本发明专利技术涉及一种网站权限漏洞检测方法和系统,该方法包括:获取待检测网站中有权访问链接;识别所述有权访问链接中的参数的值;根据预设规则更改所述参数的值形成测试访问链接;判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。通过本发明专利技术的技术方案,能够根据网站链接,准确地检测网站是否存在权限漏洞,从而进行准确地提示,避免用户个人信息泄露。
【技术实现步骤摘要】
网站权限漏洞检测方法和系统
本专利技术涉及网络安全
,具体而言,涉及一种网站权限漏洞检测方法和一种网站权限漏洞检测系统。
技术介绍
在网络日益发达的今天,网络安全问题层出不穷,已经成为了网站管理者和用户的重要关注点。网站一般存在一些访问入口,用户可以通过输入访问信息,例如账号和密码,或者访问代码等访问网站。但是为了保障用户利益,避免用户个人数据泄露,每个用户都有相应的访问权限,例如在一些购物网站中,某个用户在其账号下,只能查看属于该账号的购物信息,这种方式在一定程度上保证了用户的个人信息安全。但是,在某些网站中,这种根据权限访问的方式却存在着安全隐患,因为通过浏览器访问网站,除了可以通过在登陆界面输入访问信息的方式进行访问,还可以直接输入与某用户页面相对应的链接来访问该用户的页面,不同的用户页面在链接中的区别,仅体现在链接的参数上,而在这些网站并未对这种通过链接访问的方式设置权限的情况下,攻击者就可以通过更改链接中的参数来尝试查看其他用户的信息,导致其他用户的信息泄露。例如在快递网站中,攻击者可以在查询某个快递单号时,先针对一个单号获取显示单号信息的页面对应的链接,然后更改链接中与单号相关的参数的值,从而访问其他用户的单号信息,这就造成了其他用户的个人信息泄露。
技术实现思路
本专利技术所要解决的技术问题是,如何针对网站的访问权限进行漏洞检测,以避免用户个人信息泄露。为此目的,本专利技术提出了一种网站权限漏洞检测方法,包括:获取待检测网站中有权访问链接;识别所述有权访问链接中的参数的值;根据预设规则更改所述参数的值形成测试访问链接;判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。优选地,所述根据预设规则更改所述参数的值形成测试访问链接包括:在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,以及所述方法还包括:根据更改的参数的值生成提示信息。优选地,所述识别所述有权访问链接中的参数的值包括:识别所述有权访问链接中的参数;查询所述参数的值域,所述根据预设规则更改所述参数的值形成测试访问链接包括:生成更改算法;根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。优选地,所述判断是否能够访问所述测试访问链接包括:根据所述测试访问链接发送访问请求,根据响应信息确定是否能够访问所述测试访问链接。优选地,所述获取待检测网站中有权访问链接包括:通过旁路侦听获取所述待检测网站的访问请求,并获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。本专利技术还提出了一种网站权限漏洞检测系统,包括:获取单元,用于获取待检测网站中有权访问链接;识别单元,用于识别所述有权访问链接中的参数的值;更改单元,用于根据预设规则更改所述参数的值形成测试访问链接;判断单元,用于判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。优选地,所述更改单元在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,以及所述系统还包括:提示单元,用于根据更改的参数的值生成提示信息。优选地,所述识别单元包括:参数识别子单元,用于识别所述有权访问链接中的参数;值域查询子单元,用于查询所述参数的值域,所述更改单元包括:算法生成子单元,用于生成更改算法;参数遍历子单元,用于根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。优选地,所述判断单元包括:请求发送子单元,用于根据所述测试访问链接发送访问请求;响应确定子单元,根据响应信息确定是否能够访问所述测试访问链接。优选地,所述获取单元包括:旁路侦听子单元,用于通过旁路侦听获取所述待检测网站的访问请求;响应获取子单元,用于获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。根据上述技术方案,至少可以实现以下技术效果:1、能够根据网站链接,准确地检测网站是否存在权限漏洞;2、能够根据网站链接中的参数进行漏洞检测,准确地判断网站中权限漏洞所处的位置,从而进行准确地提示;3、能够通过旁路侦听方式获取请求包,实现了灵活且全面地获取访问请求。附图说明通过参考附图会更加清楚的理解本专利技术的特征和优点,附图是示意性的而不应理解为对本专利技术进行任何限制,在附图中:图1示出了根据本专利技术一个实施例的网站权限漏洞检测方法的示意流程图;图2示出了根据本专利技术一个实施例的测试访问链接的生成示意流程图;图3示出了根据本专利技术一个实施例的网站权限漏洞检测系统的示意框图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本专利技术,而不能解释为对本专利技术的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本专利技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。本
技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(PersonalCommunicationsService,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(PersonalDigitalAssistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(GlobalPositioningSystem,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频本文档来自技高网...
【技术保护点】
一种网站权限漏洞检测方法,其特征在于,包括:获取待检测网站中有权访问链接;识别所述有权访问链接中的参数的值;根据预设规则更改所述参数的值形成测试访问链接;判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞。
【技术特征摘要】
1.一种网站权限漏洞检测方法,其特征在于,包括:获取待检测网站中有权访问链接;识别所述有权访问链接中的参数的值;根据预设规则更改所述参数的值形成测试访问链接;判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞;所述根据预设规则更改所述参数的值形成测试访问链接包括:在所述有权访问链接中包括多个参数时,根据预设规则,更改所述多个参数中的一个或多个参数的值,以形成所述测试访问链接,以及所述方法还包括:根据更改的参数的值生成提示信息。2.一种网站权限漏洞检测方法,其特征在于,包括:获取待检测网站中有权访问链接;识别所述有权访问链接中的参数的值;根据预设规则更改所述参数的值形成测试访问链接;判断是否能够访问所述测试访问链接,若能够访问,则确定所述待检测网站存在权限漏洞;所述识别所述有权访问链接中的参数的值包括:识别所述有权访问链接中的参数;查询所述参数的值域,所述根据预设规则更改所述参数的值形成测试访问链接包括:生成更改算法;根据所述更改算法在所述值域内遍历所述参数的值,以形成多个测试访问链接。3.根据权利要求2所述网站权限漏洞检测方法,其特征在于,所述判断是否能够访问所述测试访问链接包括:根据所述测试访问链接发送访问请求,根据响应信息确定是否能够访问所述测试访问链接。4.根据权利要求1至3中任一项所述网站权限漏洞检测方法,其特征在于,所述获取待检测网站中有权访问链接包括:通过旁路侦听获取所述待检测网站的访问请求,并获取针对所述访问请求的响应信息,根据所述响应信息确定所述有权访问链接。5.一种网站权限漏洞检测系统,其特征在于,包括:获取单元,用于获取...
【专利技术属性】
技术研发人员:龙专,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。