[发明专利]WEB角色纵向越权漏洞的测试方法、系统、终端及存储介质

说明书

本发明提供一种WEB角色纵向越权漏洞的测试方法、系统、终端及存储介质，包括：通过角色用户登录WEB，从WEB的源码文件中定位角色用户的可操作界面，并定位可操作界面中的可操作元素；通过自动化工具执行可操作元素以向WEB后端发送接口请求，通过抓包工具抓取后端对接口请求的响应消息，将接口请求和相应的响应消息保存至用户文件；通过比对用户文件和管理员的请求与响应文件，生成角色用户的无权限操作列表，无权限操作列表存储角色用户的没有执行权限的接口；基于角色用户的鉴权信息生成测试请求，测试请求访问无权限操作列表中的接口，如果访问结果与鉴权信息匹配则通过测试。本发明实现了多角色系统的纵向越权的全自动化测试方法。

技术领域

本发明涉及WEB安全维护技术领域，具体涉及一种WEB角色纵向越权漏洞的测试方法、系统、终端及存储介质。

背景技术

随着软件系统的不断发展，多角色用户的需求也在越来越多的软件系统上实现，随之而来的出现了越来越多的web安全漏洞，其中纵向越权漏洞是开发者和测试者关注的安全问题。例如一个普通用户通过对接口的分析，可以直接访问管理员权限的资源。

现在有纵向越权测试方法：第一种为手动测试，即通过浏览器界面抓取到接口，然后修改请求中的鉴权信息(将管理员的鉴权信息修改为普通用户鉴权信息)，发送该请求，判断该接口是否存在越权漏洞。这样的测试方法非常繁琐，需要大量的人力投入，而且特别容易出来漏测的现象，导致越权漏洞未被发现，影响产品安全。

第二种为半自动化测试，通过手动测试收集所有的接口，然后通过修改请求的鉴权信息，对比修改前及修改后的请求响应，判断是否存在越权。这种方式在以下几个方面存在劣势：不能完全自动化测试，需要大量的手动测试手机API，大大降低了测试效率；测试依赖于API手册文档，需要知道xx API接口xx角色有无权限的先提条件，依赖于文档，大大掣肘了自动化的范围及效率。

发明内容

针对现有技术的上述不足，本发明提供一种WEB角色纵向越权漏洞的测试方法、系统、终端及存储介质，以解决上述技术问题。

第一方面，本发明提供一种WEB角色纵向越权漏洞的测试方法，包括：

通过角色用户登录WEB，从WEB的源码文件中定位角色用户的可操作界面，并定位所述可操作界面中的可操作元素；

通过自动化工具执行可操作元素以向WEB后端发送接口请求，通过抓包工具抓取后端对所述接口请求的响应消息，将接口请求和相应的响应消息保存至用户文件；

通过比对用户文件和管理员的请求与响应文件，生成角色用户的无权限操作列表，所述无权限操作列表存储角色用户的没有执行权限的接口；

基于角色用户的鉴权信息生成测试请求，所述测试请求访问所述无权限操作列表中的接口，如果访问结果与鉴权信息匹配则通过测试。

进一步的，通过角色用户登录WEB，从WEB的源码文件中定位角色用户的可操作界面，并定位所述可操作界面中的可操作元素，包括：

从所有角色用户中随机选取目标角色用户，直至遍历所有角色用户；

利用自动化工具模拟目标角色用户登录WEB，遍历WEB的所有可访问的前端源码文件，定位目标角色用户具有操作权限的可操作界面；

通过解析前端源码文件定位可操作界面内的可操作元素，所述可操作元素包括块元素、行元素、按键和输入框。

进一步的，通过自动化工具执行可操作元素以向WEB后端发送接口请求，通过抓包工具抓取后端对所述接口请求的响应消息，将接口请求和相应的响应消息保存至用户文件，包括：

所述自动化工具对可操作元素进行显示检验，将正常显示的可操作性元素组成通配符，通过通配符进行操作定位和执行；

将接口请求及发送时间和响应消息及响应时间保持至用户文件。