[发明专利]一种电力移动应用越权访问漏洞检测方法

权利要求书

1.一种电力移动应用越权访问漏洞检测方法，其特征在于，包括以下步骤：

(1)获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量；

(2)构造属于同一用户类型的不同用户针对同一操作的http请求，修改其中一个用户的http请求，并将修改后的请求发送给服务端，分析执行结果以检测平行越权访问漏洞；

(3)构造属于不同用户类型的不同用户的http请求，并修改属于部分用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞；

(4)综合步骤(2)和步骤(3)中检测发现的漏洞，完成电力移动应用越权访问漏洞检测；

所述步骤(2)中的检测平行越权访问漏洞，具体包括以下步骤：

(2a)筛选出包括多个用户的用户类型，针对每种用户类型，分别执行步骤(2b)-(2f)；

(2b)选择与该用户类型对应的其中2个不同的用户A和用户B，获取与该用户类型对应的用户可以执行的全部操作；

(2c)对于每个操作，分别执行步骤(2d)-(2f)；

(2d)分别获取用户A和用户B执行该操作的http请求，如果2个请求的返回的结果不相同，则执行步骤2e；

(2e)修改用户B的http请求，将用户B的http请求中的请求参数设置为用户A的请求参数，形成一个新的http请求；

(2f)将新的http请求以用户B的身份发送给服务端，获取服务端的返回结果，如果返回结果包含了用户A的http请求的结果，则说明用户B获取了用户A的信息，检测出平行越权访问漏洞；

所述步骤(3)中构造属于不同用户类型的不同用户的http请求，并修改属于部分用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞，具体包括以下步骤：

(3a)筛选出不同的用户类型，对于任意两种不同的用户类型，分别执行步骤(3b)-(3f)；

(3b)分别选择与两种不同用户类型对应的用户C和用户D，获取用户C可以执行的全部操作和用D可执行的全部操作；

(3c)对于用户C的每个操作，如果该操作用户D不可以执行，则执行步骤(3d)-(3e)；

(3d)获取用户C执行该操作的http请求，修改该http请求，将其中的请求用户信息设置为用户D的请求用户信息，形成新的http请求；

(3e)新的http请求以用户D的身份发送给服务端，获取服务端的返回结果，如果返回结果包含了用户C的http请求的结果，则说明用户D获取了用户C的信息，检测出未授权访问漏洞；

(3f)对于用户D每个操作，如果该操作用户C不可以执行，则执行步骤(3g)-(3h)；

(3g)获取用户D执行该操作的http请求，修改该请求，将其中的请求用户信息设置为用户C的请求用户信息，形成新的http请求；

(3h)新的http请求以用户C的身份发送给服务端，获取服务端的返回结果，如果返回结果包含了用户D的http请求的结果，则说明用户C获取了用户D的信息，检测出未授权访问漏洞。

2.根据权利要求1所述的一种电力移动应用越权访问漏洞检测方法，其特征在于：所述步骤(1)中获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量，具体包括以下步骤：

(1a)建立数据库；

(1b)根据移动应用的实际业务，确定移动应用存在的用户类型，并存储到数据库中；

(1c)根据移动应用的实际业务，确定并存储每种用户类型支持的用户数量，用户数量1个或多个，并存储到数据库中；

(1d)在数据库中增加“未登录的用户”这种用户类型，由于未登录用户的具有相同的权限，因此未登录用户的数量为1个。

3.根据权利要求1所述的一种电力移动应用越权访问漏洞检测方法，其特征在于：所述步骤(2d)还包括：如果2个请求的返回的结果相同，返回步骤2c处理下一个操作。

4.根据权利要求1所述的一种电力移动应用越权访问漏洞检测方法，其特征在于：所述步骤(3c)还包括：对于用户C的每个操作，如果该操作用户D也可以执行，则不处理该操作。

5.根据权利要求1所述的一种电力移动应用越权访问漏洞检测方法，其特征在于：所述步骤(3f)还包括：对于用户D每个操作，如果该操作用户C也可以执行，则不处理该操作。