处理逻辑漏洞的方法、装置及应用与流程

本发明涉及信息安全，尤其涉及处理逻辑漏洞的方法。

背景技术：

1、现如今，越权和逻辑漏洞在网络漏洞中的占比较高，包括任意查询用户信息，重置任意用户密码，验证码爆破等。这其中，逻辑漏洞被称为“不安全的对象引用，和功能级访问控制缺失”。

2、逻辑漏洞是和系统自身功能和逻辑有关系的设计缺陷，攻击者往往会利用业务/功能上的设计缺陷，来获取敏感信息或破坏业务的完整性。一般出现在密码修改，确权访问，密码找回，交易支付金额等功能处。

3、由于逻辑漏洞的破坏方式并非是向程序添加破坏内容，而是利用逻辑处理不严密或者代码问题或固有不足，其在操作上并不影响程序的允许，在逻辑上是顺利执行的。

4、考虑到逻辑漏洞产生的核心原因是在编写程序时，只考虑了常规的操作流程，即“当在a情况下，就会出现b，此时执行c即可”。但是，开发者却没有考虑当用户执行了意料之外的x时会发生什么。这种对于异常情况的欠考虑，最终导致了逻辑漏洞的产生。

5、而许多自动化的扫描工具或者代码审计工具，都只能扫出相比于业务逻辑漏洞而言具有更加显著的攻击特征的漏洞，例如sql注入、xss等常规的漏洞。这也就导致逻辑漏洞很难通过规则脚本和漏扫工具扫描获得，因此逻辑漏洞大多需要配合代码审计和手段测试才可以发现相关漏洞。

6、基于此，本发明提出了一种处理逻辑漏洞的方法、装置、系统及存储介质，通过分析网络中逻辑漏洞的逻辑关系，来确定逻辑漏洞的漏洞位置并进行修复，从而确保网络安全，是当前亟需解决的技术问题。

技术实现思路

1、本发明的目的在于：克服现有技术的不足，提供一种处理逻辑漏洞的方法、装置、系统及存储介质，本发明能够通过分析网络中逻辑漏洞的逻辑关系，来确定逻辑漏洞的漏洞位置并进行修复，从而确保网络安全。

2、为解决现有的技术问题，本发明提供了如下技术方案：

3、一种处理逻辑漏洞的方法，包括：

4、获取网络中的逻辑漏洞，并进行分析以得到前述逻辑漏洞的逻辑关系；

5、基于前述逻辑关系，确定该逻辑漏洞的漏洞点，并对该漏洞点进行漏洞修复。

6、进一步，所述逻辑漏洞包括身份逻辑漏洞、权限逻辑漏洞、图形验证码逻辑漏洞、找回密码逻辑漏洞、业务数据篡改逻辑漏洞和执行顺序逻辑漏洞。

7、进一步，对前述逻辑漏洞的分析时，所述分析具体包括：

8、读取前述逻辑漏洞的执行条件；所述执行条件包括允许该逻辑漏洞运行的权限范围；所述执行条件与逻辑漏洞切片形成的逻辑片段相对应；

9、对应着前述逻辑漏洞的执行条件进行切片，将前述逻辑漏洞按照逻辑片段依序分为多片逻辑漏洞，使得切片后的每片逻辑漏洞都是最小片段。

10、进一步，每片逻辑漏洞中均反映有至少一个逻辑关系，顺序连接的多片逻辑漏洞之间存在至少一个逻辑关系。

11、进一步，在确定该逻辑漏洞的漏洞点时，具体包括判断每片逻辑漏洞中是否存在漏洞点。

12、进一步，所述判断包括：

13、对所述逻辑漏洞预设权限标记，该权限标记用以标识前述逻辑漏洞允许用户执行操作的权限范围；该权限标记设置为第一权限标记；

14、选取前述逻辑漏洞允许用户执行操作的权限范围之外的值对前述逻辑漏洞进行检测，以确定该逻辑漏洞的漏洞点。

15、进一步，所述检测具体包括：

16、设置第二权限标记，所述第二权限标记用以标识前述逻辑漏洞不允许用户执行操作的权限范围；

17、从前述逻辑漏洞不允许用户执行操作的权限范围内，选取前述逻辑漏洞允许用户执行操作的权限范围之外的值进行检测，以获得第三权限标记；所述第三权限标记用以标识前述检测过程中，由第二权限标记引起的并造成前述逻辑漏洞执行错误的漏洞点。

18、一种处理逻辑漏洞的装置，包括结构：

19、信息获取单元，用以获取网络中的逻辑漏洞，并进行分析以得到前述逻辑漏洞的逻辑关系；

20、信息处理单元，用以基于前述逻辑关系，确定该逻辑漏洞的漏洞点，并对该漏洞点进行漏洞修复。

21、一种处理逻辑漏洞的系统，包括：

22、网络节点，用于存储和收发数据；

23、漏洞检测模块，用于扫描并识别网络中的逻辑漏洞；

24、系统服务器，所述系统服务器能够连接网络节点和漏洞检测模块；

25、所述的系统服务器被配置为:获取网络中的逻辑漏洞，并进行分析以得到前述逻辑漏洞的逻辑关系；基于前述逻辑关系，确定该逻辑漏洞的漏洞点，并对该漏洞点进行漏洞修复。

26、一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述处理逻辑漏洞的方法步骤。

27、基于上述优点和积极效果，本发明的优势在于：通过分析网络中逻辑漏洞的逻辑关系，来确定逻辑漏洞的漏洞位置并进行修复，从而确保网络安全。

28、进一步，对前述逻辑漏洞的分析时，所述分析具体包括：读取前述逻辑漏洞的执行条件；所述执行条件包括允许该逻辑漏洞运行的权限范围；所述执行条件与逻辑漏洞切片形成的逻辑片段相对应；对应着前述逻辑漏洞的执行条件进行切片，将前述逻辑漏洞按照逻辑片段依序分为多片逻辑漏洞，使得切片后的每片逻辑漏洞都是最小片段。

29、进一步，所述判断包括：对所述逻辑漏洞预设权限标记，该权限标记用以标识前述逻辑漏洞允许用户执行操作的权限范围；该权限标记设置为第一权限标记；选取前述逻辑漏洞允许用户执行操作的权限范围之外的值对前述逻辑漏洞进行检测，以确定该逻辑漏洞的漏洞点。

30、进一步，所述检测具体包括：设置第二权限标记，所述第二权限标记用以标识前述逻辑漏洞不允许用户执行操作的权限范围；从前述逻辑漏洞不允许用户执行操作的权限范围内，选取前述逻辑漏洞允许用户执行操作的权限范围之外的值进行检测，以获得第三权限标记；所述第三权限标记用以标识前述检测过程中，由第二权限标记引起的并造成前述逻辑漏洞执行错误的漏洞点。

技术特征：

1.一种处理逻辑漏洞的方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述逻辑漏洞包括身份逻辑漏洞、权限逻辑漏洞、图形验证码逻辑漏洞、找回密码逻辑漏洞、业务数据篡改逻辑漏洞和执行顺序逻辑漏洞。

3.根据权利要求1所述的方法，其特征在于，对前述逻辑漏洞的分析时，所述分析具体包括：

4.根据权利要求3所述的方法，其特征在于，每片逻辑漏洞中均反映有至少一个逻辑关系，顺序连接的多片逻辑漏洞之间存在至少一个逻辑关系。

5.根据权利要求4所述的方法，其特征在于，在确定该逻辑漏洞的漏洞点时，具体包括判断每片逻辑漏洞中是否存在漏洞点。

6.根据权利要求5所述的方法，其特征在于，所述判断包括：

7.根据权利要求6所述的方法，其特征在于，所述检测具体包括：设置第二权限标记，所述第二权限标记用以标识前述逻辑漏洞不允许用户执行操作的权限范围；

8.一种根据权利要求1-7中任一项所述方法的处理逻辑漏洞的装置，其特征在于，包括结构：

9.一种根据权利要求1-7中任一项所述方法的处理逻辑漏洞的系统，其特征在于包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法。

技术总结
本发明提供了一种处理逻辑漏洞的方法、装置、系统及存储介质，涉及信息安全技术领域。所述方法包括步骤：获取网络中的逻辑漏洞，并进行分析以得到前述逻辑漏洞的逻辑关系；基于前述逻辑关系，确定该逻辑漏洞的漏洞点，并对该漏洞点进行漏洞修复。本发明通过分析网络中逻辑漏洞的逻辑关系，来确定逻辑漏洞的漏洞位置并进行修复，从而确保网络安全。

技术研发人员：杨腾霄,崔政强
受保护的技术使用者：上海纽盾科技股份有限公司
技术研发日：
技术公布日：2024/1/15