术领域

本发明涉及网络安全、自动化测试技术领域，尤其涉及一种水平越权检测方法及装置。

背景技术

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

随着互联网的快速发展，应用种类越来越多，用户群体覆盖面也逐渐壮大，而与此同时网络安全问题频发，其中越权问题为网络安全问题的首位。因此，在系统开发完成之后，应进行充分的安全测试，而手工的人工测试存在人工成本大、耗时长以及遗漏测试案例等问题。

目前已有少量的自动化水平越权测试的方案，但是这些方案存在以下问题：

(1)不能应对已经采用防重放和防篡改的应用系统：即现有的方法未识别请求报文中头部或者参数的前置逻辑，测试案例无法通过防重放和防篡改的校验而失去效果。前端在向后端发送请求之前可能会对请求的头部某些字段或者参数进行前置处理，如增加时间戳字段或者签名字段。

(2)不能应对采用了报文部分或全量加密的应用系统：即现有的方法未识别请求报文中某些字段或者全部字段加密传输的情况，因此对于通信报文双向加密的情况需要进行加密前置和后置处理。简单的修改越权字段必定会造成后端报错最终影响水平越权测试案例执行结果的正确性，甚至一些应用系统对返回报文也采用加密处理，如缺少相应的解密编排则无法识别出正确的越权参数。

发明内容

本发明实施例提供一种水平越权检测方法，用以实现水平越权检测，尤其针对已做了防重放和防篡改的加固的应用系统或加密的应用系统，检测效果好，该方法包括：

接收用户在被测系统的客户端发起的业务请求；

基于抓包参数，获得对被测系统抓包的业务数据；

基于越权参数特征值，从所述业务数据中识别越权接口，所述越权接口包含越权参数；

对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编排，获得编排流程，所述编排节点包括防重放防篡改编排节点、参数加密编排节点；

基于所述编排流程和水平越权漏洞确认参数，进行自动化测试，获得测试结果，所述测试结果包括确定的越权接口。

本发明实施例还提供一种水平越权检测装置，用以实现水平越权检测，尤其针对已做了防重放和防篡改的加固的应用系统，检测效果好，该装置包括：

业务请求接收模块，用于接收用户在被测系统的客户端发起的业务请求；

抓包模块，用于基于抓包参数，获得对被测系统抓包的业务数据；

越权接口识别模块，用于基于越权参数特征值，从所述业务数据中识别越权接口，所述越权接口包含越权参数；

编排模块，用于对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编排，获得编排流程，所述编排节点包括防重放防篡改编排节点、参数加密编排节点；

自动化测试模块，用于基于所述编排流程和水平越权漏洞确认参数，进行自动化测试，获得测试结果，所述测试结果包括确定的越权接口。