[发明专利]业务逻辑漏洞检测方法、装置、存储介质以及终端

权利要求书

1.一种业务逻辑漏洞检测方法，其特征在于，所述方法包括：

获取web应用生成的第一HTTP流量；其中，所述第一HTTP流量携带第一数据流；

将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量；

基于所述第二HTTP流量进行访问，获取访问过程中触发的第二数据流，基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。

2.根据权利要求1所述的方法，其特征在于，所述第一HTTP流量包括第一HTTP请求信息和所述第一数据流；其中，所述第一HTTP请求信息包含第一用户身份信息。

3.根据权利要求2所述的方法，其特征在于，所述将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量，包括：

将所述第一HTTP请求信息进行标记，以及将所述第一用户身份信息替换为第二用户身份信息，得到所述第二HTTP流量。

4.根据权利要求1所述的方法，其特征在于，所述第一数据流包括第一SQL语句，以及所述第二数据流包括第二SQL语句。

5.根据权利要求4所述的方法，其特征在于，所述获取访问过程中触发的第二数据流，基于所述第一数据流和所述第二数据流判断是否存在越权漏洞，包括：

获取所述第二HTTP流量在访问过程中执行的所述第二SQL语句；

若所述第二HTTP流量执行的所述第二SQL语句和所述第一HTTP流量执行的所述第一SQL语句相同，则存在越权漏洞。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

若所述第二HTTP流量执行的所述第二SQL语句和所述第一HTTP流量执行的所述第一SQL语句不相同，则不存在越权漏洞。

7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：

在所述第二HTTP流量执行的所述第二SQL语句包括update语句时，对所述update语句进行修改；

基于修改后的第二SQL语句生成数据包，以及将数据包发送给数据库。

8.根据权利要求1所述的方法，其特征在于，所述获取web应用生成的第一HTTP流量，包括：

采集web应用在测试环境中生成的多个HTTP流量；

随机从所述多个HTTP流量中选择一个HTTP流量作为第一HTTP流量。

9.根据权利要求1所述的方法，其特征在于，所述获取web应用生成的第一HTTP流量，包括：

采集web应用在测试环境中生成的多个HTTP流量；

根据预设时间顺序从所述多个HTTP流量中选择一个HTTP流量作为第一HTTP流量。

10.一种业务逻辑漏洞检测装置，其特征在于，所述装置包括：

请求采集模块，用于获取web应用生成的第一HTTP流量；其中，所述第一HTTP流量携带第一数据流；

请求处理模块，用于将所述第一HTTP流量进行标记处理和身份替换处理后得到第二HTTP流量；

请求检测模块，用于基于所述第二HTTP流量进行访问，获取访问过程中触发的第二数据流，基于所述第一数据流和所述第二数据流判断是否存在越权漏洞。

11.一种计算机存储介质，其特征在于，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行如权利要求1～9任意一项的方法步骤。

12.一种终端，其特征在于，包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行如权利要求1～9任意一项的方法步骤。