[发明专利]一种电力移动应用越权访问漏洞检测方法

摘要

本发明公开了一种电力移动应用越权访问漏洞检测方法，包括：获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量；构造属于同一用户类型的不同用户针对同一操作的http请求，修改其中一个用户的http请求，并将修改后的请求发送给服务端，分析执行结果以检测平行越权访问漏洞；构造属于不同用户类型的不同用户的http请求，并修改属于某些用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞；综合检测发现的漏洞，完成越权访问漏洞检测。本发明用于在集成测试阶段对移动应用进行安全测评，为降低移动应用存在的安全风险，提高移动应用的安全性提供支持。

主权项

1.一种电力移动应用越权访问漏洞检测方法，其特征在于，包括以下步骤：(1)获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量；(2)构造属于同一用户类型的不同用户针对同一操作的http请求，修改其中一个用户的http请求，并将修改后的请求发送给服务端，分析执行结果以检测平行越权访问漏洞；(3)构造属于不同用户类型的不同用户的http请求，并修改属于部分用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞；(4)综合步骤(2)和步骤(3)中检测发现的漏洞，完成电力移动应用越权访问漏洞检测；所述步骤(2)中的检测平行越权访问漏洞，具体包括以下步骤：(2a)筛选出包括多个用户的用户类型，针对每种用户类型，分别执行步骤(2b)‑(2f)；(2b)选择与该用户类型对应的其中2个不同的用户A和用户B，获取与该用户类型对应的用户可以执行的全部操作；(2c)对于每个操作，分别执行步骤(2d)‑(2f)；(2d)分别获取用户A和用户B执行该操作的http请求，如果2个请求的返回的结果不相同，则执行步骤2e；(2e)修改用户B的http请求，将用户B的http请求中的请求参数设置为用户A的请求参数，形成一个新的http请求；(2f)将新的http请求以用户B的身份发送给服务端，获取服务端的返回结果，如果返回结果包含了用户A的http请求的结果，则说明用户B获取了用户A的信息，检测出平行越权访问漏洞；所述步骤(3)中构造属于不同用户类型的不同用户的http请求，并修改属于部分用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞，具体包括以下步骤：(3a)筛选出不同的用户类型，对于任意两种不同的用户类型，分别执行步骤(3b)‑(3f)；(3b)分别选择与两种不同用户类型对应的用户C和用户D，获取用户C可以执行的全部操作和用D可执行的全部操作；(3c)对于用户C的每个操作，如果该操作用户D不可以执行，则执行步骤(3d)‑(3e)；(3d)获取用户C执行该操作的http请求，修改该http请求，将其中的请求用户信息设置为用户D的请求用户信息，形成新的http请求；(3e)新的http请求以用户D的身份发送给服务端，获取服务端的返回结果，如果返回结果包含了用户C的http请求的结果，则说明用户D获取了用户C的信息，检测出未授权访问漏洞；(3f)对于用户D每个操作，如果该操作用户C不可以执行，则执行步骤(3g)‑(3h)；(3g)获取用户D执行该操作的http请求，修改该请求，将其中的请求用户信息设置为用户C的请求用户信息，形成新的http请求；(3h)新的http请求以用户C的身份发送给服务端，获取服务端的返回结果，如果返回结果包含了用户D的http请求的结果，则说明用户C获取了用户D的信息，检测出未授权访问漏洞。