一种Web越权漏洞检测方法与系统与流程

文档序号:13446697阅读:4134来源:国知局
一种Web越权漏洞检测方法与系统与流程

本发明涉及web安全领域,特别是一种web越权漏洞检测方法与系统。



背景技术:

随着近期爆发的各种高危漏洞,网络安全问题引起了越来越多的关注。越权漏洞,web应用程序中一种常见的安全漏洞,是指由于程序员疏忽,没有对某个操作所需的权限/用户进行严格的限制,导致本应没有操作权限的用户可正常进行操作,其威胁在于一个账户即可控制全站用户数据,即攻击者使用一个合法账户,即可对存在越权缺陷漏洞的其他账户数据进行非法的操作,例如查询、插入、删除、修改等常规数据库命令。

越权漏洞属于业务逻辑漏洞的一种,无法通过外部waf(webapplicationfirewall,web应用防护系统)进行防御加固,且常涉及用户隐私数据,一旦被发现,对于系统的影响会很大。但是由于web站点一般页面较多,使用的技术也各不相同,导致爬虫工具不能全面的对各个请求进行爬取以进行全自动化检测。

现有技术中,对于越权漏洞的检测主要是通过测试人员对web程序进行渗透测试,人工检测出漏洞,这种人工方式检测方法耗费时间较长,检测人员需要进行大量的重复性工作,导致了检测效率极为低下。



技术实现要素:

本发明的目的是提供一种web越权漏洞检测方法与系统,旨在解决现有越权漏洞检测方式效率低下的问题,提高检测效率,避免重复开发检测工具导致的测试成本增加。

为达到上述技术目的,本发明提供了一种web越权漏洞检测方法,包括以下步骤:

s1、获取web页面中的所有http请求,并记录初始响应信息;

s2、替换所述http请求中的身份标识信息,重新提交请求,记录最新响应信息;

s3、对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。

优选地,步骤s1具体为以下步骤:

s101、开启http代理工具的日志记录功能;

s102、使用具有所有操作权限的用户登录待测web系统;

s103、执行web页面所有操作;

s104、所述http代理工具记录所有http请求和所述初始响应信息,保存至日志文件;

s105、删除所述日志文件中的非待测web项和重复项;

s106、复制所述日志文件,生成日志文件备份。

优选地,步骤s2具体为以下步骤:

s201、在另一浏览器中使用非所有权限用户登录待测web系统;

s202、记录http请求中的身份标识信息;

s203、将所述身份标识信息替换掉所述日志文件备份中的对应项;

s204、重新构造日志文件备份中的http请求信息,并提交请求;

s205、记录最新响应信息。

优选地,所述身份标识信息包括cookie和token信息。

本发明还提供了一种web越权漏洞检测系统,包括:

初始响应信息模块,用于获取web页面中的所有http请求,并记录初始响应信息;

最新响应信息模块,用于替换所述http请求中的身份标识信息,重新提交请求,记录最新响应信息;

越权漏洞检测模块,用于对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。

优选地,所述初始响应信息模块包括:

日志记录开启单元,用于开启http代理工具的日志记录功能;

登录用户单元,用于使用具有所有操作权限的用户登录待测web系统;

web操作执行单元,用于执行web页面所有操作;

日志记录单元,用于所述http代理工具记录所有http请求和所述初始响应信息,保存至日志文件;

过滤单元,用于删除所述日志文件中的非待测web项和重复项;

备份单元,用于复制所述日志文件,生成日志文件备份。

优选地,所述最新响应模块包括:

登录用户单元,用于在另一浏览器中使用非所有权限用户登录待测web系统;

身份标识记录单元,用于记录http请求中的身份标识信息;

身份标识替换单元,用于将所述身份标识信息替换掉所述日志文件备份中的对应项;

重新提交请求单元,用于重新构造日志文件备份中的http请求信息,并提交请求;

响应信息记录单元,用于记录最新响应信息。

优选地,所述身份标识信息包括cookie和token信息。

发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:

与现有技术相比,本发明通过人工辅助获取web页面中的所有http请求,并将http请求中的身份标识信息进行替换后重新提交请求,通过对比待测web系统的http响应结果,输出疑似存在越权漏洞的http请求列表,从而大大提高了漏洞检测的检测效率,同时本发明兼容使用各种技术实现的web站点,避免了重复开发检测工具导致的测试成本增加。

附图说明

图1为本发明实施例中所提供的一种web越权漏洞检测方法流程图;

图2为本发明实施例中所提供的获取web页面中的所有http请求并记录初始响应信息的方法流程图;

图3为本发明实施例所提供的替换所述http请求中的身份标识信息并重新提交请求和记录最新响应信息的方法流程图;

图4为本发明实施例所提供的一种web越权漏洞检测系统整体框图。

具体实施方式

为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

下面结合附图对本发明实施例所提供的一种web越权漏洞检测方法与系统进行详细说明。

如图1所示,本发明实施例公开了一种web越权漏洞检测方法:

首先,获取web页面中的所有http请求,并记录初始响应信息,如图2所示。

由于http代理工具具有http请求及响应信息的日志记录功能,因此,使用http代理工具来记录http请求以及响应信息。在测试前,首先准备http测试工具的安装,以及获取具有所有操作权限的用户账号。

开启http代理工具,在浏览器中使用具有所有操作权限的用户(如超级用户)登录待测web系统,并开启http代理工具的日志记录功能。使用该账户在浏览器中对待测web系统进行所有操作,操作完成后,对应的所有操作的http请求以及响应信息全部通过http代理工具的日志记录功能记录下来。在所有操作完成后,关闭http代理工具,将不可重复的操作造成的影响恢复,例如在添加用户a之后,需要删除用户a才能再次添加用户a。操作完成后,保持该账户的登录状态。

其次,替换http请求中的身份标识信息,重新提交请求,记录最新响应信息,如图3所示。

获取非所有权限用户账号(如审计管理员权限用户),通过在其他浏览器中,使用该账户登录待测web系统,记录http请求中的身份标识信息,所述身份标识信息包括cookie、token等参数,在登录完成后保持该账户的登录状态。

针对上一步骤使用具有所有操作权限的用户进行所有操作生成的记录有http请求以及响应信息的日志文件a,将其中的重复项和非待测web系统的http请求项删除,并复制一份该日志文件,为日志文件b。将使用非所有权限用户的http请求中的身份标识信息替换掉复制的日志文件b中的对应参数项。读取替换后的所述日志文件b,读出日志文件b中的http请求信息,重新构造并发送http请求,并记录响应信息于响应结果文件c中。

再次,对比响应信息,不同项即为疑似存在越权漏洞的http请求项。

将所述响应结果文件c中的响应信息与所述日志文件b中的响应信息进行对比,由于响应信息中包含web网页所有请求项对应的反馈信息,如响应状态码、响应体中操作结果标识字段等,在对比过程中,如果相同请求项对应的反馈信息不同,则为响应信息的不同项,并将响应信息的不同项的结果输出,不同项为疑似存在越权漏洞的http请求项。例如执行同一操作请求时,响应结果文件c和日志文件b中响应信息中的响应状态码不同,则将该请求项认定为疑似存在越权漏洞,进而将该请求项的请求方法、url等信息进行输出,而后通过开发人员确认是否存在越权漏洞。

本发明通过人工辅助获取web页面中的所有http请求,并将http请求中的身份标识信息进行替换后重新提交请求,通过对比待测web系统的http响应结果,输出疑似存在越权漏洞的http请求列表,从而大大提高了漏洞检测的检测效率,同时本发明兼容使用各种技术实现的web站点,避免了重复开发检测工具导致的测试成本增加。

如图4所示,本发明实施例还公开了一种web越权漏洞检测系统,包括初始响应信息模块、最新响应信息模块和越权漏洞检测模块。

所述初始响应信息模块用于获取web页面中的所有http请求,并记录初始响应信息,包括日志记录开启单元、登录用户单元、web操作执行单元、日志记录单元、过滤单元和备份单元。

所述日志记录开启单元,用于开启http代理工具的日志记录功能。

所述登录用户单元,用于使用具有所有操作权限的用户登录待测web系统;

所述web操作执行单元,用于执行web页面所有操作;

所述日志记录单元,用于所述http代理工具记录所有http请求和所述初始响应信息,保存至日志文件;

所述过滤单元,用于删除所述日志文件中的非待测web项和重复项;

所述备份单元,用于复制所述日志文件,生成日志文件备份。

所述最新响应模块包括登录用户单元、身份标识记录单元、身份标识替换单元、重新提交请求单元、响应信息记录单元。

所述登录用户单元,用于在另一浏览器中使用非所有权限用户登录待测web系统;

所述身份标识记录单元,用于记录http请求中的身份标识信息;

所述身份标识替换单元,用于将所述身份标识信息替换掉所述日志文件备份中的对应项;

所述重新提交请求单元,用于重新构造日志文件备份中的http请求信息,并提交请求;

所述响应信息记录单元,用于记录最新响应信息。

以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1