[发明专利]一种越权漏洞的检测方法、装置及系统

说明书

本申请公开一种越权漏洞的检测方法，在使用第一登录态访问目标应用程序时，判断所产生的数据中是否存在预设类型数据；若存在预设类型数据，则根据所述目标应用程序对应的域名信息，获得对应所述目标应用程序的第二登录态。在使用所述第二登录态访问所述目标应用程序时，判断所产生的数据中是否存在所述预设类型数据，若存在所述预设类型数据，则确定所述目标应用程序中存在越权漏洞。采用本申请所述的越权漏洞的检测方法，可以通过替换登录态的方式，实现两次判断待检测的目标应用程序中是否存在敏感信息，从而确定是否存在越权漏洞，减少繁琐的操作步骤，提升了用户的使用体验。

技术领域

本申请涉及数据安全领域，具体涉及一种越权漏洞的检测方法、装置及系统。另外涉及一种检测越权漏洞的电子设备及存储设备。

背景技术

Web应用程序是基于浏览器/服务器架构的应用程序，是随着网络技术的发展而产生的应用程序类型。Web应用程序包含一些静态的页面，不仅具有信息展示功能，还可以通过调用页面中的不同业务逻辑接口对数据执行相应的处理操作。但是，与传统的计算机应用程序一样，Web应用程序由于在开发过程中安全策略上的缺陷，使其必然存在一定量的漏洞。其中，越权漏洞是测试Web应用程序过程中常见的业务逻辑漏洞之一。它的形成原因是由于服务器端对客户端的Web应用程序提出的数据操作请求过分信任，忽略了对其操作权限的判定。攻击者使用一个合法账户，即可对存在越权缺陷漏洞的其他账户数据进行非法的操作。

为了应对Web应用程序的存在越权漏洞的问题，本领域技术人员已经开发出一些针对Web应用程序的越权漏洞扫描工具，例如BurpSuite等。用户利用这些软件进行抓包操作，然后修改请求Request参数，对比反馈的结果确定是否包含敏感信息，从而实现对Web应用程序的一些常规越权漏洞的检测。但是，上述解决方案通常消耗的人力资源比较大，检测人员需要进行大量的重复性工作，且依赖安全测试人员的主观经验，存在操作步骤比较繁琐、检测效率低下等弊端，尤其是无法实现大规模的Web应用程序越权漏洞的检测工作。

发明内容

本申请提供一种越权漏洞的检测方法、装置及系统，以解决现有技术中存在的检测越权漏洞的方式效率低下，难以满足用户需求的问题。本申请另外提供一种检测越权漏洞的电子设备及存储设备。

本申请提供的一种越权漏洞的检测方法，包括：在使用第一登录态访问目标应用程序时，判断所产生的数据中是否存在预设类型数据；若存在预设类型数据，则根据所述目标应用程序对应的域名信息，获得对应所述目标应用程序的第二登录态，其中，所述第一登录态和所述第二登录态分别表示访问所述目标应用程序的两个不同用户的身份标识；在使用所述第二登录态访问所述目标应用程序时，判断所产生的数据中是否存在所述预设类型数据，若存在所述预设类型数据，则确定所述目标应用程序中存在越权漏洞。

可选的，所述在使用第一登录态访问目标应用程序时，判断所产生的数据中是否存在预设类型数据，具体包括：获得在使用所述第一登录态访问所述目标应用程序时的第一访问请求；根据所述第一访问请求，获得针对所述第一访问请求产生的第一响应数据；将所述第一响应数据输入预先训练的用于提取预设类型数据的预设类型数据提取模型；若提取到所述预设类型数据，则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中存在所述预设类型数据，若没有提取到所述预设类型数据，则判断在使用所述第一登录态访问所述目标应用程序时所产生的数据中不存在所述预设类型数据。

可选的，所述第一访问请求为在所述第一登录态对应的操作权限范围内访问所述目标应用程序时的所有操作指令。

可选的，所述第一响应数据为使用所述第一登录态访问所述目标应用程序时针对所述第一访问请求获得的所有响应数据。