[发明专利]一种Web越权漏洞检测方法与系统

权利要求书

1.一种Web越权漏洞检测方法，其特征在于，包括以下步骤：

S1、获取Web页面中的所有HTTP请求，并记录初始响应信息；

S2、替换所述HTTP请求中的身份标识信息，重新提交请求，记录最新响应信息；

S3、对比所述的初始响应信息和最新响应信息，不同项即为存在疑似越权漏洞的请求项。

2.根据权利要求1所述的一种Web越权漏洞检测方法，其特征在于，步骤S1具体为以下步骤：

S101、开启HTTP代理工具的日志记录功能；

S102、使用具有所有操作权限的用户登录待测Web系统；

S103、执行Web页面所有操作；

S104、所述HTTP代理工具记录所有HTTP请求和所述初始响应信息，保存至日志文件；

S105、删除所述日志文件中的非待测Web项和重复项；

S106、复制所述日志文件，生成日志文件备份。

3.根据权利要求2所述的一种Web越权漏洞检测方法，其特征在于，步骤S2具体为以下步骤：

S201、在另一浏览器中使用非所有权限用户登录待测Web系统；

S202、记录HTTP请求中的身份标识信息；

S203、将所述身份标识信息替换掉所述日志文件备份中的对应项；

S204、重新构造日志文件备份中的HTTP请求信息，并提交请求；

S205、记录最新响应信息。

4.根据权利要求1-3任意一项所述的一种Web越权漏洞检测方法，其特征在于，所述身份标识信息包括cookie和token信息。

5.一种Web越权漏洞检测系统，其特征在于，包括：

初始响应信息模块，用于获取Web页面中的所有HTTP请求，并记录初始响应信息；

最新响应信息模块，用于替换所述HTTP请求中的身份标识信息，重新提交请求，记录最新响应信息；

越权漏洞检测模块，用于对比所述的初始响应信息和最新响应信息，不同项即为存在疑似越权漏洞的请求项。

6.根据权利要求5所述的一种Web越权漏洞检测系统，其特征在于，所述初始响应信息模块包括：

日志记录开启单元，用于开启HTTP代理工具的日志记录功能；

登录用户单元，用于使用具有所有操作权限的用户登录待测Web系统；

Web操作执行单元，用于执行Web页面所有操作；

日志记录单元，用于所述HTTP代理工具记录所有HTTP请求和所述初始响应信息，保存至日志文件；

过滤单元，用于删除所述日志文件中的非待测Web项和重复项；

备份单元，用于复制所述日志文件，生成日志文件备份。

7.根据权利要求6所述的一种Web越权漏洞检测系统，其特征在于，所述最新响应模块包括：

登录用户单元，用于在另一浏览器中使用非所有权限用户登录待测Web系统；

身份标识记录单元，用于记录HTTP请求中的身份标识信息；

身份标识替换单元，用于将所述身份标识信息替换掉所述日志文件备份中的对应项；

重新提交请求单元，用于重新构造日志文件备份中的HTTP请求信息，并提交请求；

响应信息记录单元，用于记录最新响应信息。

8.根据权利要求5-7任意一项所述的一种Web越权漏洞检测系统，其特征在于，所述身份标识信息包括cookie和token信息。