未授权访问漏洞检测方法、装置、电子设备及存储介质与流程

本申请涉及计算机，尤其涉及一种未授权访问漏洞检测方法、装置、电子设备及存储介质。

背景技术：

1、通常，应用程序(application,app)在发布前会利用第三方扫描软件进行未授权访问漏洞的检测。第三方扫描软件普遍采用字典爆破方式进行漏洞检测，但是，这种方式检测出的未授权访问漏洞不够全面，有些未授权访问漏洞无法检测出来，未授权访问漏洞的检测准确度不高。

技术实现思路

1、本申请的多个方面提供一种未授权访问漏洞检测方法、装置、电子设备及存储介质，用以提高未授权访问漏洞的检测准确度。

2、本申请实施例提供一种未授权访问漏洞检测方法，应用于部署在中间件中的未授权访问漏洞检测装置，该方法包括：加载部署在中间件上应用程序的代码资源；

3、获取应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；利用目标解析器对应用程序的代码资源进行解析，得到应用程序的至少一个应用程序接口api的接口信息；针对至少一个api中的每个api，基于api的接口信息向api发送请求报文，并获取api响应请求报文返回的响应报文；根据响应报文确定api是否存在未授权访问漏洞。

4、本申请实施例提供一种未授权访问漏洞检测装置，该装置可以包括：加载模块，用于加载部署在中间件上应用程序的代码资源；选择模块，用于获取应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；解析模块，用于利用目标解析器对应用程序的代码资源进行解析，得到应用程序的至少一个应用程序接口api的接口信息；交互模块，用于针对至少一个api中的每个api，基于api的接口信息向api发送请求报文，并获取api响应请求报文返回的响应报文；漏洞检测模块，用于根据响应报文确定api是否存在未授权访问漏洞。

5、本申请实施例提供一种电子设备，包括：存储器和处理器；存储器，用于存储计算机程序；处理器耦合至存储器，用于执行计算机程序以用于执行未授权访问漏洞检测方法中的步骤。

6、本申请实施例提供一种存储有计算机程序的计算机可读存储介质，其特征在于，当计算机程序被处理器执行时，致使处理器能够实现未授权访问漏洞检测方法中的步骤。

7、在本实施例中，在中间件中部署未授权访问漏洞检测装置，利用未授权访问漏洞检测装置对应用的api进行未授权访问漏洞检测，不同于第三方扫描软件普遍采用字典爆破方式进行漏洞检测，未授权访问漏洞检测装置在进行未授权访问漏洞检测时，加载部署在中间件上应用程序的代码资源；分析应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；利用目标解析器对应用程序的代码资源进行解析，得到应用的至少一个应用程序接口api的接口信息；针对至少一个api中的每个api，基于api的接口信息向api发送请求报文，并获取api响应请求报文返回的响应报文；根据响应报文确定api是否存在未授权访问漏洞。由此，未授权访问漏洞检测装置能够较为全面地检测出未授权访问漏洞，有效提高未授权访问漏洞的检测准确度和检测效率。

技术特征：

1.一种未授权访问漏洞检测方法，其特征在于，应用于部署在中间件中的未授权访问漏洞检测装置，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，选择所述目标应用框架对应的目标解析器包括：

3.根据权利要求1所述的方法，其特征在于，基于所述api的接口信息向所述api发送请求报文，包括：

4.根据权利要求1所述的方法，其特征在于，根据所述响应报文确定所述api是否存在未授权访问漏洞，包括：

5.根据权利要求4所述的方法，其特征在于，在确定所述api存在未授权访问漏洞之后，还包括：

6.一种未授权访问漏洞检测装置，其特征在于，所述装置部署在中间件中，所述装置包括：

7.根据权利要求6所述的装置，其特征在于，选择模块选择所述目标应用框架对应的目标解析器时，具体用于：根据多个应用框架与多个解析器之间的映射关系和所述目标应用框架，从所述未授权访问漏洞检测装置提供的多个解析器中，选择所述目标应用框架对应的目标解析器。

8.根据权利要求6所述的装置，其特征在于，漏洞检测模块根据所述响应报文确定所述api是否存在未授权访问漏洞时，具体用于：

9.一种电子设备，其特征在于，包括：存储器和处理器；所述存储器，用于存储计算机程序；所述处理器耦合至所述存储器，用于执行所述计算机程序以用于执行权利要求1-5任一项所述方法中的步骤。

10.一种存储有计算机程序的计算机可读存储介质，其特征在于，当所述计算机程序被处理器执行时，致使所述处理器能够实现权利要求1-5任一项所述方法中的步骤。

技术总结
本申请实施例提供一种未授权访问漏洞检测方法、装置、电子设备及存储介质。在本实施例中，不同于第三方扫描软件普遍采用字典爆破方式进行漏洞检测，部署在中间件中未授权访问漏洞检测装置对应用的API进行未授权访问漏洞检测时，加载部署在中间件上应用程序的代码资源；分析应用程序使用的目标应用框架，并选择目标应用框架对应的目标解析器；利用目标解析器对应用程序的代码资源进行解析，得到应用的至少一个应用程序接口API的接口信息；针对至少一个API中的每个API，基于API的接口信息向API发送请求报文，并获取API响应请求报文返回的响应报文；根据响应报文确定API是否存在未授权访问漏洞。由此，能够有效提高未授权访问漏洞的检测准确度和检测效率。

技术研发人员：郑顺东,张创伟,代志杰,韩芳,刘珍珍
受保护的技术使用者：北京华宇信息技术有限公司
技术研发日：
技术公布日：2024/1/15