一种逻辑安全漏洞检测方法、装置及终端设备与流程

本发明属于计算机技术领域，尤其涉及一种逻辑安全漏洞检测方法、装置及终端设备。

背景技术：

逻辑安全漏洞是指业务装置由于程序逻辑不严谨或逻辑太复杂，导致一些逻辑分支不能够正常处理或出现处理错误等情况，一般出现在没有正确校验修改权限的情况下任意密码修改、越权访问、密码找回、交易支付金额验证等。在检测逻辑安全漏洞时，一般无法通过扫描工具进行检测，通常需要人为对逻辑安全漏洞进行检测，并对存在的逻辑漏洞参数进行更改操作。

综上所述，目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题。

技术实现要素：

有鉴于此，本发明实施例提供了一种逻辑安全漏洞检测方法、装置及终端设备，以解决目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题。

本发明的第一方面提供了一种逻辑安全漏洞检测方法，包括：

录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数；

比对第一账号的操作参数和第二账号的操作参数，获取差异参数；

根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值；

根据所述响应值分析业务装置是否存在逻辑安全漏洞。

本发明的第二方面提供了一种逻辑安全漏洞检测装置，包括：

录制模块，用于录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数；

比对模块，用于比对第一账号的操作参数和第二账号的操作参数，获取差异参数；

更改模块，用于根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值；

分析模块，用于根据所述响应值分析业务装置是否存在逻辑安全漏洞。

本发明的第三方面提供了一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数；

比对第一账号的操作参数和第二账号的操作参数，获取差异参数；

根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值；

根据所述响应值分析业务装置是否存在逻辑安全漏洞。

本发明的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数；

比对第一账号的操作参数和第二账号的操作参数，获取差异参数；

根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值；

根据所述响应值分析业务装置是否存在逻辑安全漏洞。

本发明提供的一种逻辑安全漏洞检测方法、装置及终端设备，通过提前录制两个账号的操作过程，根据两个账号记录的差异参数获取响应值来分析是否存在逻辑安全漏洞，能够自动更改差异参数，自动检测逻辑安全漏洞，有效地降低逻辑安全漏洞检测的人力投入，解决了目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种语音合成方法的实现流程示意图；

图2是本发明实施例二提供的对应实施例一步骤s101的实现流程示意图；

图3是本发明实施例三提供的对应实施例一步骤s102的实现流程示意图；

图4是本发明实施例四提供的对应实施例一步骤s103的实现流程示意图；

图5是本发明实施例五提供的对应实施例一步骤s104的实现流程示意图；

图6是本发明实施例六提供的一种语音合成装置的结构示意图；

图7是本发明实施例七提供的对应实施例六中录制模块101的结构示意图；

图8是本发明实施例八提供的对应实施例六中比对模块102的结构示意图；

图9是本发明实施例九提供的对应实施例六中更改模块103的结构示意图；

图10是本发明实施例十提供的对应实施例六中分析模块104的结构示意图；

图11是本发明实施例十一提供的终端设备的示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定装置结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的装置、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

本发明实施例为了解决目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题，提供了一种逻辑安全漏洞检测方法。装置及终端设备，通过提前录制两个账号的操作过程，根据两个账号记录的差异参数获取响应值，根据响应值分析是否存在逻辑安全漏洞，能够自动更改差异参数，自动检测逻辑安全漏洞，有效地降低逻辑安全漏洞检测的人力投入，解决了目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例一：

如图1所示，本实施例提供了一种语音合成方法，其具体包括：

步骤s101：录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数。

在具体应用中，同时录制第一账号和第二账号在提交查询请求的操作过程。进而获取到第一账号提交查询请求的操作过程中的操作参数和第二账号提交查询请求的操作过程中的操作参数。上述操作参数包括操作过程提交的订单参数和账户参数等。

在具体应用中，当通过第一账号向服务器提交查询请求时，会向服务器发出网络请求报文，所述网络请求报文中携带第一账号该操作过程中提交的全部操作参数。同理，当通过第二账号向服务器提交查询请求时，会向服务器发出网络请求报文，所述网络请求报文中携带第二账号在该操作过程中提交的全部操作参数。需要说明的是，上述服务器为待检测的业务装置的服务器，当服务器接收到查询请求后，会根据查询请求进行响应，返回响应值。

示例性的，通过第一账号和第二账号分别提交查询交易记录的请求时，通过录制第一账号和第二账号提交查询交易记录的请求的操作过程，就能够分别获取到两个账号在提交查询交易记录的请求的网络报文中携带的各个操作参数，如查询单号及查询时间等操作参数。

步骤s102：比对第一账号的操作参数和第二账号的操作参数，获取差异参数。

在具体应用中，在获取到第一账号的操作参数和第二账号的操作参数后，通过比对第一账号的操作参数和第二账号的操作参数的异同，获取差异参数，当操作参数不同时，则该操作参数为差异参数。

在具体应用中，比对第一账号的操作参数和第二账号的操作参数是将相同属性的操作参数进行比对，如将第一账号的查询单号与第二账号的查询单元进行比对，将第一账号的查询时间与第二账号的查询时间进行比对。若第一账号的查询单号与第二账号的查询单号相同，则查询单号不是差异参数；若第一账号的查询单号与第二账号的查询单号不同，则查询单号为差异参数，以此类推。

示例性的，第一账号提交的查询历史订单的请求的操作参数为：查询单号为：0001，查询时间为：20160101；第二账号提交的查询历史订单的请求的操作参数为：查询单号为：0002，查询时间为：20160101，则查询单号为差异参数。

步骤s103：根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值。

在具体应用中，当自动检测出差异参数后，根据该差异参数修改第一账号的操作参数，再通过第一账号根据修改后的操作参数再一次提交查询请求，服务器会对该查询请求进行响应，返回响应值。

在具体应用中，通过将该差异参数对应的第一账号的操作参数修改为第二账号的操作参数，以修改后的操作参数提交查询请求。

示例性的，当差异参数为查询单号时，将第一账号提交查询请求时的查询单号修改为第二账号提交查询请求时的查询单号，如原先第一账号提交查询请求时的查询单号为：0001，第二账号提交查询请求时的查询单号为：0002，则将0001修改为0002，并通过第一账号以查询单号为0002的操作参数来提交查询请求，获取服务器的响应值。

步骤s104：根据所述响应值分析业务装置是否存在逻辑安全漏洞。

在具体应用中，根据服务器对于修改操作参数后第一账号提交的查询请求的响应值进行分析，根据该响应值与未修改操作参数时第一账号提交的查询请求的响应值进行相比的变化情况，根据变化情况来分析该业务装置是否存在逻辑漏洞。

在具体应用中，每个账号都有其相关联的订单，其他账号是无法获取到该账号相关联订单的相关信息的，若第一账号以第二账号的操作参数来提交查询请求获得的响应值与原先通过第一账号的原操作参数提交查询请求时获得的响应值相比，仅存在细微差别(如仅仅是返回的订单金额发生变化)，则说明该业务装置存在逻辑安全漏洞，也就是说以第一账号也能够查询到第二账号的相关订单。若该响应值为报错信息或返回值没有变化，则说明该业务装置不存在逻辑安全漏洞。

本实施例提供的逻辑安全漏洞检测方法，通过提前录制两个账号的操作过程，根据两个账号记录的差异参数获取响应值，根据响应值分析是否存在逻辑安全漏洞，能够自动更改差异参数，自动检测逻辑安全漏洞，有效地降低逻辑安全漏洞检测的人力投入，解决了目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题。

实施例二：

如图2所示，在本实施例中，实施例一中的步骤s101具体包括：

步骤s201：分别记录第一账号和第二账号提交查询请求时生成的网络请求报文。

在具体应用中，网络请求报文是提交查询请求时产生的，用于在网络中进行交换与传输的数据单元。网络请求报文中包括查询请求所涉及到所有操作参数。分别将第一账号提交查询请求时生成的网络请求报文和第二账号提交查询请求时生成的网络请求报文进行记录。

步骤s202：从所述网络请求报文中提取操作过程的各个操作参数。

在具体应用中，对第一账号相应的网络请求报文进行解析，从中提取出第一账号在提交查询操作过程中的各个操作参数。对第二账号相应的网络请求报文进行解析，从中提取出第二账号在提交查询操作过程中的各个操作参数。上述操作参数包括如查询单号及查询时间等。

实施例三：

如图3所示，在本实施例中，实施例一中的步骤s102具体包括：

步骤s301：将所述第一账号的操作参数与所述第二账号的操作参数进行比对。

在具体应用中，将相同属性的操作参数进行比对，比对相同属性的操作参数对应的数据是否相同。如将第一账号的查询单号与第二账号的查询单元进行比对，将第一账号的查询时间与第二账号的查询时间进行比对。

步骤s302：若所述第一账号的操作参数与所述第二账号的操作参数不同，则所述操作参数为差异参数。

在具体应用中，通过比对，当相同属性的第一账号的操作参数与第二账号的操作参数不同，则该操作参数就是差异参数。比如第一账号的查询单号与第二账号的查询单号不同，则查询单号为差异参数。又比如第一账号的查询时间与第二账号的查询时间相同，则查询时间不是差异参数。

需要说明的是，上述差异参数可能是一个，也可能是多个，在此不加以限制。

实施例四：

如图4所示，在本实施例中，实施例一中的步骤s103具体包括：

步骤s401：将所述差异参数对应的第一账号的操作参数修改为所述差异参数对应的第二账号的操作参数。

在具体应用中，当自动检测出差异参数后，根据该差异参数修改第一账号的操作参数，将该差异参数对应的第一账号的操作参数修改为该差异参数对应的第二账号的操作参数。

示例性的，当查询单号为差异参数时，将第一账号的查询单号修改为第二账号的查询单号。

在具体应用中，当存在多个差异参数时，则将多个差异参数对应的第一账号的操作参数均修改为第二账号对应的操作参数。

示例性的，当查询单号和查询时间均为差异参数时，将第一账号的查询订单修改第二账号的查询订单，将第一账号的查询时间修改为第二账号的查询时间。

步骤s402：通过所述第一账号以修改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值。

在具体应用中，通过第一账号以修改后的操作参数向服务器重新提交查询请求，服务器会根据查询请求返回响应值，获取服务器返回的响应值。

实施例五：

如图5所示，在本实施例中，实施例一中的步骤s104具体包括：

步骤s501：判断所述响应值与第一账号第一次提交查询请求时得到的响应值相比，是否发生变化。

在具体应用中，由于通过第一账号以修改后的操作参数向服务器重新提交查询请求时，操作参数包括第二账号的某些操作参数，若业务系统不存在逻辑安全漏洞，则服务器会返回报错信息或返回原值，当服务器返回原值时，则该响应值与第一账号第一次提交查询请求时得到的响应值相比不会发生任何变化。因此只需要判断该响应值与第一账号第一次提交查询请求时得到的响应值相比，是否发生变化就能够判断出业务系统是否存在逻辑安全漏洞。

步骤s502：若所述响应值发生变化，则存在逻辑安全漏洞。

在具体应用中，若该响应值与第一账号第一次提交查询请求时得到的响应值相比发生变化，如响应值中的订单金额或订单数量等发生变化，则说明第一账号也能够查询到第二账号的相关订单，因此，可以确定该业务系统存在逻辑安全漏洞。

步骤s503：若所述响应值没有发生变化或所述响应值为报错信息，则不存在逻辑安全漏洞。

在具体应用中，若响应值没有发生变化，则说明服务器返回的是原值，若响应值为报错信息，即表明第一账号无法查询到第二账号的相关订单，因此，该业务系统不存在逻辑安全漏洞。

实施例六：

如图6所示，本实施例提供一种逻辑安全漏洞检测装置100，用于执行实施例一中的方法步骤，其包括录制模块101、比对模块102、更改模块103以及分析模块104。

录制模块101用于录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数。

比对模块102用于比对第一账号的操作参数和第二账号的操作参数，获取差异参数。

更改模块103用于根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值。

分析模块104用于根据所述响应值分析业务装置是否存在逻辑安全漏洞。

需要说明的是，本发明实施例提供的逻辑安全漏洞检测装置，由于与本发明图1所示方法实施例基于同一构思，其带来的技术效果与本发明图1所示方法实施例相同，具体内容可参见本发明图1所示方法实施例中的叙述，此处不再赘述。

因此，本实施例提供的一种逻辑安全漏洞检测装置，同样能够通过提前录制两个账号的操作过程，根据两个账号记录的差异参数获取响应值来分析是否存在逻辑安全漏洞，能够自动更改差异参数，自动检测逻辑安全漏洞，有效地降低逻辑安全漏洞检测的人力投入，解决了目前存在无法自动检测逻辑安全漏洞，需要耗费大量人力的问题。

实施例七：

如图7所示，在本实施例中，实施例六中的录制模块101包括用于执行图2所对应的实施例中的方法步骤的结构，其包括记录单元201及提取单元202。

记录单元201用于分别记录第一账号和第二账号提交查询请求时生成的网络请求报文。

提取单元202用于从所述网络请求报文中提取操作过程的各个操作参数。

实施例八：

如图8所示，在本实施例中，实施例六中的比对模块102包括用于执行图3所对应的实施例中的方法步骤的结构，其包括比对单元301。

比对单元301用于将所述第一账号的操作参数与所述第二账号的操作参数进行比对，若所述第一账号的操作参数与所述第二账号的操作参数不同，则所述操作参数为差异参数。

实施例九：

如图9所示，在本实施例中，实施例六中的更改模块103包括用于执行图4所对应的实施例中的方法步骤的结构，其包括修改单元401和响应获取单元402。

修改单元401用于将所述第一账号的操作参数与所述第二账号的操作参数进行比对。

响应获取单元402用于若所述第一账号的操作参数与所述第二账号的操作参数不同，则所述操作参数为差异参数。

实施例十：

如图10所示，在本实施例中，实施例六中的分析模块103包括用于执行图5所对应的实施例中的方法步骤的结构，其包括判断单元501和分析单元502。

判断单元501用于判断所述响应值与第一账号第一次提交查询请求时得到的响应值相比，是否发生变化。

分析单元502用于若所述响应值发生变化，则存在逻辑安全漏洞；若所述响应值没有发生变化或所述响应值为报错信息，则不存在逻辑安全漏洞。

实施例十一：

图11是本发明实施例九提供的终端设备的示意图。如图11所示，该实施例的终端设备11包括：处理器110、存储器111以及存储在所述存储器111中并可在所述处理器110上运行的计算机程序112，例如程序。所述处理器110执行所述计算机程序112时实现上述各个逻辑漏洞检测方法实施例中的步骤，例如图1所示的步骤s101至s104。或者，所述处理器110执行所述计算机程序112时实现上述装置实施例中各模块/单元的功能，例如图6所示模块101至104的功能。

示例性的，所述计算机程序112可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器111中，并由所述处理器110执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序112在所述终端设备11中的执行过程。例如，所述计算机程序112可以被分割成录制模块、比对模块、更改模块以及分析模块，各模块具体功能如下：

录制模块，用于录制第一账号和第二账号提交查询请求时的操作过程，获取操作过程的各个操作参数；

比对模块，用于比对第一账号的操作参数和第二账号的操作参数，获取差异参数；

更改模块，用于根据所述差异参数修改所述第一账号的操作参数，并通过所述第一账号根据更改后的操作参数重新提交查询请求，获取服务器对所述查询请求的响应值；

分析模块，用于根据所述响应值分析业务装置是否存在逻辑安全漏洞。

所述终端设备11可以是桌上型计算机、笔记本、掌上电脑及云端管理服务器等计算设备。所述终端设备可包括，但不仅限于，处理器110、存储器111。本领域技术人员可以理解，图11仅仅是终端设备11的示例，并不构成对终端设备11的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器110可以是中央处理单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器111可以是所述终端设备11的内部存储单元，例如终端设备11的硬盘或内存。所述存储器111也可以是所述终端设备11的外部存储设备，例如所述终端设备11上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。进一步地，所述存储器111还可以既包括所述终端设备11的内部存储单元也包括外部存储设备。所述存储器111用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器111还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述无线终端中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的装置/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/终端设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述设置为分离部件说明的单元可以是或者也可以不是物理上分开的，设置为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并设置为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括是电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。