本申请涉及数据安全领域,具体涉及一种越权漏洞的检测方法、装置及系统。另外涉及一种检测越权漏洞的电子设备及存储设备。
背景技术:
web应用程序是基于浏览器/服务器架构的应用程序,是随着网络技术的发展而产生的应用程序类型。web应用程序包含一些静态的页面,不仅具有信息展示功能,还可以通过调用页面中的不同业务逻辑接口对数据执行相应的处理操作。但是,与传统的计算机应用程序一样,web应用程序由于在开发过程中安全策略上的缺陷,使其必然存在一定量的漏洞。其中,越权漏洞是测试web应用程序过程中常见的业务逻辑漏洞之一。它的形成原因是由于服务器端对客户端的web应用程序提出的数据操作请求过分信任,忽略了对其操作权限的判定。攻击者使用一个合法账户,即可对存在越权缺陷漏洞的其他账户数据进行非法的操作。
为了应对web应用程序的存在越权漏洞的问题,本领域技术人员已经开发出一些针对web应用程序的越权漏洞扫描工具,例如burpsuite等。用户利用这些软件进行抓包操作,然后修改请求request参数,对比反馈的结果确定是否包含敏感信息,从而实现对web应用程序的一些常规越权漏洞的检测。但是,上述解决方案通常消耗的人力资源比较大,检测人员需要进行大量的重复性工作,且依赖安全测试人员的主观经验,存在操作步骤比较繁琐、检测效率低下等弊端,尤其是无法实现大规模的web应用程序越权漏洞的检测工作。
技术实现要素:
本申请提供一种越权漏洞的检测方法、装置及系统,以解决现有技术中存在的检测越权漏洞的方式效率低下,难以满足用户需求的问题。本申请另外提供一种检测越权漏洞的电子设备及存储设备。
本申请提供的一种越权漏洞的检测方法,包括:在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
可选的,所述在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据,具体包括:获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第一响应数据;将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述目标应用程序时的所有操作指令。
可选的,所述第一响应数据为使用所述第一登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。
可选的,所述在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,具体包括:获得在使用所述第二登录态访问所述目标应用程序时针对所述目标应用程序重新发送的所述第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第二响应数据;将所述第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第二响应数据为使用所述第二登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。
可选的,所述根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,具体包括:获取所述目标应用程序对应的域名信息;对所述域名信息进行拼接处理,得到针对所述目标应用程序的第二登录态。
可选的,所述获得在使用第一登录态访问目标应用程序时的第一访问请求,具体包括:在向所述目标应用程序发送所述第一访问请求之前触发执行日志记录操作,获得记录所述目标应用程序的数据流量的日志记录表;分析所述日志记录表,获得使用所述第一登录态访问所述目标应用程序时的所述第一访问请求以及针对所述第一访问请求返回的所述第一响应数据。
可选的,所述预设类型数据包括所述目标应用程序中存在的手机号数据、身份证号数据以及电子邮件数据中的至少一种数据。
所述的方法还包括:若确定所述目标应用程序存在越权漏洞,则根据所述预设类型数据以及预设的预设类型数据与目标区域之间的对应关系,确定所述预设类型数据对应的目标区域;对所述目标区域进行标识,输出用于显示所述越权漏洞在所述目标应用程序中具体位置的目标区域标识。
可选的,所述目标区域为包含所述预设类型数据的页面区域和用于处理所述预设类型数据的程序接口区域中的至少一种区域。
相应的本申请还提供另一种越权漏洞的检测方法,包括:获得目标应用程序,其中,所述目标应用程序是指在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据的应用程序;根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
可选的,所述的方法还包括:在使用所述第一登录态访问所述应用程序时,判断所产生的数据中是否存在所述预设类型数据;若存在所述预设类型数据,则确定所述应用程序为目标应用程序。
可选的,所述在使用所述第一登录态访问所述应用程序时,判断所产生的数据中是否存在所述预设类型数据,具体包括:获得在使用所述第一登录态访问所述应用程序时的所述第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第一响应数据;将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第一登录态访问所述应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第一登录态访问所述应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述应用程序时的所有操作指令。
可选的,所述第一响应数据为使用所述第一登录态访问所述应用程序时针对所述第一访问请求获得的所有响应数据。
可选的,所述在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,具体包括:获得在使用所述第二登录态访问所述目标应用程序时针对所述目标应用程序重新发送的所述第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第二响应数据;将所述第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中存在预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第二响应数据为使用所述第二登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。
相应的本申请还提供一种越权漏洞的检测装置,包括:预设类型数据第一判断单元,用于在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;第二登录态获得单元,用于若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;预设类型数据第二判断单元,用于在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
可选的,所述预设类型数据第一判断单元具体用于:获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第一响应数据;将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述目标应用程序时的所有操作指令。
可选的,所述第一响应数据为使用所述第一登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。
可选的,所述预设类型数据第二判断单元具体用于:获得在使用所述第二登录态访问所述目标应用程序时针对所述目标应用程序重新发送的所述第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第二响应数据;将所述第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第二响应数据为使用所述第二登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。
可选的,所述第二登录态获得单元具体用于:获取所述目标应用程序对应的域名信息;对所述域名信息进行拼接处理,得到针对所述目标应用程序的第二登录态。
可选的,所述获得在使用第一登录态访问目标应用程序时的第一访问请求,具体包括:在向所述目标应用程序发送所述第一访问请求之前触发执行日志记录操作,获得记录所述目标应用程序的所产生的数据的日志记录表;分析所述日志记录表,获得使用所述第一登录态访问所述目标应用程序时的所述第一访问请求以及针对所述第一访问请求返回的所述第一响应数据。
可选的,所述预设类型数据包括所述目标应用程序中存在的手机号数据、身份证号数据以及电子邮件数据中的至少一种数据。
可选的,所述的方法还包括:目标区域确定单元,用于若确定所述目标应用程序存在所述越权漏洞,则根据所述预设类型数据以及预设的预设类型数据与目标区域之间的对应关系,确定所述预设类型数据对应的目标区域;目标区域标识输出单元,用于对所述目标区域进行标识,输出用于显示所述越权漏洞在所述目标应用程序中具体位置的目标区域标识。
可选的,所述目标区域为包含所述预设类型数据的页面区域和用于处理所述预设类型数据的程序接口区域中的至少一种区域。
相应的,本申请还提供一种电子设备,包括:处理器以及存储器,存储器用于存储越权漏洞的检测方法的程序,该设备通电并通过所述处理器运行该越权漏洞的检测方法的程序后,执行下述步骤:在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
相应的,本申请还提供一种存储设备,存储有越权漏洞的检测方法的程序,该程序被处理器运行,执行下述步骤:在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
相应的,本申请还提供另一种越权漏洞的检测装置,包括:目标应用程序获得单元,用于获得目标应用程序,其中,所述目标应用程序是指在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据的应用程序;第二登录态获得单元,用于根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;预设类型数据判断单元,用于在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
可选的,所述的装置还包括:预设类型数据判断子单元,用于在使用所述第一登录态访问所述应用程序时,判断所产生的数据中是否存在所述预设类型数据;目标应用程序确定子单元,用于若存在所述预设类型数据,则确定所述应用程序为目标应用程序。
可选的,预设类型数据判断子单元具体用于:获得在使用所述第一登录态访问应用程序时的所述第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第一响应数据;将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第一登录态访问所述应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第一登录态访问所述应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述应用程序时的所有操作指令。
可选的,所述第一响应数据为使用所述第一登录态访问所述应用程序时针对所述第一访问请求获得的所有响应数据。
可选的,预设类型数据判断单元具体用于:获得在使用所述第二登录态访问所述目标应用程序时针对所述目标应用程序重新发送的所述第一访问请求;根据所述第一访问请求,获得针对所述第一访问请求产生的第二响应数据;将所述第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;若提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
可选的,所述第二响应数据为使用所述第二登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。
相应的,本申请还提供一种电子设备,包括:处理器以及存储器,存储器用于存储越权漏洞的检测方法的程序,该设备通电并通过所述处理器运行该越权漏洞的检测方法的程序后,执行下述步骤:获得目标应用程序,其中,所述目标应用程序是指在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据的应用程序;根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
相应的,本申请还提供一种存储设备,存储有越权漏洞的检测方法的程序,该程序被处理器运行,执行下述步骤:获得目标应用程序,其中,所述目标应用程序是指在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据的应用程序;根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
可选的,本申请还提供一种越权漏洞的检测系统,包括:上述越权漏洞的检测装置中的至少一种装置。
相应的,本申请还提供一种数据处理方法,包括:分别使用第一登录态、第二登录态访问目标应用程序;分别确定在所述第一登录态和第二登录态访问过程中,所述目标应用程序产生的数据中存在预设类型数据;禁止所述目标应用程序的启动或停止所述目标应用程序继续运行;其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
与现有技术相比,本申请具有以下优点:
采用本申请提供的越权漏洞的检测方法,可以通过替换登录态的方式,实现两次判断待检测的目标应用程序中是否存在敏感信息,从而确定是否存在越权漏洞,减少繁琐的操作步骤,提升了用户的使用体验。
附图说明
图1为本发明实施例提供的一种越权漏洞的检测方法的流程图;
图2为本发明实施例提供的一种越权漏洞的检测装置的示意图;
图3为本发明实施例提供的一种检测越权漏洞的电子设备示意图;
图4为本发明实施例提供的另一种越权漏洞的检测方法的流程图;
图5为本发明实施例提供的另一种检测的检测装置的示意图;
图6为本发明实施例提供的另一种检测检测的电子设备示意图;
图7为本发明实施例提供的一种越权漏洞的检测系统的完整运行流程图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此,本发明不受下面公开的具体实施的限制。
下面基于本发明提供的越权漏洞的检测方法,对其实施例进行详细描述。请参考图1所示,其为本发明实施例提供的一种越权漏洞的检测方法的流程图。
本发明实施例提供的越权漏洞的检测方法具体包括以下步骤:
步骤s101,在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据。
在本发明实施例中,所述的目标应用程序可以是指待检测的基于浏览器/服务器架构的web应用程序,web应用程序不仅包含一些静态的具有数据展示功能的页面,还具有能够对数据进行查询、修改、增加以及删除等处理操作的不同业务逻辑接口。所述的预设类型数据可以包括敏感数据或者风险数据,敏感数据或者风险数据例如可以是目标应用程序中存在的容易泄露用户隐私的手机号数据、身份证号数据以及电子邮件数据等等。
通常情况下,一个用户a一般只能够调用接口对自己本身的数据进行增删改查,然而,由于后台开发人员的疏忽,没有在数据进行增删改查时候对用户身份进行判断,即服务器端对用户a访问目标应用程序提出的数据操作请求过分信任,忽略了对其操作权限的判定,用户a可以对属于其他用户的数据进行增删改查等操作,从而导致目标应用程序存在越权漏洞。
本发明实施例公开的越权漏洞检测方法,可以应用于机房出口/入口的网关处,或者实现在waf(webapplicationfirewall)应用防护系统中,以保证获取的流量数据尽量完全,从而能够准确检测被用户访问过的目标应用程序的页面或接口是否存在越权漏洞。
本发明实施例中,所述的第一登录态可以是指票据或者token(访问令牌),即:用于表示访问目标应用程序的用户的身份标识,也可以是指用户登录目标应用程序的持续状态。若要检测目标应用程序是否存在越权漏洞,首先需要获得在使用第一登录态访问目标应用程序时的第一访问请求。根据所述第一访问请求,获得针对第一访问请求产生的第一响应数据。其中,所述的第一访问请求为在第一登录态对应的操作权限范围内访问目标应用程序时发出的所有操作指令。所述的第一响应数据为使用第一登录态访问所述目标应用程序时针对第一访问请求返回的所有响应数据。
将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到预设类型数据,则判断在使用第一登录态访问目标应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第一登录态访问目标应用程序时所产生的数据中不存在预设类型数据。对于不包含敏感信息的目标应用程序通常会在步骤s101中直接过滤掉,仅仅将存在预设类型数据的目标应用程序发送至步骤s102,继续执行下面操作。所述的预设类型数据包括所述目标应用程序中存在的手机号数据、身份证号数据以及电子邮件数据等中的至少一种数据。
需要说明的是,在向目标应用程序发送第一访问请求之前,还可以触发执行日志记录操作,获得记录目标应用程序的数据流量的日志记录表。分析该记录目标应用程序的数据流量的日志记录表,可以获得使用第一登录态访问目标应用程序时的第一访问请求数据以及针对第一访问请求返回的第一响应数据。
具体的,本发明可以通过流量分光器、waf(webapplicationfirewall)应用防护系统或者自建爬虫的方式,获得记录目标应用程序的数据流量的日志记录表。通过机器学习算法平台上基于敏感信息抽取算法建立敏感信息抽取模型,提取流量数据中包含的针对第一访问请求返回的第一响应数据中存在的预设类型数据,进而获得包含预设类型数据的第一响应数据,并且生成补充info表字段(表示抽取出的预设类型数据)。将没有包含预设类型数据的第一响应数据对应的目标应用程序过滤掉,将返回的包含预设类型数据的第一响应数据对应的目标应用程序继续进行步骤s102的操作。
步骤s102,若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
在本申请实施例的步骤s101中判断存在预设类型数据的目标应用程序之后,可以根据获取的目标应用程序对应的域名信息,对域名信息进行拼接处理,可以得到针对目标应用程序的第二登录态。具体的,由于不同用户针对目标应用程序发出的访问请求是不同,标识用户的登录态也是不同的,本发明提供的一种验证器可以根据域名信息的不同,拼接得到对应当前目标应用程序的域名信息的第二登录态,并且重新发送第一访问请求。分析记录目标应用程序中数据流量的日志记录表,获得针对第一访问请求的第二响应数据。将得到的第二响应数据发送到机器学习算法平台上基于敏感信息抽取算法建立的预设类型数据抽取模型中,以第二响应数据作为源数据进行预设类型数据抽取。若此时仍能提取出预设类型数据的,标识包含预设类型数据的目标区域,并且输出该目标区域标识。可以根据该目标区域标识确定目标程序中存在越权漏洞具体区域。
步骤s103,在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
在本发明实施例的步骤s102中获得第二登录态之后,根据该第二登录态获得在使用第二登录态访问目标应用程序时针对目标应用程序重新发送的第一访问请求。根据该第一访问请求,可以获得针对第一访问请求产生的第二响应数据。将第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中不存在预设类型数据。其中,所述的第二响应数据为使用第二登录态访问目标应用程序时针对第一访问请求获得的所有响应数据。
进一步的,若确定目标应用程序存在越权漏洞,则还可以根据预设类型数据以及预设的预设类型数据与目标区域之间的对应关系,确定预设类型数据对应的目标区域。并且对目标区域进行标识,输出用于显示越权漏洞在目标应用程序中具体位置的目标区域标识。根据该目标区域标识,可以找到目标应用程序中存在越权漏洞的具体区域,进而通过人工审核的方式检测该具体区域是否存在越权漏洞。其中,所述的目标区域通常是指包含预设类型数据的页面区域和用于处理预设类型数据的程序接口区域中的至少一种区域。
需要说明的是,对于有一些用于增删改的ajax(asynchronousjavascriptandxml)程序接口区域,需要特别注意不应不加筛选与过滤,直接重新发送第一访问请求,否则可能存在越权增删改时,导致数据被越权删除、越权增加或越权修改,从而污染线上环境数据。因此,在重新发送第一访问请求之前,可以对url(uniformresourceidentifier)中包含的add,delete等表示对数据增删改的特定关键词参数进行标识,直接进行人工审核判断而非通过上述越权漏洞检测的方法进行验证。
采用本发明提供的越权漏洞的检测方法,能够通过精确的算法分析,快速确定越权漏洞,减少繁琐的操作步骤,可以提前在用户受损失之前识别出越权漏洞,减少用户以及正规网站的损失,从而提升用户的使用体验。
与上述提供的一种越权漏洞的检测方法相对应,本发明还提供一种越权漏洞的检测装置。由于本装置实施例相似于上述方法实施例,所以描述的比较简单,相关之处请参见上述方法实施例部分说明即可,下面描述装置实施例仅是示意性的。请参考图2所示,其为本发明实施例提供的一种越权漏洞的检测装置的示意图。
本发明实施例所述的越权漏洞的检测装置包括如下部分:
预设类型数据第一判断单元201,用于在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据。
在本发明实施例中,所述的目标应用程序可以是指待检测的基于浏览器/服务器架构的web应用程序,web应用程序不仅包含一些静态的具有数据展示功能的页面,还具有能够对数据进行查询、修改、增加以及删除等处理操作的不同业务逻辑接口。所述的第一登录态可以是指票据或者token(访问令牌),即:用于表示访问目标应用程序的用户的身份标识,也可以是指用户登录目标应用程序的持续状态。若要检测目标应用程序是否存在越权漏洞,首先需要获得在使用第一登录态访问目标应用程序时的第一访问请求。根据所述第一访问请求,获得针对第一访问请求产生的第一响应数据。其中,所述的第一访问请求为在第一登录态对应的操作权限范围内访问目标应用程序时发出的所有操作指令。所述的第一响应数据为使用第一登录态访问所述目标应用程序时针对第一访问请求返回的所有响应数据。
将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到预设类型数据,则判断在使用第一登录态访问目标应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第一登录态访问目标应用程序时所产生的数据中不存在预设类型数据。
需要说明的是,在向目标应用程序发送第一访问请求之前,还可以触发执行日志记录操作,获得记录目标应用程序的数据流量的日志记录表。分析该记录目标应用程序的数据流量的日志记录表,可以获得使用第一登录态访问目标应用程序时的第一访问请求数据以及针对第一访问请求返回的第一响应数据。
第二登录态获得单元202,用于若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
在本申请实施例的预设类型数据第一判断单元201中判断存在预设类型数据的目标应用程序之后,可以根据获取的目标应用程序对应的域名信息,对域名信息进行拼接处理,可以得到针对目标应用程序的第二登录态。具体的,由于不同用户针对目标应用程序发出的访问请求是不同,标识用户的登录态也是不同的,本发明提供的一种验证器可以根据域名信息的不同,拼接得到对应当前目标应用程序的域名信息的第二登录态,并且重新发送第一访问请求。分析记录目标应用程序中数据流量的日志记录表,获得针对第一访问请求的第二响应数据。将得到的第二响应数据发送到机器学习算法平台上基于敏感信息抽取算法建立的预设类型数据抽取模型中,以第二响应数据作为源数据进行预设类型数据抽取。若此时仍能提取出预设类型数据的,标识包含预设类型数据的目标区域,并且输出该目标区域标识。可以根据该目标区域标识确定目标程序中存在越权漏洞具体区域。
预设类型数据第二判断单元203,用于在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
在本发明实施例的第二登录态获得单元202中获得第二登录态之后,根据该第二登录态获得在使用第二登录态访问目标应用程序时针对目标应用程序重新发送的第一访问请求。根据该第一访问请求,可以获得针对第一访问请求产生的第二响应数据。将第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中不存在预设类型数据。其中,所述的第二响应数据为使用第二登录态访问目标应用程序时针对第一访问请求获得的所有响应数据。
进一步的,若确定目标应用程序存在越权漏洞,则还可以根据预设类型数据以及预设的预设类型数据与目标区域之间的对应关系,确定预设类型数据对应的目标区域。并且对目标区域进行标识,输出用于显示越权漏洞在目标应用程序中具体位置的目标区域标识。根据该目标区域标识,可以找到目标应用程序中存在越权漏洞的具体区域,进而通过人工审核的方式检测该具体区域是否存在越权漏洞。其中,所述的目标区域通常是指包含预设类型数据的页面区域和用于处理预设类型数据的程序接口区域中的至少一种区域。
本申请对传统检测方法进行了改进,通过预设类型数据提取算法判断目标应用程序是否包含预设类型数据,根据其域名信息完成替换登录态,再次检测目标应用程序是否存在预设类型数据,确定越权漏洞,从而提升越权漏洞检测效率。
与上述提供的一种越权漏洞的检测方法相对应的,本发明实施例还提供一种检测越权漏洞的电子设备,请参见图3,其为本发明实施例提供的一种检测越权漏洞的电子设备示意图。
本发明实施例所述的检测越权漏洞的电子设备包括如下部分:
处理器301;以及
存储器302,用于存储越权漏洞的检测方法的程序,该设备通电并通过所述处理器运行该越权漏洞的检测方法的程序后,执行下述步骤:
在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;
若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;
在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
需要说明的是,对于本发明实施例提供的一种检测越权漏洞的电子设备的详细描述,可以参考对本发明实施例提供的一种越权漏洞的检测方法的相关描述,这里不再赘述。
与上述提供的一种越权漏洞的检测方法相对应的,本发明实施例还提供一种检测越权漏洞的存储设备。本发明实施例所述的检测越权漏洞的存储设备包括如下部分:存储有越权漏洞的检测方法的程序,该程序被处理器运行,执行下述步骤:
在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;
若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;
在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
需要说明的是,对于本发明实施例提供的一种检测越权漏洞的存储设备的详细描述,可以参考对本发明实施例提供的一种越权漏洞的检测方法的相关描述,这里不再赘述。
与上述的越权漏洞的检测方法相对应,本发明还提供另一种越权漏洞的检测方法。请参见图4所示,其为本发明实施例提供的另一种越权漏洞的检测方法的流程图。
本发明提供的另一种越权漏洞的检测方法包括如下步骤:
步骤s401:获得目标应用程序,其中,所述目标应用程序是指在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据的应用程序。
在本实施例中,所述的应用程序可以是指待检测的web应用程序,目标应用程序可以是指确定包含预设类型数据的web应用程序。在检测大规模的应用程序是否存在漏洞时,首先需要使用第一登录态访问这些应用程序,判断所产生的数据中是否存在预设类型数据,将存在预设类型数据的应用程序确定为目标应用程序。其中,在使用第一登录态访问这些应用程序判断所产生的数据中是否存在预设类型数据时,具体包括:通过分析记录应用程序中数据流量的日志记录表,获得在使用第一登录态访问应用程序时的第一访问请求。根据第一访问请求,获得应用程序中针对该第一访问请求产生的第一响应数据。将第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到预设类型数据,则判断在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第一登录态访问应用程序时所产生的数据中不存在预设类型数据。所述的第一访问请求为在第一登录态对应的操作权限范围内访问应用程序时的所有操作指令。第一响应数据为使用第一登录态访问应用程序时针对第一访问请求获得的所有响应数据。
步骤s402:根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
步骤s403:在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
在本发明实施例中,在使用第二登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据,具体包括:分析记录目标应用程序中数据流量的日志记录表,获得在使用第二登录态访问目标应用程序时针对目标应用程序重新发送的第一访问请求。根据第一访问请求,获得针对第一访问请求产生的第二响应数据。将第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到所述预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中不存在预设类型数据。其中,所述的第二响应数据为使用第二登录态访问应用程序时针对第一访问请求获得的所有响应数据。
需要说明的是,对于本发明实施例提供的另一种越权漏洞的检测方法的详细描述,可以参考对本发明实施例提供的第一种越权漏洞的检测方法的相关描述,这里不再赘述。
与上述的另一种越权漏洞的检测方法相对应,本发明还提供另一种越权漏洞的检测方法。请参见图5所示,其为本发明实施例提供的另一种越权漏洞的检测装置的示意图。
本发明提供的另一种越权漏洞的检测装置包括如下部分:
目标应用程序获得单元501,用于获得目标应用程序,其中,所述目标应用程序是指在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据的应用程序。
在本实施例中,所述的应用程序可以是指待检测的web应用程序,目标应用程序可以是指确定包含预设类型数据的web应用程序。在检测大规模的应用程序是否存在漏洞时,首先需要使用第一登录态访问这些应用程序,判断所产生的数据中是否存在预设类型数据,将存在预设类型数据的应用程序确定为目标应用程序。其中,在使用第一登录态访问这些应用程序判断所产生的数据中是否存在预设类型数据时,具体包括:通过分析记录应用程序中数据流量的日志记录表,获得在使用第一登录态访问应用程序时的第一访问请求。根据第一访问请求,获得应用程序中针对该第一访问请求产生的第一响应数据。将第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到预设类型数据,则判断在使用第一登录态访问应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第一登录态访问应用程序时所产生的数据中不存在预设类型数据。所述的第一访问请求为在第一登录态对应的操作权限范围内访问应用程序时的所有操作指令。第一响应数据为使用第一登录态访问应用程序时针对第一访问请求获得的所有响应数据。
第二登录态获得单元502,用于根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
预设类型数据判断单元503,用于在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
在本发明实施例中,在使用第二登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据,具体包括:分析记录目标应用程序中数据流量的日志记录表,获得在使用第二登录态访问目标应用程序时针对目标应用程序重新发送的第一访问请求。根据第一访问请求,获得针对第一访问请求产生的第二响应数据。将第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型。若提取到所述预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中存在预设类型数据,若没有提取到预设类型数据,则判断在使用第二登录态访问目标应用程序时所产生的数据中不存在预设类型数据。其中,所述的第二响应数据为使用第二登录态访问应用程序时针对第一访问请求获得的所有响应数据。
需要说明的是,对于本发明实施例提供的另一种越权漏洞的检测装置的详细描述,可以参考对本发明实施例提供的第一种越权漏洞的检测装置的相关描述,这里不再赘述。
与上述的越权漏洞的检测方法和装置相对应,本发明还提供一种越权漏洞的检测系统。请参见图7所示,其为本发明实施例提供的一种越权漏洞的检测系统的完整运行流程图。本发明公开一种越权漏洞的自动化检测系统,使用此系统可较低成本地大规模发现存在隐私泄露的页面与接口,尤其是存在越权泄露隐私泄露的页面与接口。本系统可以包括:数据采集模块、日志采集模块、敏感信息抽取模型模块、webstorage存储模块、验证器模块、标识模块以及漏洞上报模块。其中,所述的数据采集模块包括:日志管理子模块、waf应用防护系统子模块、beaver数据管理工具子模块以及自研爬虫子模块等。所述的敏感信息抽取模型模块基于敏感信息抽取算法建立。所述的验证器模块包括替换登录态子模块以及重放请求子模块。
具体的,数据采集模块用于采集web应用程序中的数据流量,并发送至预设类型数据抽取模型模块中提取数据流量所包含的预设类型数据。其中,所述的数据流量包括在使用第一登录态访问应用程序时发送的第一访问请求以及针对所述第一访问请求返回的第一响应数据。将包含预设类型数据的web应用程序确定为待检测的可能存在越权漏洞的目标应用程序。由验证器模块中的替换登录态子模块根据目标应用程序的域名信息拼接获得第二登录态,使用第二登录态访问所述目标应用程序,并由重放请求子模块重新发送第一访问请求。若针对所述第一访问请求中返回的第一响应数据中仍能获取所述预设类型数据,则由标识模块对目标应用程序中包含预设类型数据的接口或页面进行标识。由漏洞上报模块上报存在越权漏洞的目标应用程序中具体的页面和接口。
与上述的越权漏洞的检测方法相对应,本发明还提供一种数据处理方法,具体包括如下步骤:
步骤s101:分别使用第一登录态、第二登录态访问目标应用程序。
步骤s102:分别确定在所述第一登录态和第二登录态访问过程中,所述目标应用程序产生的数据中存在预设类型数据。
步骤s103:禁止所述目标应用程序的启动或停止所述目标应用程序继续运行。
其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
具体的,所述的目标应用程序可以是指待检测的web应用程序,分别使用第一登录态和第二登录态访问该目标应用程序,分别确定在第一登录态和第二登录态访问过程中,目标应用程序产生的数据中存在预设类型数据。若确定使用第一登录态和第二登录态访问该目标应用程序所产生的数据中存在预设类型数据,则禁止目标应用程序的启动或停止目标应用程序继续运行。需要说明的是,第一登录态和第二登录态分别为基于cookie机制生成的用于表示访问目标应用程序的两个不同用户的身份标识。
本发明虽然以较佳实施例公开如上,但其并不是用来限定本发明,任何本领域技术人员在不脱离本发明的精神和范围内,都可以做出可能的变动和修改,因此本发明的保护范围应当以本发明权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
本领域技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
1.一种越权漏洞的检测方法,其特征在于,包括:
在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;
若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;
在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
2.根据权利要求1所述的方法,其特征在于,所述在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据,具体包括:
获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求;
根据所述第一访问请求,获得针对所述第一访问请求产生的第一响应数据;
将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;
若提取到所述预设类型数据,则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
3.根据权利要求2所述的方法,其特征在于,所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述目标应用程序时的所有操作指令。
4.根据权利要求2所述的方法,其特征在于,所述第一响应数据为使用所述第一登录态访问所述目标应用程序时,针对所述第一访问请求获得的所有响应数据。
5.根据权利要求1所述的方法,其特征在于,所述在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,具体包括:
获得在使用所述第二登录态访问所述目标应用程序时针对所述目标应用程序重新发送的所述第一访问请求;
根据所述第一访问请求,获得针对所述第一访问请求产生的第二响应数据;
将所述第二响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型;
若提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据,若没有提取到所述预设类型数据,则判断在使用所述第二登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。
6.根据权利要求5所述的方法,其特征在于,所述第二响应数据为使用所述第二登录态访问所述目标应用程序时,针对所述第一访问请求获得的所有响应数据。
7.根据权利要求1所述的方法,其特征在于,所述根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,具体包括:
获取所述目标应用程序对应的域名信息;
对所述域名信息进行拼接处理,得到针对所述目标应用程序的第二登录态。
8.根据权利要求2所述的方法,其特征在于,所述获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求,具体包括:
在向所述目标应用程序发送所述第一访问请求之前触发执行日志记录操作,获得记录所述目标应用程序的所产生的数据的日志记录表;
分析所述日志记录表,获得使用所述第一登录态访问所述目标应用程序时的所述第一访问请求以及针对所述第一访问请求返回的所述第一响应数据。
9.根据权利要求1-8任意一项权利要求所述的方法,其特征在于,所述预设类型数据包括所述目标应用程序中存在的手机号数据、身份证号数据以及电子邮件数据中的至少一种数据。
10.根据权利要求1所述的方法,其特征在于,还包括:
若确定所述目标应用程序存在所述越权漏洞,则根据所述预设类型数据以及预设的预设类型数据与目标区域之间的对应关系,确定所述预设类型数据对应的目标区域;
对所述目标区域进行标识,输出用于显示所述越权漏洞在所述目标应用程序中具体位置的目标区域标识。
11.根据权利要求10任意一项权利要求所述的方法,其特征在于,所述目标区域为包含所述预设类型数据的页面区域和用于处理所述预设类型数据的程序接口区域中的至少一种区域。
12.一种越权漏洞的检测装置,其特征在于,包括:
预设类型数据第一判断单元,用于在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;
第二登录态获得单元,用于若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;
预设类型数据第二判断单元,用于在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
13.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储越权漏洞的检测方法的程序,该设备通电并通过所述处理器运行该越权漏洞的检测方法的程序后,执行下述步骤:
在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;
若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;
在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
14.一种存储设备,其特征在于,存储有越权漏洞的检测方法的程序,该程序被处理器运行,执行下述步骤:
在使用第一登录态访问目标应用程序时,判断所产生的数据中是否存在预设类型数据;
若存在预设类型数据,则根据所述目标应用程序对应的域名信息,获得对应所述目标应用程序的第二登录态,其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识;
在使用所述第二登录态访问所述目标应用程序时,判断所产生的数据中是否存在所述预设类型数据,若存在所述预设类型数据,则确定所述目标应用程序中存在越权漏洞。
15.一种越权漏洞的检测系统,其特征在于,包括:权利要求12所述的越权漏洞的检测装置。
16.一种数据处理方法,其特征在于,包括:
分别使用第一登录态、第二登录态访问目标应用程序;
分别确定在所述第一登录态和第二登录态访问过程中,所述目标应用程序产生的数据中存在预设类型数据;
禁止所述目标应用程序的启动或停止所述目标应用程序继续运行;
其中,所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识。
技术总结