[发明专利]一种web应用纵向越权漏洞的半自动检测方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，具体地说是一种web应用纵向越权漏洞的半自动检测方法及系统。

背景技术

在网络安全领域，越权漏洞是web应用常见的业务逻辑漏洞之一。它的形成原因是由于服务器端对客户端提出的数据访问请求过分信任，忽略了对该用户访问权限的判定。传统的人工越权漏洞检测方法耗费时间较长，检测人员需要进行大量的重复性工作，导致了检测效率极为低下。一些web应用漏洞检测商业工具如IBM的AppScan、Acunetix Web Vulnerability Scanner、HP的WebInspect等针对一些常规漏洞如XSS，SQL注入等有很完备的漏洞发现以及解决办法，又比如公开的专利申请文件“201510728727.6”，名为“web访问的越权漏洞检测方法及装置”中，给出了类似解决方案，但是它们对于某些由于Web应用业务逻辑上处理不当而产生的安全问题如越权问题欠缺发现能力。有些论文中描述的全自动越权漏洞检测方式在不可重入数据访问上并不适用，这里的不可重入是指web应用的某些数据操作具有不可重入性，例如网站管理员添加了一个用户ID后再添加同名ID时需要先将原ID删除。

基于上述问题，本发明提出了一种针对不可重入的数据操作的web应用纵向越权漏洞的半自动检测技术。

发明内容

本发明的技术任务是针对以上不足之处，提供一种web应用纵向越权漏洞的半自动检测方法及系统。

一种web应用纵向越权漏洞的半自动检测方法，其实现过程为：将高权限用户的HTTP请求中的用户身份信息替换为低权限用户的用户身份信息，并将修改过的HTTP请求的响应信息与原HTTP请求的响应信息作比对，通过差异定位漏洞位置，所述高权限用户是指具有所有操作权限的用户，低权限用户是指具有部分操作权限的用户。

在将高权限用户身份信息替换为低权限用户身份信息前，首先登录该高权限用户，即在开始检测前，首先登录具有所有操作权限的账户，然后发起数据访问HTTP的请求并拦截请求包。

所述登录该高权限用户的过程为：首先在浏览器中使用具有所有操作权限的用户登录待测Web系统，然后配置记录日志，完成所有HTTP请求操作，将对应的HTTP请求及响应信息即记录在日志文件中，保持登录状态并关闭日志记录。

所述高权限用户登录的浏览器为包括IE的浏览器，并在浏览器中通过挂代理工具burpsuite配置记录日志，在IE浏览器中进行所有操作后，将对应的HTTP请求及响应信息即记录在日志文件中，然后关闭HTTP代理工具，并保持登录状态，最后关闭日志记录。

在将所有权限账户的身份信息替换为部分权限账户的身份信息时，首先使用另一浏览器登录该部分权限账户，然后用该部分权限账户的身份信息替换所有权限账户的身份信息，发送修改后的HTTP请求，对比HTTP请求与修改后的HTTP请求的响应，标记出越权漏洞位置。

所述另一浏览器采用包括Google Chrome的浏览器，在登录时，部分权限账户通过该浏览器登录待测Web系统，记录HTTP请求中的身份信息后保持登录状态，该身份信息包括cookie、token或请求参数中的身份相关参数项。

用部分权限账户的身份信息替换所有权限账户的身份信息的过程为：使用脚本工具将日志文件中的重复项和非待测系统HTTP请求项删除，然后用部分权限账户的身份信息替换日志文件所有HTTP请求中的所有权限用户的对应参数项，并发送修改过的HTTP请求。

一种web应用纵向越权漏洞的半自动检测系统，包括，

第一登录模块，用于发起高权限用户数据访问HTTP请求并拦截请求包，所述高权限用户是指具有所有操作权限的用户；

第二登录模块，用于发起低权限用户数据访问并复制其信息，所述低权限用户是指具有部分操作权限的用户；

替换模块，用于将高权限用户的HTTP请求中的用户身份信息替换为低权限用户的用户身份信息；

对比模块，并将修改过的HTTP请求的响应信息与原HTTP请求的响应信息作比对，通过差异定位漏洞位置。

所述第一登录模块中配置有浏览器模块、日志模块，其中，

浏览器模块用于高权限用户登录待测Web系统，该浏览器为IE浏览器，并在浏览器中通过挂代理工具burpsuite配置记录日志模块；

日志模块用于在IE浏览器中进行所有操作后，将对应的HTTP请求及响应信息即记录在日志文件中，且该日志模块在关闭HTTP代理工具后关闭。