[发明专利]账号权限的识别方法及装置

说明书

本发明实施例公开了一种账号权限的识别方法，包括：在待测网站上登录第一账号，获取第一账号的第一登录态信息；获取预设的扫描规则，所述扫描规则包括待测网站的测试地址和目标账号属性类型；根据第二账号在目标账号属性类型下的属性值修改所述第一登录态信息，得到第二登录态信息；使用所述第二登录态信息访问所述待测网站，接收所述待测网站发送的第一响应内容；根据所述扫描规则中定义的匹配规则获取所述第一响应内容的特征信息，根据所述特征信息和所述匹配规则确定所述第一账号是否越权。此外，本发明实施例还公开了一种账号权限的识别装置。采用本发明实施例，可提高账号越权的效率。

技术领域

本发明涉及互联网技术领域，尤其涉及一种账号权限的识别方法及装置。

背景技术

随着互联网技术的不断发展，越来越多的应用或者功能时通过互联网实现的，也就是时候，互联网中的可能导致用户资料或者其他安全问题的漏洞都应该尽量避免。在目前存在的互联网漏洞中，越权漏洞是一个不可忽视的重要的漏洞。

越权漏洞是指网站对于权限划分不严格导致A用户可利用某些方法或手段访问B用户的权限控制体系，从而达到窃取信息、修改信息、添加信息、删除信息等其他敏感的操作。如通过URL(统一资源定位符，UniformResourceLocator)访问网页的情况下，由于web程序设计缺陷，利用URL传入参数的可猜测性，通过变更输入的参数值，就可能造成横向越权访问，拿到他人私有信息。

因为越权漏洞一旦存在，攻击者可以伪造他人身份进行交易、支付、修改密码、获取他人隐私信息等，会对用户的账号安全造成极大的隐患，因此，在测试阶段必须对待测网站中可能存在的漏洞进行检测。在目前常见的越权漏洞的检测方法中，对越权漏洞的检测主要是通过人工进行渗透性测试，然后由专业的渗透测试人员针对网站不同的帐号体系做权限识别，并通过技术手段检测网站是否真正有效区分了不同用户的权限。全凭人工对不同的账号体系进行权限识别，不仅效率较低，耗费人力物力，而且不能确保覆盖检测到测试范围内的账号，即不能保证检测到所有的漏洞。

综上，现有的越权漏洞的检测方法因为人工检测导致耗时长、漏洞的检测不完全而存在检测的效率低下的问题。

发明内容

基于此，为解决现有技术中的越权漏洞的检测方法因为人工检测导致耗时长、漏洞的检测不完全而存在检测的效率低下的技术问题，特提出了一种账号权限的识别方法。

一种账号权限的识别方法，包括：

在待测网站上登录第一账号，获取第一账号的第一登录态信息；

获取预设的扫描规则，所述扫描规则包括待测网站的测试地址和目标账号属性类型；

根据第二账号在目标账号属性类型下的属性值修改所述第一登录态信息，得到第二登录态信息；

使用所述第二登录态信息访问所述待测网站，接收所述待测网站发送的第一响应内容；

根据所述扫描规则中定义的匹配规则获取所述第一响应内容的特征信息，根据所述特征信息和所述匹配规则确定所述第一账号是否越权。

可选的，在一个实施例中，获取第一账号的第一登录态信息之后还包括：使用所述第一账号的登录态信息访问所述待测网站，接收所述待测网站发送的第二响应内容；在所述第二响应内容中包含所述第一账号的特征信息的情况下，执行所述获取预设的扫描规则。

可选的，在一个实施例中，根据所述特征信息和所述匹配规则确定所述第一账号是否越权为：在所述第二响应内容的特征信息与所述第一账号匹配的情况下，确定所述第一账号未越权；在所述第二响应内容的特征信息与所述第二账号匹配的情况下，确定所述第一账号越权。