买专利、卖专利、专利购买、专利交易、专利出售、高企申报-越权漏洞检测方法和装置

首页

利索能及专利检索

电话：15618600796

查出售查求购

我要发布

专利交易专利求购

越权漏洞检测方法和装置

面议

专利号： 201810676244X

申请人：平安科技(深圳)有限公司

专利类型：发明专利

专利状态：已下证

更新日期：2026-06-16

缴费截止日期：暂无

联系人

专利简介

专利详情

购买说明

摘要:

权利要求书:

1.一种越权漏洞检测方法，其特征在于，包括：

通过第一账号触发待检测的系统的多个业务逻辑；

分别获取通过所述第一账号触发的多个业务逻辑中的各个业务逻辑对应的第一业务流量，所述第一业务流量包括第一业务请求和所述第一业务请求对应的第一返回数据，所述第一业务请求中的身份识别参数为所述第一账号对应的身份识别参数；

分别将所述各个业务逻辑对应的第一业务请求中的身份识别参数修改为第二账号对应的身份识别参数，并分别获取修改身份识别参数后的各个第一业务请求对应的第二返回数据；

分别确定所述各个第一业务请求对应的第一返回数据与第二返回数据的相似度；

如果所述各个第一业务请求中存在第二业务请求，则确定所述第二业务请求对应的业务逻辑存在越权漏洞，其中，所述第二业务请求对应的第一返回数据与第二返回数据的相似度大于第一相似阈值。

2.根据权利要求1所述的方法，其特征在于，所述分别确定所述各个第一业务请求对应的第一返回数据与第二返回数据的相似度包括：分别确定所述各个第一业务请求对应的第一SimHash值和第二SimHash值，所述第一SimHash值为所述第一返回数据的SimHash值，所述第二SimHash值为所述第二返回数据的SimHash值；

分别确定所述各个第一业务请求对应的第一SimHash值和第二SimHash值之间的汉明距离；

分别根据所述各个第一业务请求对应的第一SimHash值和第二SimHash值之间的汉明距离确定所述各个第一业务请求对应的第一返回数据与第二返回数据的相似度。

3.根据权利要求1所述的方法，其特征在于，所述确定所述第二业务请求对应的业务逻辑存在越权漏洞之后，还包括：通过第二账号触发所述待检测的系统的多个业务逻辑；

分别获取通过所述第二账号触发的多个业务逻辑中的各个业务逻辑对应的第二业务流量，所述第二业务流量包括第三业务请求和所述第三业务请求对应的第三返回数据，所述第三业务请求中的身份识别参数为所述第二账号对应的身份识别参数；

确定第四业务请求，所述第四业务请求为所述第二业务请求中与所述第三业务请求相同的业务请求；

确定所述第四业务请求对应的第一返回数据与第三返回数据的相似度；

如果所述第四业务请求中存在第五业务请求，则确定所述第二业务请求中的除所述第五业务请求之外的业务请求对应的业务逻辑存在越权漏洞，所述第五业务请求对应的第一返回数据与第三返回数据的相似度大于第二相似阈值。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述分别获取通过所述第一账号触发的多个业务逻辑中的各个业务逻辑对应的第一业务流量包括：分别拦截触发所述各个业务逻辑后所述待检测的系统对应的系统前台向所述待检测的系统对应的系统后台发起的多个业务请求；

将所述多个业务请求中存在身份识别参数的业务请求确定为第一业务请求，并保存所述第一业务请求；

对所述第一业务请求进行放行，并拦截所述系统后台根据所述第一业务请求返回的数据，作为所述第一业务请求对应的第一返回数据；

保存所述第一返回数据。

5.根据权利要求4所述的方法，其特征在于，所述分别拦截触发各个业务逻辑后所述待检测的系统对应的系统前台向所述待检测的系统对应的系统后台发起的多个业务请求之后还包括：如果所述多个业务请求中存在第六业务请求，则确定所述第六业务请求对应的业务逻辑不存在越权漏洞，所述第六业务请求为不存在身份识别参数的业务请求。

6.根据权利要求1-3任一项所述的方法，其特征在于，所述分别获取通过所述第一账号触发的多个业务逻辑中的各个业务逻辑对应的第一业务流量包括：通过网络爬虫爬取的方式分别获取所述各个业务逻辑对应的第一业务流量。

7.根据权利要求1所述的方法，其特征在于，所述身份识别参数包括cookie信息、session信息、用户账户标识或订单标识。

8.一种越权漏洞检测装置，其特征在于，包括：

第一触发模块，用于通过第一账号触发待检测的系统的多个业务逻辑；

第一流量获取模块，用于分别获取通过所述第一账号触发的多个业务逻辑中的各个业务逻辑对应的第一业务流量，所述第一业务流量包括第一业务请求和所述第一业务请求对应的第一返回数据，所述第一业务请求中的身份识别参数为所述第一账号对应的身份识别参数；

参数修改模块，用于分别将所述各个业务逻辑对应的第一业务请求中的身份识别参数修改为第二账号对应的身份识别参数，所述第一流量获取模块还用于分别获取修改身份识别参数后的各个第一业务请求对应的第二返回数据；

相似度确定模块，用于分别确定所述各个第一业务请求对应的第一返回数据与第二返回数据的相似度；

漏洞确定模块，用于如果所述各个第一业务请求中存在第二业务请求，则确定所述第二业务请求对应的业务逻辑存在越权漏洞，其中，所述第二业务请求对应的第一返回数据与第二返回数据的相似度大于第一相似阈值。

9.一种越权漏洞检测装置，其特征在于，包括处理器、存储器以及输入输出接口，所述处理器、存储器和输入输出接口相互连接，其中，所述输入输出接口用于输入输出数据，所述存储器用于存储程序代码，所述处理器用于调用所述程序代码，执行如权利要求1-7任一项所述的方法。

10.一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求

1-7任一项所述的方法。