[发明专利]未授权访问漏洞检测方法、系统、服务器和存储介质在审
| 申请号: | 202011043506.2 | 申请日: | 2020-09-28 |
| 公开(公告)号: | CN112165489A | 公开(公告)日: | 2021-01-01 |
| 发明(设计)人: | 杨良志;白琳;汪志新;卢业波;贾亮;刘晓 | 申请(专利权)人: | 彩讯科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/57 |
| 代理公司: | 北京品源专利代理有限公司 11332 | 代理人: | 潘登 |
| 地址: | 518000 广东省深圳市南山区粤海街*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 授权 访问 漏洞 检测 方法 系统 服务器 存储 介质 | ||
本发明提供一种未授权访问漏洞检测方法,由独立于客户端和服务端的检测端执行,包括:获取客户端的一个或多个第一请求;解析所述第一请求,确定所述第一请求中的访问权限信息;将所述第一请求发送至服务端,获取第一响应信息;去除所述第一请求中的所述访问权限信息,生成第二请求;将所述第二请求发送至服务端,获取第二响应信息;判断所述第一响应信息和第二响应信息是否相同;若相同,则确定所述第一请求具有未授权访问漏洞。本发明通过提供一种未授权访问漏洞检测方法,实现自动化检测客户端访问服务端是否具有漏洞,节省了人力物力。
技术领域
本发明实施例涉及安全测试相关技术领域,尤其涉及一种未授权访问漏洞检测方法、系统、服务器和存储介质。
背景技术
随着移动通讯技术的日益发达,以及国家网络安全法的进一步落地。企业业务系统在信息安全领域所面对的挑战日益严重。而对软件企业来说,快速而低成本进行安全测试,发现安全漏洞犹为重要。自动化的安全测试工具可以发现许多特征明显的安全漏洞,但对业务上的逻辑漏洞却无能为力,在众多安全问题中,未经身份验证的用户访问就是其中常见的一种。
目前,安全测试中的未经身份验证的用户访问检测,主要还是要依靠人力手动去测试,对于一些复杂的业务系统,需要对大量请求进行分析和测试,不仅对人力的需求很大,同时容易漏掉一些未验证身份访问逻辑漏洞。
发明内容
本发明提供了一种未授权访问漏洞检测方法,实现自动化检测客户端访问服务端是否具有漏洞,节省了人力物力。
第一方面,本发明提供了一种未授权访问漏洞检测方法,由独立于客户端和服务端的检测端执行,包括:
获取客户端的一个或多个第一请求;
解析所述第一请求,确定所述第一请求中的访问权限信息;
将所述第一请求发送至服务端,获取第一响应信息;
去除所述第一请求中的所述访问权限信息,生成第二请求;
将所述第二请求发送至服务端,获取第二响应信息;
判断所述第一响应信息和第二响应信息是否相同;
若相同,则确定所述第一请求具有未授权访问漏洞。
进一步地,所述获取客户端的一个或多个第一请求,包括:
基于预设的过滤规则对所述业务流量进行过滤,以获取所述一个或多个第一请求。
进一步地,所述将所述第一请求发送至服务端,获取第一响应信息之前,还包括:
对所述第一请求进行去重。
进一步地,所述对所述第一请求进行去重,包括:
基于预设算法计算所述一个或多个第一请求的第一请求指纹;
判断是否有重复的所述第一请求指纹;
若重复,则删除所述重复的第一请求指纹对应的所述第一请求。
进一步地,所述第一响应信息包括第一响应长度和第一状态码,第二响应信息包括第二响应长度和第二状态码,则所述判断所述第一响应信息和第二响应信息是否相同,包括:
判断所述第一响应长度和第二响应长度的差值是否为零;
同时,判断所述第一状态码和第二状态码是否相同;
若所述第一响应长度和第二响应长度的差值为零,且所述第一状态码和第二状态码相同,则判断所述第一响应信息和第二响应信息相同。
进一步地,所述若相同,则确定所述第一请求具有未授权访问漏洞之后,还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于彩讯科技股份有限公司,未经彩讯科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011043506.2/2.html,转载请声明来源钻瓜专利网。
