技术特征:
技术总结
本发明提供一种Web越权漏洞检测方法与系统,所述方法包括:获取Web页面中的所有HTTP请求,并记录初始响应信息;替换所述HTTP请求中的身份标识信息,重新提交请求,记录最新响应信息;对比所述的初始响应信息和最新响应信息,不同项即为存在疑似越权漏洞的请求项。通过获取Web页面中的所有HTTP请求,并将HTTP请求中的身份标识信息进行替换后重新提交请求,通过对比待测Web系统的HTTP响应结果,输出疑似存在越权漏洞的HTTP请求列表,从而大大提高了漏洞检测的检测效率,同时本发明兼容使用各种技术实现的Web站点,避免了重复开发检测工具导致的测试成本增加。
技术研发人员:刘雁鸣
受保护的技术使用者:郑州云海信息技术有限公司
技术研发日:2017.09.05
技术公布日:2018.01.12