[发明专利]一种水平权限漏洞的检测方法及装置

说明书

技术领域

本申请涉及计算机技术，特别涉及一种水平权限漏洞的检测方法及装置。

背景技术

现在越来越多的公司的业务都以浏览器/服务器(Browser/Server，B/S)的形式展示给互联网的用户，这些用户都有一些私有的敏感数据，包括个人信息(身份证、手机、住址)等。而不法用户，可以利用B/S网站的水平权限漏洞导致用户的私有的敏感数据泄露。

所谓水平权限漏洞即是指：出现在B/S应用层网站，在呈现与用户关联的敏感数据时，未经用户归属校验便可以从一个用户访问另外一个用户的敏感数据的安全漏洞。

水平权限漏洞检测一直是业界比较难以解决的问题，目前，业界针对水平权限漏洞的检测方式有以下几种：

1、白盒扫描法。

采用白盒扫描法需要基于已知特征进行水平权限漏洞扫描，因此，只能扫描一些B/S应用层的通用水平权限漏洞，对于需要进行代码分析才能确定的水平权限漏洞则无计可施，因此，存在漏报的困扰。

2、黑盒检测法。

采用黑盒测试法，需要测试B/S应用程序所有的功能，并且对于部分需要进行代码分析才能确定的水平权限漏洞亦无计可施，因此，存在执行效率低的问题，以及存在漏报的困扰。

3、人工代码审计法。

采用人工代码审计法，需要通过人工来阅读代码发现水平权限漏洞问题， 存在执行效率低下的问题。

有鉴于此，需要设计一种新的水平权限漏洞的检测方法，克服上述缺陷。

发明内容

本申请实施例提供一种特别涉及一种水平权限漏洞的检测方法及装置，用以提高水平权限漏洞的检测准确率，以及提高检测效率。

本申请实施例提供的具体技术方案如下：

一种水平权限漏洞的检测方法，包括：

获取待分析数据，从待分析数据中提取出目标请求消息集合；

分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息；

分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址，并接收相应的响应消息；以及，

在确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时，判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。

可选的，获取待分析数据，从待分析数据中提取出目标请求消息集合，包括：

收集中间件或/和WEB服务器中的系统日志进行集中存储，并将存储的系统日志作为待分析数据，以及对待分析数据进行代码分析，提取出所有请求体组成目标请求消息集合。

可选的，获取待分析数据，从待分析数据中提取出目标请求消息集合，进一步包括：

通过流量镜像的方式从数据流中提取出所有请求体，将提取出的请求体作为待分析数据，直接组成目标请求消息集合。

可选的，在提取出所有请求体后，在组成目标请求消息集合之前，进一步 包括：

对获得的所有请求体进行去重处理。

可选的，确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时，判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞，包括：

检测所述任意一个目标请求消息对应的响应消息的大小，确定所述响应消息的大小属于预设的取值范围时，判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞；或者，

对所述任意一个目标请求消息对应的响应消息进行格式分析，确定所述响应消息的格式符合预定义格式时，判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。

可选的，进一步包括：

将检测到的水平权限漏洞进行上报，并根据指令对检测到的水平权限漏洞进行跟踪处理。

一种水平权限漏洞的检测装置，包括：

提取单元，用于获取待分析数据，从待分析数据中提取出目标请求消息集合；

替换单元，用于分别将所述目标请求消息集合中的每一个目标请求消息携带的原始用户身份信息替换为相应的测试用户身份信息；

处理单元，用于分别基于每一个目标请求消息携带的测试用户身份信息访问相应的目标地址，并接收相应的响应消息；以及，

在确定任意一个目标请求消息对应的响应消息中包含有所述任意一个目标请求消息对应的原始用户身份信息关联的敏感信息时，判定所述任意一个目标请求消息对应的业务功能存在水平权限漏洞。