[发明专利]WEB角色纵向越权漏洞的测试方法、系统、终端及存储介质

权利要求书

1.一种WEB角色纵向越权漏洞的测试方法，其特征在于，包括：

通过角色用户登录WEB，从WEB的源码文件中定位角色用户的可操作界面，并定位所述可操作界面中的可操作元素；

通过自动化工具执行可操作元素以向WEB后端发送接口请求，通过抓包工具抓取后端对所述接口请求的响应消息，将接口请求和相应的响应消息保存至用户文件；

通过比对用户文件和管理员的请求与响应文件，生成角色用户的无权限操作列表，所述无权限操作列表存储角色用户的没有执行权限的接口；

基于角色用户的鉴权信息生成测试请求，所述测试请求访问所述无权限操作列表中的接口，如果访问结果与鉴权信息匹配则通过测试。

2.根据权利要求1所述的方法，其特征在于，通过角色用户登录WEB，从WEB的源码文件中定位角色用户的可操作界面，并定位所述可操作界面中的可操作元素，包括：

从所有角色用户中随机选取目标角色用户，直至遍历所有角色用户；

利用自动化工具模拟目标角色用户登录WEB，遍历WEB的所有可访问的前端源码文件，定位目标角色用户具有操作权限的可操作界面；

通过解析前端源码文件定位可操作界面内的可操作元素，所述可操作元素包括块元素、行元素、按键和输入框。

3.根据权利要求1所述的方法，其特征在于，通过自动化工具执行可操作元素以向WEB后端发送接口请求，通过抓包工具抓取后端对所述接口请求的响应消息，将接口请求和相应的响应消息保存至用户文件，包括：

所述自动化工具对可操作元素进行显示检验，将正常显示的可操作性元素组成通配符，通过通配符进行操作定位和执行；

将接口请求及发送时间和响应消息及响应时间保持至用户文件。

4.根据权利要求1所述的方法，其特征在于，通过比对用户文件和管理员的请求与响应文件，生成角色用户的无权限操作列表，所述无权限操作列表存储角色用户的没有执行权限的接口，包括：

利用管理员用户登录WEB，并根据前端源码文件和自动化工具执行接口请求发送，将接口请求和相应的响应消息保存至管理员的请求与响应文件；

比对用户文件与管理员的请求与响应文件的一致性，将用户文件中不存在的，请求与响应文件中的接口请求作为目标接口请求筛选出来；

从目标接口请求解析出接口信息，将接口信息保存至无权限操作列表。

5.根据权利要求1所述的方法，其特征在于，基于角色用户的鉴权信息生成测试请求，所述测试请求访问所述无权限操作列表中的接口，如果访问结果与鉴权信息匹配则通过测试，包括：

通过请求库登录获取响应的鉴权信息，将鉴权信息保存至请求头部；

基于携带鉴权信息的请求头部向无权限操作列表中的接口发送接口请求；

获取响应与接口请求的状态码，判断所述状态码是否与鉴权信息匹配，如果两者匹配则判定测试通过。

6.一种WEB角色纵向越权漏洞的测试系统，其特征在于，包括：

信息解析单元，用于通过角色用户登录WEB，从WEB的源码文件中定位角色用户的可操作界面，并定位所述可操作界面中的可操作元素；

操作执行单元，用于通过自动化工具执行可操作元素以向WEB后端发送接口请求，通过抓包工具抓取后端对所述接口请求的响应消息，将接口请求和相应的响应消息保存至用户文件；

文件比对单元，用于通过比对用户文件和管理员的请求与响应文件，生成角色用户的无权限操作列表，所述无权限操作列表存储角色用户的没有执行权限的接口；

权限验证单元，用于基于角色用户的鉴权信息生成测试请求，所述测试请求访问所述无权限操作列表中的接口，如果访问结果与鉴权信息匹配则通过测试。

7.根据权利要求6所述的系统，其特征在于，所述信息解析单元用于：

从所有角色用户中随机选取目标角色用户，直至遍历所有角色用户；

利用自动化工具模拟目标角色用户登录WEB，遍历WEB的所有可访问的前端源码文件，定位目标角色用户具有操作权限的可操作界面；

通过解析前端源码文件定位可操作界面内的可操作元素，所述可操作元素包括块元素、行元素、按键和输入框。