[发明专利]一种漏洞检测方法、装置及终端设备

说明书

本申请提供一种漏洞检测方法、装置及终端设备，该方法包括：向服务器发送第一请求，接收服务器返回的针对所述第一请求的第一响应；利用所述第一请求构造第二请求，并向所述服务器发送所述第二请求；所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同，所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同；接收所述服务器返回的针对所述第二请求的第二响应；根据所述第二响应检测所述服务器是否存在越权漏洞。通过本申请的技术方案，可以极大地提高越权漏洞的检测效率。

技术领域

本申请涉及互联网安全领域，尤其是一种漏洞检测方法、装置及终端设备。

背景技术

目前，在互联网中普遍存在越权漏洞，如URL(Uniform Resource Locator，统一资源定位符)越权漏洞。由于web程序设计的缺陷，利用URL传入参数的可猜测性，通过变更输入参数值，就可能造成横向越权访问，拿到用户的用户隐私信息，导致用户隐私信息的泄漏，普通用户更成为信息泄露问题的受害者。

现有技术中，对越权漏洞的检测方式主要是：测试人员人工检测越权漏洞，这种方式对专业知识的依赖严重，不仅效率较低，耗费人力，而且普通用户无法检测某个网站是否存在越权漏洞，只能选择信赖自己访问的网站。

发明内容

本申请提供一种漏洞检测方法，应用于客户端，该方法包括：

向服务器发送第一请求，接收服务器返回的针对所述第一请求的第一响应；

利用所述第一请求构造第二请求，并向所述服务器发送所述第二请求；其中，所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同，且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同；

接收所述服务器返回的针对所述第二请求的第二响应；

根据所述第二响应检测所述服务器是否存在越权漏洞。

本申请提供一种漏洞检测装置，应用于客户端，该装置包括：

发送模块，用于向服务器发送第一请求；

接收模块，用于接收所述服务器返回的针对所述第一请求的第一响应；

构造模块，用于利用所述第一请求构造第二请求，其中，所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同，且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同；

所述发送模块，还用于向所述服务器发送所述第二请求；

所述接收模块，还用于接收服务器返回的针对所述第二请求的第二响应；

检测模块，用于根据所述第二响应检测所述服务器是否存在越权漏洞。

本申请提供一种终端设备，所述终端设备包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；所述处理器执行所述机器可执行指令时进行如下处理：

向服务器发送第一请求，接收服务器返回的针对所述第一请求的第一响应；

利用所述第一请求构造第二请求，并向所述服务器发送所述第二请求；其中，所述第二请求中携带的用户令牌与所述第一请求中携带的用户令牌不同，且所述第二请求中携带的访问信息与所述第一请求中携带的访问信息相同；

接收所述服务器返回的针对所述第二请求的第二响应；

根据所述第二响应检测所述服务器是否存在越权漏洞。

基于上述技术方案，本申请实施例中，将越权漏洞检测功能普及到普通用户，使得普通用户在浏览网站时，可以发现该网站是否存在越权漏洞，继而得知存储在该网站的用户隐私信息是否安全，上述方式不需要测试人员人工检测越权漏洞，极大地提高越权漏洞的检测效率，越权漏洞的检测准确率高。