一种业务逻辑漏洞检测方法及装置与流程

本发明涉及信息安全技术领域，尤其涉及一种业务逻辑漏洞检测方法及装置。

背景技术：

随着应用程序如社交网站、电子商城和论坛等的普及和迅速发展，应用程序的安全问题也备受关注。由于承载应用程序的硬件设备、软件系统和通信协议等的具体实现或系统安全策略上存在缺陷，应用程序在开发过程中也不不可避免的存在业务逻辑漏洞。

目前常见的检测应用程序业务逻辑漏洞的方法为基于用户流量对越权漏洞进行检测，具体步骤如下：

步骤s1：收集用户流量；

步骤s2：对所述用户流量进行权限等级标记；

步骤s3：判断所述用户流量对应的权限等级；

当步骤s3判断所述权限等级相同，进入步骤s4:水平越权漏洞检测；否则，进入步骤s5:垂直越权漏洞检测。

但上述方法通过收集用户流量的方式对应用程序进行越权漏洞检测，业务逻辑漏洞检测错误率高且检测类型单一。

技术实现要素：

本发明实施例提供一种业务逻辑漏洞检测方法及装置，用以解决现有的应用程序业务逻辑漏洞业务逻辑漏洞检测方法的检测错误率高且检测类型单一的问题。

第一方面，本发明实施例提供一种业务逻辑漏洞检测方法，包括：

获取待检测应用程序的源代码；

将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果；其中，所述业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件，所述业务逻辑漏洞检测结果至少包括所述待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时的业务逻辑漏洞类型，所述业务逻辑漏洞类型至少包括越权漏洞和短信炸弹漏洞。

第二方面，本发明实施例提供一种业务逻辑漏洞检测装置，包括：

源代码获取模块，用于获取待检测应用程序的源代码；

业务逻辑漏洞检测结果获取模块，用于将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果；其中，所述业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件，所述业务逻辑漏洞检测结果至少包括所述待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时的业务逻辑漏洞类型，所述业务逻辑漏洞类型至少包括越权漏洞和短信炸弹漏洞。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。

本发明实施例提供的一种业务逻辑漏洞检测方法及装置，应用程序通过业务逻辑漏洞引擎进行业务逻辑漏洞检测，业务逻辑漏洞检测引擎集成有多个业务逻辑漏洞检测组件，每一业务逻辑漏洞检测组件均可检测一种类型的业务逻辑漏洞，因此，本发明实施例中的业务逻辑漏洞检测引擎可检测多种类型的业务逻辑漏洞，检测类型丰富全面；并且，业务逻辑漏洞检测组件一次集成可无限复用，极大程度上减轻了应用程序开发人员的精力投入，降低了业务逻辑漏洞检测成本；并且，通过源代码检测的方式，业务逻辑漏洞检测准确率高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种业务逻辑漏洞检测方法流程图；

图2为本发明实施例提供的一种业务逻辑漏洞检测装置的结构示意图；

图3为本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种业务逻辑漏洞检测方法流程图，该方法的执行主体为业务逻辑漏洞检测装置，该装置可安装或集成在计算机或服务器上，如图1所示，该方法包括：

步骤101，获取待检测应用程序的源代码。

具体地，本发明实施例的目的是检测应用程序是否存在业务逻辑漏洞，因此，将待进行业务逻辑漏洞检测的应用程序称为待检测应用程序。其中，应用程序有两种模式：c/s模式和b/s模式，c/s模式的应用程序是客户端/服务器端程序，这类应用程序一般独立运行，而b/s模式的应用程序是浏览器端/服务器端应用程序，这类应用程序一般借助ie等浏览器来运行。本发明实施例中的应用程序可以为c/s模式的应用程序，也可以为b/s模式的应用程序，本发明实施例对此不作具体限定。

为了对待检测应用程序进行业务逻辑漏洞检测，本发明实施例中首先获取待检测应用程序的源代码。

需要说明的是，源代码是开发人员用开发工具所支持的语言写出来的源文件，是一组由字符、符号或信号码元以离散形式表示信息的明确的规则体系，源代码是生成应用程序的基础。

在本发明实施例中，源代码可通过以下几种方式获取：

web页面提交的源代码、脚本批量提交的源代码以及由svn工具定期提交的源代码。其中，在实际的应用场景中，web页面提交的源代码通常是由php语言开发的源代码。脚本批量提交的源代码，支持脚本使用curl的方式提交；其中，curl是利用url语法在命令行方式下工作的文件传输工具。svn定期提交是在将svn项目名称和路径存储在数据库中，每次定期扫描数据进行业务逻辑漏洞检测时，业务逻辑漏洞检测装置从数据库里取svn项目路径，进行扫描，从而检测应用程序是否存在业务逻辑漏洞。

步骤102，将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果；其中，所述业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件，所述业务逻辑漏洞检测结果至少包括所述待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时的业务逻辑漏洞类型，所述业务逻辑漏洞类型至少包括越权漏洞和短信炸弹漏洞。

具体地，在获取到待检测应用程序的源代码后，将源代码输入至业务逻辑漏洞检测引擎。需要说明的是，业务逻辑漏洞检测引擎为包括有多个业务逻辑漏洞检测组件的引擎，每一业务逻辑漏洞检测组件均能检测一种类型的业务逻辑漏洞。业务逻辑漏洞检测组件内封装有对应用程序进行业务逻辑漏洞检测的方法，一次集成后可无限复用，极大程度上减轻了应用程序开发人员的精力投入。

在本发明实施例中，业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件这两个业务逻辑漏洞检测组件，对于越权检测组件，其可以检测应用程序是否存在越权漏洞，对于短信炸弹检测组件，其可以检测应用程序是否存在短信炸弹漏洞。需要说明的是，越权漏洞是一种很常见的业务逻辑漏洞，是由于服务器端对客户提出的数据操作请求过分信任，忽略了对该用户操作权限的判定，导致修改相关参数就可以拥有了其他用户的增、删、查、改功能，从而导致越权漏洞。短信炸弹漏洞也是一种很常见的业务逻辑漏洞，是指应用程序被恶意用户利用，不停地往一手机号码发重复的垃圾短信。

将源代码输入至业务逻辑漏洞检测引擎之后，业务逻辑漏洞检测引擎中的业务逻辑漏洞检测组件对应用程序进行业务逻辑漏洞检测，并输出业务逻辑漏洞检测结果，业务逻辑漏洞检测结果包括待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时待检测应用程序的业务逻辑漏洞类型。

本发明实施例提供的方法，应用程序通过业务逻辑漏洞引擎进行业务逻辑漏洞检测，业务逻辑漏洞检测引擎集成有多个业务逻辑漏洞检测组件，每一业务逻辑漏洞检测组件均可检测一种类型的业务逻辑漏洞，因此，本发明实施例中的业务逻辑漏洞检测引擎可检测多种类型的业务逻辑漏洞，检测类型丰富全面；并且，业务逻辑漏洞检测组件一次集成可无限复用，极大程度上减轻了应用程序开发人员的精力投入，降低了业务逻辑漏洞检测成本；并且，通过源代码检测的方式，业务逻辑漏洞检测准确率高。

基于上述任一实施例，本发明实施例对业务逻辑漏洞检测引擎进行进一步说明，即，所述业务逻辑漏洞检测引擎还包括：

重放检测组件、扫描检测组件、直接对象引用检测组件、sql注入检测组件、xss跨站检测组件中的任意一种或多种。

具体地，本发明实施例中的业务逻辑漏洞检测引擎除了包括上述实施例中提到的越权检测组件和短信炸弹检测组件之外，还包括有重放检测组件、扫描检测组件、直接对象引用检测组件、sql注入检测组件、xss跨站检测组件中的任意一种或多种。

其中，重放检测组件用于检测应用程序是否存在重放漏洞，重放漏洞指的是应用程序易受到重放攻击，重放攻击又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

扫描检测组件用于检测应用程序是否存在扫描类漏洞，扫描类漏洞指的是应用程序易受到扫描类攻击，扫描类攻击是指攻击者恶意扫描应用程序。

直接对象引用检测组件用于检测应用程序是否存在直接对象引用漏洞，直接对象引用漏洞指的是不安全的对象被直接引用，例如在web应用中，具体文件名、路径或数据库关键字等内部资源被暴露在url或网页中，攻击者可以尝试通过url或网页直接访问其他资源，这就造成了不安全的对象直接引用的漏洞。

sql注入检测组件用于检测应用程序是否存在sql注入漏洞，sql注入漏洞指的是通过sql语句，实现无账号登录甚至篡改数据库系统的漏洞。

xss跨站检测组件用于检测应用程序是否存在xss跨站漏洞，xss跨站漏洞指的是应用程序易受到跨站脚本攻击，跨站脚本攻击指利用网站漏洞从用户那里恶意盗取信息。

需要说明的是，本发明实施例中的业务逻辑漏洞检测引擎还包括上述业务逻辑漏洞检测组件中的一种或多种，本发明实施例对此不作具体限定。

本发明实施例提供的方法，业务逻辑漏洞检测引擎可包括上述一种或多种业务逻辑漏洞检测组件，从而使得业务逻辑漏洞检测类型更加丰富全面。

基于上述任一实施例，本发明实施例对上述实施例中的业务逻辑漏洞检测引擎中的越权检测组件进行进一步说明，所述越权检测组件包括：第一信息流获取模块、参数信息抽取模块和越权检测模块；相应地，

将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果，包括：

将所述源代码输入至所述第一信息流获取模块，以使得所述第一信息流获取模块对所述源代码进行语法分析、控制流分析和数据流分析，输出所述源代码对应的信息流；

将所述信息流输入至所述参数信息抽取模块，以使得所述参数信息抽取模块对所述信息流进行参数信息抽取，输出所述源代码对应的参数信息；所述参数信息包括所述信息流中的每一参数及对应的交易码和处理类；

将所述参数信息输入至所述越权检测模块，以使得所述越权检测模块将所述参数信息与预设的越权表进行匹配，若匹配失败，则将所述应用程序存在业务逻辑漏洞且业务逻辑漏洞类型为越权漏洞作为业务逻辑漏洞检测结果并输出。

具体地，越权检测组件包括第一信息流获取模块，与第一信息流获取模块电连接的参数信息抽取模块，以及与参数信息抽取模块电连接的越权检测模块，其中：

第一信息流获取模块，接收待检测应用程序的源代码，并将源代码进行语法分析，得到源代码对应的语法树，并将语法树分别进行控制流分析和数据流分析，得到源代码对应的控制流和数据流，并将控制流和数据流统称为信息流。

其中，语法分析是编译过程的一个逻辑阶段。语法分析的任务是在词法分析的基础上将单词序列组合成各类语法短语，如“程序”、“语句”和“表达式”等等。语法分析程序判断源程序在结构上是否正确，源程序的结构由上下文无关文法描述，语法分析程序可以用yacc等工具自动生成。通过语法分析，可得到源代码对应的语法树。

控制流分析是一种确认程序控制流程的静态代码分析技术，通过控制流分析，能够得到源代码对应的控制流。

数据流分析是一项编译时使用的技术，通过数据流分析，能够得到源代码对应的数据流。

将源代码对应的控制流和信息流统称为源代码的信息流。

参数信息抽取模块，接收第一信息流获取模块输出的源代码对应的信息流，并从信息流中进行参数信息抽取，此处，参数信息包括信息流中每一从前端页面进行上送的参数及参数对应的交易码和处理类，例如：

transid1：acno：action1.java和transid2：phone：action2.java

其中，acno为参数1，transid1为参数1对应的交易码，action1.java为参数1对应的处理类，同样的，phone为参数2，transid2为参数2对应的交易码，action2.java为参数2对应的处理类。

越权检测模块，接收参数信息抽取模块输出的参数信息，并将参数信息与预设的越权表进行匹配，需要说明的是，预设的越权表包括第一越权子表和第二越权子表，第一越权子表存储有多个参数及每一参数对应的交易码，第二越权子表存储有多个参数及每一参数对应的交易码和处理类。举个例子，第一越权子表存储有：transid1：acno和transid3：phone，第二子表存储有：transid1：acno：action1.java和transid2：phone：action2.java。则首先将参数信息中的transid1：acno和transid2：phone与第一越权子表进行匹配，即，判定transid1：acno和transid2：phone这两者是否均存在于第一越权子表中，若均存在则判定匹配且应用程序不存在越权漏洞，若任一者不存在于第一越权子表中，则将不存在于第一越权子表中的参数及对应的交易码和处理类与第二越权子表进行匹配，即，判定其是否存在于第二越权子表中，若存在则判定匹配且应用程序不存在越权漏洞，否则判定应用程序存在越权漏洞。

对于上述例子，由于transid2：phone不存在于第一越权子表中，因此，再次判定transid2：phone：action2.java是否存在于第二越权子表中，显然存在，因此判定应用程序不存在越权漏洞。此时，输出的越权漏洞检测结果为：应用程序不存在越权漏洞。

基于上述任一实施例，本发明实施例对上述实施例中的业务逻辑漏洞检测引擎中的短信炸弹检测组件进行进一步说明，所述短信炸弹检测组件包括：第二信息流获取模块、短信发送方法抽取模块和短信炸弹检测模块；相应地，

将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果，包括：

将所述源代码输入至所述第二信息流获取模块，以使得所述第二信息流获取模块对所述源代码进行语法分析、控制流分析和数据流分析，输出所述源代码对应的信息流；

将所述信息流输入至所述短信发送方法抽取模块，以使得所述短信发送方法抽取模块对所述信息流进行短信发送方法抽取，输出所述信息流中的短信发送方法；

将所述短信发送方法输入至所述短信炸弹检测模块，以使得所述短信炸弹检测模块将所述短信发送方法与预设的短信炸弹表进行匹配，若匹配失败，则将所述应用程序存在业务逻辑漏洞且业务逻辑漏洞类型为短信炸弹漏洞作为业务逻辑漏洞检测结果并输出。

具体地，短信炸弹测组件包括第二信息流获取模块，与第二信息流获取模块电连接的短信发送方法抽取模块，以及与短信发送方法抽取模块电连接的短信炸弹检测模块，其中：

第二信息流获取模块，接收待检测应用程序的源代码，并将源代码进行语法分析，得到源代码对应的语法树，并将语法树分别进行控制流分析和数据流分析，得到源代码对应的控制流和数据流，并将控制流和数据流统称为信息流。其中，语法分析、控制流分析和数据流分析在上述实施例中已详细说明，此处不再赘述。

短信发送方法抽取模块，接收第二信息流获取模块输出的信息流，并从信息流中确定短信发送接口处的短信发送方法，其中，短信发送接口包括安保发短信接口和web发短信接口，获取上述两个接口处的短信发送方法。

短信炸弹检测模块，接收短信发送方法抽取模块输出的短信发送方法，并将短信发送方法与预设的短信炸弹表进行匹配，此处，短信炸弹表存储有多种防止短信炸弹攻击的方法，例如，增加图像验证码校验，并确保每一图形验证码只使用一次，还可以是限制访问间隔，或者限制总的次数，例如同一ip(internetprotocoladdress，互联网协议地址)10分钟内的请求次数不应大于200次，同一ip两次请求之间的时间间隔不应小于60s。若短信发送方法与预设的短信炸弹表中存储的方法均不一致，则判定不匹配且判定应用程序存在短信炸弹漏洞。此时，输出的越权漏洞检测结果为：应用程序存在短信炸弹漏洞。

基于上述任一实施例，本发明实施例对输出业务漏洞检测结果之后所做的操作进行说明，即，本发明实施例还包括：

若所述待检测应用程序的业务逻辑漏洞检测结果为存在业务逻辑漏洞，则从预设的业务逻辑漏洞修复数据库中获取与业务逻辑漏洞类型对应的业务逻辑漏洞修复方法，并进行呈现。

具体地，预设的业务逻辑漏洞修复数据库中存储多种业务逻辑漏洞的修复方法，在当输出的逻辑漏洞检测结果为存在业务逻辑漏洞时，业务逻辑检测装置从预设的业务逻辑漏洞修复数据库中获取业务逻辑漏洞类型对应的业务逻辑漏洞修复方法，并进行呈现，即，若业务逻辑漏洞的类型为越权漏洞，则从预设的业务逻辑漏洞修复数据库中获取越权漏洞对应的修复方法，并呈现给应用程序的开发人员，以使得开发人员根据修复方法对越权漏洞进行修复。

本发明实施例提供的方法，通过预设的业务逻辑漏洞修复数据库，获取相应业务逻辑漏洞的修复方法，为开发人员提供了修复指导，能够保证修复的及时性和准确性。

基于上述任一实施例，图2为本发明实施例提供的一种业务逻辑漏洞检测装置的结构示意图，如图2所示，该装置包括：

源代码获取模块21，用于获取待检测应用程序的源代码；

业务逻辑漏洞检测结果获取模块22，用于将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果；其中，所述业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件，所述业务逻辑漏洞检测结果至少包括所述待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时的业务逻辑漏洞类型，所述业务逻辑漏洞类型至少包括越权漏洞和短信炸弹漏洞。

本发明实施例提供的装置，具体执行上述各方法实施例流程，具体请详见上述各方法实施例的内容，此处不再赘述。本发明实施例提供的装置，应用程序通过业务逻辑漏洞引擎进行业务逻辑漏洞检测，业务逻辑漏洞检测引擎集成有多个业务逻辑漏洞检测组件，每一业务逻辑漏洞检测组件均可检测一种类型的业务逻辑漏洞，因此，本发明实施例中的业务逻辑漏洞检测引擎可检测多种类型的业务逻辑漏洞，检测类型丰富全面；并且，业务逻辑漏洞检测组件一次集成可无限复用，极大程度上减轻了应用程序开发人员的精力投入，降低了业务逻辑漏洞检测成本；并且，通过源代码检测的方式，业务逻辑漏洞检测准确率高。

基于上述任一实施例，本发明实施例提供的业务逻辑漏洞检测装置，还包括：

业务逻辑漏洞修复模块，若所述待检测应用程序的业务逻辑漏洞检测结果为存在业务逻辑漏洞，则从预设的业务逻辑漏洞修复数据库中获取与业务逻辑漏洞类型对应的业务逻辑漏洞修复方法，并进行呈现。

图3为本发明实施例提供的一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)301、通信接口(communicationsinterface)302、存储器(memory)303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信。处理器301可以调用存储在存储器303上并可在处理器301上运行的计算机程序，以执行上述各实施例提供的方法，例如包括：获取待检测应用程序的源代码；将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果；其中，所述业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件，所述业务逻辑漏洞检测结果至少包括所述待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时的业务逻辑漏洞类型，所述业务逻辑漏洞类型至少包括越权漏洞和短信炸弹漏洞。

此外，上述的存储器303中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：获取待检测应用程序的源代码；将所述源代码输入至业务逻辑漏洞检测引擎，获取所述业务逻辑漏洞检测引擎输出的业务逻辑漏洞检测结果；其中，所述业务逻辑漏洞检测引擎至少包括越权检测组件和短信炸弹检测组件，所述业务逻辑漏洞检测结果至少包括所述待检测应用程序是否存在业务逻辑漏洞以及存在业务逻辑漏洞时的业务逻辑漏洞类型，所述业务逻辑漏洞类型至少包括越权漏洞和短信炸弹漏洞。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。