web訪問的越權(quán)漏洞檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,尤其涉及一種web訪問的越權(quán)漏洞檢測方法及裝置�。
【背景技術(shù)】
[0002]目前互聯(lián)網(wǎng)中存在的最嚴(yán)重的漏洞之一是越權(quán)訪問這類漏洞,如在統(tǒng)一資源定位符(Uniform Resource Locator���,簡稱URL)越權(quán)漏洞中,由于web程序設(shè)計缺陷�,利用URL傳入?yún)?shù)的可猜測性�����,通過變更輸入的參數(shù)值��,就可能造成橫向越權(quán)訪問,拿到他人私有信息�����。URL越權(quán)漏洞是一種危害非常大的業(yè)務(wù)邏輯漏洞�����,它可以直接繞過基礎(chǔ)的網(wǎng)絡(luò)安全服務(wù)防御��,越權(quán)漏洞發(fā)現(xiàn)難度大?���,F(xiàn)有技術(shù)中���,網(wǎng)站設(shè)計者會對這些參數(shù)進(jìn)行權(quán)限校驗����,確保用戶僅能訪問到屬于自己的資源,但是在這類應(yīng)用中����,諸如此類的數(shù)據(jù)如此之多�,從地址數(shù)據(jù)、訂單信息�����、支付信息等��,無一不需要小心處理��。當(dāng)業(yè)務(wù)復(fù)雜到一定程度之后�,很難保證這些數(shù)據(jù)的訪問都經(jīng)過了嚴(yán)格的權(quán)限校驗��,從而產(chǎn)生了 URL越權(quán)漏洞����。URL越權(quán)漏洞能夠被攻擊者利用�,造成橫向越權(quán)訪問�,導(dǎo)致用戶敏感信息的泄漏�。
[0003]現(xiàn)有技術(shù)中,對URL越權(quán)漏洞的檢測主要是通過測試人員對web程序進(jìn)行滲透測試�,人工檢測出漏洞����,即全憑人工對各種URL參數(shù)進(jìn)行無差別的人工檢測處理來找到存在越權(quán)漏洞的URL參數(shù),不僅效率較低�����,耗費人力��,而且不能確保覆蓋檢測到測試范圍內(nèi)的所有URL參數(shù)���。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的主要目的在于提供一種web訪問的越權(quán)漏洞檢測方法及裝置�����,旨在高效率地覆蓋檢測測試范圍內(nèi)所有存在越權(quán)漏洞的URL參數(shù)。
[0005]為實現(xiàn)上述目的,本發(fā)明提供的一種web訪問的越權(quán)漏洞檢測方法���,所述方法包括以下步驟:
[0006]采集預(yù)設(shè)時間內(nèi)待檢測的HTTP流量信息�,所述HTTP流量信息包括URL參數(shù)信息及會話標(biāo)識��,其中�,所述URL參數(shù)信息包括URL參數(shù)及參數(shù)值���;
[0007]根據(jù)所述URL參數(shù)信息及會話標(biāo)識按預(yù)設(shè)規(guī)則識別出所述URL參數(shù)中用于索引服務(wù)器資源的索引參數(shù)���,并從所述索引參數(shù)中提取出用于索引用戶私有資源的私有參數(shù);
[0008]對每一所述私有參數(shù)進(jìn)行預(yù)設(shè)的越權(quán)漏洞測試操作,根據(jù)測試結(jié)果確定存在越權(quán)漏洞的私有參數(shù)����。
[0009]優(yōu)選地,所述根據(jù)所述URL參數(shù)信息及會話標(biāo)識按預(yù)設(shè)規(guī)則識別出所述URL參數(shù)中用于索引服務(wù)器資源的索引參數(shù),并從所述索引參數(shù)中提取出用于索引用戶私有資源的私有參數(shù)的步驟包括:
[0010]獲取所述HTTP流量信息中URL參數(shù)對應(yīng)的參數(shù)值的取值特征,將取值特征符合預(yù)設(shè)條件的URL參數(shù)識別為索引參數(shù)����,所述索引參數(shù)用于索引服務(wù)器資源;
[0011]根據(jù)所述會話標(biāo)識獲取每一索引參數(shù)的平均單個會話訪問的不同參數(shù)值個數(shù)��,若索引參數(shù)的平均單個會話訪問的不同參數(shù)值個數(shù)小于預(yù)設(shè)個數(shù)��,則識別該索引參數(shù)為私有參數(shù)�����,所述私用參數(shù)用于索引用戶私有資源�����。
[0012]優(yōu)選地,所述統(tǒng)計獲取所述HTTP流量信息中URL參數(shù)對應(yīng)的參數(shù)值的取值特征����,將取值特征符合預(yù)設(shè)條件的URL參數(shù)識別為索引參數(shù)的步驟包括:
[0013]統(tǒng)計所述HTTP流量信息中每一 URL參數(shù)的不同取值個數(shù)及訪問每一 URL參數(shù)的訪問記錄條數(shù)����;
[0014]若所述訪問記錄條數(shù)達(dá)到預(yù)設(shè)條數(shù),且URL參數(shù)的不同取值個數(shù)在所述訪問記錄條數(shù)中所占比例達(dá)到預(yù)設(shè)比例,則識別該URL參數(shù)為索引參數(shù)��。
[0015]優(yōu)選地,當(dāng)所述會話標(biāo)識包括第一會話標(biāo)識和第二會話標(biāo)識時�����,所述對每一所述私有參數(shù)進(jìn)行預(yù)設(shè)的越權(quán)漏洞測試操作�,根據(jù)測試結(jié)果確定存在越權(quán)漏洞的私有參數(shù)的步驟包括:
[0016]若監(jiān)測到第一 HTTP請求以第一會話標(biāo)識訪問私有參數(shù),獲取在所述第一會話標(biāo)識對應(yīng)的會話中所述私有參數(shù)的第一參數(shù)值���,并記錄反饋的第一返回信息;
[0017]若監(jiān)測到第二 HTTP請求以第二會話標(biāo)識訪問所述私有參數(shù)����,獲取在所述第二會話標(biāo)識對應(yīng)的會話中所述私有參數(shù)的第二參數(shù)值,并記錄反饋的第二返回信息;
[0018]構(gòu)造使用所述第二會話標(biāo)識及所述第一參數(shù)值的HTTP測試請求來訪問所述私有參數(shù)��,并記錄反饋的測試返回信息����;
[0019]若所述第一返回信息與所述第二返回信息不同�����,且所述測試返回信息與所述第一返回信息相同���,則確定所述私有參數(shù)存在越權(quán)漏洞。
[0020]優(yōu)選地����,所述對每一所述私有參數(shù)進(jìn)行預(yù)設(shè)的越權(quán)漏洞測試操作��,根據(jù)測試結(jié)果確定存在越權(quán)漏洞的私有參數(shù)的步驟之后還包括:
[0021]展示存在越權(quán)漏洞的私有參數(shù)��,以供用戶針對存在越權(quán)漏洞的私有參數(shù)進(jìn)行相應(yīng)的風(fēng)險防護(hù)操作�����。
[0022]此外,為實現(xiàn)上述目的�����,本發(fā)明還提供一種web訪問的越權(quán)漏洞檢測裝置,所述web訪問的越權(quán)漏洞檢測裝置包括:
[0023]采集模塊�����,用于采集預(yù)設(shè)時間內(nèi)待檢測的HTTP流量信息��,所述HTTP流量信息包括URL參數(shù)信息及會話標(biāo)識,其中,所述URL參數(shù)信息包括URL參數(shù)及參數(shù)值;
[0024]識別模塊�,用于根據(jù)所述URL參數(shù)信息及會話標(biāo)識按預(yù)設(shè)規(guī)則識別出所述URL參數(shù)中用于索引服務(wù)器資源的索引參數(shù)��,并從所述索引參數(shù)中提取出用于索引用戶私有資源的私有參數(shù)����;
[0025]測試模塊��,用于對每一所述私有參數(shù)進(jìn)行預(yù)設(shè)的越權(quán)漏洞測試操作��,根據(jù)測試結(jié)果確定存在越權(quán)漏洞的私有參數(shù)���。
[0026]優(yōu)選地,所述識別模塊具體用于:
[0027]獲取所述HTTP流量信息中URL參數(shù)對應(yīng)的參數(shù)值的取值特征,將取值特征符合預(yù)設(shè)條件的URL參數(shù)識別為索引參數(shù),所述索引參數(shù)用于索引服務(wù)器資源���;
[0028]根據(jù)所述會話標(biāo)識獲取每一索引參數(shù)的平均單個會話訪問的不同參數(shù)值個數(shù),若索引參數(shù)的平均單個會話訪問的不同參數(shù)值個數(shù)小于預(yù)設(shè)個數(shù),則識別該索引參數(shù)為私有參數(shù)�����,所述私用參數(shù)用于索引用戶私有資源。
[0029]優(yōu)選地�,所述識別模塊具體用于:
[0030]統(tǒng)計所述HTTP流量信息中每一 URL參數(shù)的不同取值個數(shù)及訪問每一 URL參數(shù)的訪問記錄條數(shù);
[0031]若所述訪問記錄條數(shù)達(dá)到預(yù)設(shè)條數(shù)���,且URL參數(shù)的不同取值個數(shù)在所述訪問記錄條數(shù)中所占比例達(dá)到預(yù)設(shè)比例����,則識別該URL參數(shù)為索引參數(shù)����。
[0032]優(yōu)選地,當(dāng)所述會話標(biāo)識包括第一會話標(biāo)識和第二會話標(biāo)識時����,所述測試模塊具體用于:
[0033]若監(jiān)測到第一 HTTP請求以第一會話標(biāo)識訪問私有參數(shù),獲取在所述第一會話標(biāo)識對應(yīng)的會話中所述私有參數(shù)的第一參數(shù)值�,并記錄反饋的第一返回信息���;
[0034]若監(jiān)測到第二 HTTP請求以第二會話標(biāo)識訪問所述私有參數(shù),獲取在所述第二會話標(biāo)識對應(yīng)的會話中所述私有參數(shù)的第二參數(shù)值����,并記錄反饋的第二返回信息�����;
[0035]構(gòu)造使用所述第二會話標(biāo)識及所述第一參數(shù)值的HTTP測試請求來訪問所述私有參數(shù)���,并記錄反饋的測試返回信息����;
[0036]若所述第一返回信息與所述第二返回信息不同,且所述測試返回信息與所述第一返回信息相同����,則確定所述私有參數(shù)存在越權(quán)漏洞����。
[0037]優(yōu)選地,所述web訪問的越權(quán)漏洞檢測裝置還包括:
[0038]展示模塊,用于展示存在越權(quán)漏洞的私有參數(shù),以供用戶針對存在越權(quán)漏洞的私有參數(shù)進(jìn)行相應(yīng)的風(fēng)險防護(hù)操作�����。
[0039]本發(fā)明提出的一種web訪問的越權(quán)漏洞檢測方法及裝置����,通過采集的預(yù)設(shè)時間內(nèi)待檢測的URL參數(shù)信息及會話標(biāo)識按預(yù)設(shè)規(guī)則識別出待檢測的URL參數(shù)中用于索引服務(wù)器資源的索引參數(shù)��,并從所述索引參數(shù)中提取出用于索引用戶私有資源的私有參數(shù);對每一所述私有參數(shù)進(jìn)行預(yù)設(shè)的越權(quán)漏洞測試操作確定存在越權(quán)漏洞的私有參數(shù)。由于只識別測試范圍內(nèi)所有URL參數(shù)中的索引參數(shù),并只對從所述索引參數(shù)中提取出的私有參數(shù)進(jìn)行越權(quán)漏洞測試��,極大地提高了檢測效率�����,且能覆蓋檢測測試范圍內(nèi)所有存在越權(quán)漏洞的URL參數(shù)����,識別率高。
【附圖說明】
[0040]圖1為本發(fā)明web訪問的越權(quán)漏洞檢測方法第一實施例的流程示意圖;
[0041 ] 圖2為本發(fā)明web訪問的越權(quán)漏洞檢測方法第二實施例的流程示意圖�����;
[0042]圖3為本發(fā)明web訪問的越權(quán)漏洞檢測裝置第一實施例的功能模塊示意圖;
[0043]圖4為本發(fā)明web訪問的越權(quán)漏洞檢測裝置第二實施例的功能模塊示意圖。<