一种水平权限漏洞的识别方法、装置及其设备制造方法及图纸

本申请提供一种水平权限漏洞的识别方法、装置及其设备，该方法包括：获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一URL信息的第一特征、所述第一访问结果的第二特征；根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系，所述对应关系用于识别水平权限漏洞。通过本申请的技术方案，可以实现水平权限漏洞的发现和识别，不需要或者辅助采用人工访问URL的方式判断是否存在水平权限漏洞，提高识别的效率，并降低人工成本。

A Recognition Method, Device and Equipment for Horizontal Permission Vulnerabilities

This application provides a method, device and device for identifying horizontal permission vulnerabilities. The method includes: obtaining the first URL information, accessing the first URL information and obtaining the first access result; obtaining the first characteristic of the first URL information and the second characteristic of the first access result; and training the first characteristic and the second characteristic according to the first characteristic and the second characteristic. Features, corresponding relations with feature values, which are used to identify horizontal permission vulnerabilities. Through the technical scheme of this application, horizontal permission vulnerabilities can be found and identified. It does not need or assist to determine whether there are horizontal permission vulnerabilities by manually accessing URLs, so as to improve the efficiency of identification and reduce labor costs.

【技术实现步骤摘要】
一种水平权限漏洞的识别方法、装置及其设备
本申请涉及互联网
，尤其是涉及一种水平权限漏洞的识别方法、装置及其设备。
技术介绍
伴随着大数据时代的到来，越来越多的数据开始被生产、加工、存储和消费，数据的安全成为越来越重要的问题。目前，数据泄露的方式有很多种，比如SQL(StructuredQueryLanguage，结构化查询语言)注入、大规模爬取等。其中，网站的权限管理可以分为垂直权限和水平权限，垂直权限是指：用户拥有不同角色，每种角色的页面访问权限不同。水平权限是指：相同角色的不同用户访问内容的权限控制，如网上银行用户只允许访问属于自己的信用卡数据。目前，水平权限漏洞是一种严重危害到用户隐私和用户数据的安全漏洞。在传统方式中，为了识别是否存在水平权限漏洞，则可以通过人工访问URL(UniformResourceLocator，统一资源定位符)的方式，来判断是否存在水平权限漏洞，但是，面对大量URL，通过人力识别的方式，效率很低，成本很高。
技术实现思路
本申请提供一种水平权限漏洞的识别方法，所述方法包括：获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一URL信息的第一特征、所述第一访问结果的第二特征；根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系，所述对应关系用于识别水平权限漏洞。本申请提供一种水平权限漏洞的识别方法，所述方法包括：获取第二URL信息，对所述第二URL信息进行访问，得到第二访问结果；获取所述第二URL信息的第一特征、所述第二访问结果的第二特征；通过所述第一特征和所述第二特征查询映射关系，得到对应的特征值；其中，所述映射关系用于记录第一特征、第二特征与特征值的对应关系；根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。本申请提供一种水平权限漏洞的识别方法，所述方法包括：获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一访问结果的第二特征；根据所述第二特征，训练第二特征与特征值的对应关系，所述对应关系用于识别水平权限漏洞。本申请提供一种水平权限漏洞的识别方法，所述方法包括：获取第二URL信息，对所述第二URL信息进行访问，得到第二访问结果；获取所述第二访问结果的第二特征；通过所述第二特征查询映射关系，得到对应的特征值；其中，所述映射关系用于记录第二特征与特征值的对应关系；根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。本申请提供一种水平权限漏洞的识别装置，所述装置包括：获取模块，用于获取第一URL信息，对第一URL信息进行访问，得到第一访问结果；获取第一URL信息的第一特征、所述第一访问结果的第二特征；训练模块，用于根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系；其中，所述对应关系用于识别水平权限漏洞。本申请提供一种水平权限漏洞的识别装置，所述装置包括：获取模块，用于获取第二URL信息，对所述第二URL信息进行访问，得到第二访问结果；获取所述第二URL信息的第一特征、所述第二访问结果的第二特征；通过所述第一特征和所述第二特征查询映射关系，得到对应的特征值；其中，所述映射关系用于记录第一特征、第二特征与特征值的对应关系；识别模块，用于根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。本申请提供一种水平权限漏洞的识别装置，所述装置包括：获取模块，用于获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一访问结果的第二特征；训练模块，用于根据所述第二特征，训练第二特征与特征值的对应关系，所述对应关系用于识别水平权限漏洞。本申请提供一种水平权限漏洞的识别装置，所述装置包括：获取模块，用于获取第二URL信息，对第二URL信息进行访问，得到第二访问结果；获取第二访问结果的第二特征；通过所述第二特征查询映射关系，得到对应的特征值；所述映射关系用于记录第二特征与特征值的对应关系；识别模块，用于根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。本申请提供一种水平权限漏洞的识别设备，所述识别设备包括：处理器，用于获取第一URL信息，对第一URL信息进行访问，得到第一访问结果；获取第一URL信息的第一特征、第一访问结果的第二特征；根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系；其中，所述对应关系用于识别水平权限漏洞。本申请提供一种水平权限漏洞的识别设备，所述识别设备包括：处理器，用于获取第二URL信息，对所述第二URL信息进行访问，得到第二访问结果；获取所述第二URL信息的第一特征、所述第二访问结果的第二特征；通过所述第一特征和所述第二特征查询映射关系，得到对应的特征值；其中，所述映射关系用于记录第一特征、第二特征与特征值的对应关系；根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。基于上述技术方案，本申请实施例中，基于第一URL信息的第一特征、第一访问结果的第二特征，可以训练出第一特征、第二特征、与特征值的对应关系，如通过深度学习算法训练出第一特征、第二特征、与特征值的对应关系，继而可以使用这个对应关系预测被测URL是否存在水平权限漏洞，可以实现水平权限漏洞的发现和识别，不需要或者辅助采用人工访问URL的方式判断是否存在水平权限漏洞，提高识别的效率，并降低人工成本。附图说明为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其它的附图。图1A和图1B是本申请一种实施方式中的应用场景示意图；图1C是本申请一种实施方式中的水平权限漏洞的识别方法的流程图；图2A是本申请另一种实施方式中的应用场景示意图；图2B是本申请另一种实施方式中的水平权限漏洞的识别方法的流程图；图3A是本申请另一种实施方式中的水平权限漏洞的识别方法的流程图；图3B是本申请另一种实施方式中的水平权限漏洞的识别方法的流程图；图4是本申请一种实施方式中的水平权限漏洞的识别装置的结构图；图5是本申请另一种实施方式中的水平权限漏洞的识别装置的结构图；图6是本申请另一种实施方式中的水平权限漏洞的识别装置的结构图；图7是本申请另一种实施方式中的水平权限漏洞的识别装置的结构图。具体实施方式在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本申请实施例中提出了一种水平权限本文档来自技高网...

【技术保护点】
1.一种水平权限漏洞的识别方法，其特征在于，所述方法包括：获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一URL信息的第一特征、所述第一访问结果的第二特征；根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系，所述对应关系用于识别水平权限漏洞。

【技术特征摘要】
1.一种水平权限漏洞的识别方法，其特征在于，所述方法包括：获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一URL信息的第一特征、所述第一访问结果的第二特征；根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系，所述对应关系用于识别水平权限漏洞。2.根据权利要求1所述的方法，其特征在于，所述获取第一URL信息的过程，具体包括：收集用户访问特定业务时产生的URL；对收集的URL进行预处理，得到预处理后的第一URL信息。3.根据权利要求1所述的方法，其特征在于，所述对所述第一URL信息进行访问，得到第一访问结果的过程，具体包括：通过使用至少一个角色的用户信息，对所述第一URL信息进行访问，得到与所述角色对应的第一访问结果；其中，所述第一访问结果包括响应页面信息。4.根据权利要求1所述的方法，其特征在于，所述第二特征包括以下之一或者任意组合：分组信息；第一访问结果的数据量；同一分组下，相同或相似的访问结果数量；登陆态编码；第一访问结果的页面大小；第一访问结果的格式；第一访问结果中的关键字信息；第一访问结果中的文本上下文信息。5.根据权利要求1所述的方法，其特征在于，根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系的过程，具体包括：根据所述第一特征、所述第二特征、所述第一URL信息的识别结果，训练第一特征、第二特征、与特征值的对应关系。6.根据权利要求5所述的方法，其特征在于，所述根据所述第一特征、所述第二特征、所述第一URL信息的识别结果，训练第一特征、第二特征、与特征值的对应关系之前，所述方法还包括：根据预设过滤策略确定所述第一URL信息的识别结果；其中，所述第一URL信息的识别结果是存在水平权限漏洞，或者，不存在水平权限漏洞。7.根据权利要求6所述的方法，其特征在于，所述根据预设过滤策略确定所述第一URL信息的识别结果的过程，具体包括：若第一访问结果与预设过滤策略匹配，确定所述第一URL信息的识别结果是不存在水平权限漏洞；或者，若第一访问结果与预设过滤策略不匹配，确定所述第一URL信息的识别结果是存在水平权限漏洞或者不存在水平权限漏洞。8.根据权利要求6或7所述的方法，其特征在于，所述预设过滤策略包括以下之一或者任意组合：用于过滤HTTP错误码的策略；用于过滤JSON错误码的策略；用于过滤特定关键字的策略。9.根据权利要求1所述的方法，其特征在于，所述特征值具体包括：存在水平权限漏洞的概率值，或者，不存在水平权限漏洞的概率值。10.根据权利要求1所述的方法，其特征在于，所述根据所述第一特征和所述第二特征，训练第一特征、第二特征、与特征值的对应关系之后，还包括：获取第二URL信息，对所述第二URL信息进行访问，得到第二访问结果；获取所述第二URL信息的第一特征、所述第二访问结果的第二特征；通过获取的第一特征和第二特征查询所述对应关系，得到对应的特征值；根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。11.根据权利要求10所述的方法，其特征在于，所述对所述第二URL信息进行访问，得到第二访问结果的过程，具体包括：通过使用至少一个角色的用户信息，对所述第二URL信息进行访问，得到与所述角色对应的第二访问结果；其中，所述第二访问结果包括响应页面信息。12.根据权利要求10所述的方法，其特征在于，所述第二访问结果的第二特征包括以下之一或者任意组合：分组信息；第二访问结果的数据量；同一分组下，相同或相似的访问结果数量；登陆态编码；第二访问结果的页面大小；第二访问结果的格式；第二访问结果中的关键字信息；第二访问结果中的文本上下文信息。13.根据权利要求10所述的方法，其特征在于，所述根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞的过程，具体包括：若得到的特征值是存在水平权限漏洞的概率值，当该概率值大于预设第一阈值时，则识别所述第二URL信息存在水平权限漏洞；或者，若得到的特征值是不存在水平权限漏洞的概率值，当该概率值大于预设第二阈值时，则识别所述第二URL信息不存在水平权限漏洞。14.一种水平权限漏洞的识别方法，其特征在于，所述方法包括：获取第二URL信息，对所述第二URL信息进行访问，得到第二访问结果；获取所述第二URL信息的第一特征、所述第二访问结果的第二特征；通过所述第一特征和所述第二特征查询映射关系，得到对应的特征值；其中，所述映射关系用于记录第一特征、第二特征与特征值的对应关系；根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。15.根据权利要求14所述的方法，其特征在于，所述对所述第二URL信息进行访问，得到第二访问结果的过程，具体包括：通过使用至少一个角色的用户信息，对所述第二URL信息进行访问，得到与所述角色对应的第二访问结果；其中，所述第二访问结果包括响应页面信息。16.根据权利要求14所述的方法，其特征在于，所述第二特征包括以下之一或者任意组合：分组信息；第二访问结果的数据量；同一分组下，相同或相似的访问结果数量；登陆态编码；第二访问结果的页面大小；第二访问结果的格式；第二访问结果中的关键字信息；第二访问结果中的文本上下文信息。17.根据权利要求14所述的方法，其特征在于，所述特征值具体包括：存在水平权限漏洞的概率值，或者，不存在水平权限漏洞的概率值。18.根据权利要求17所述的方法，其特征在于，所述根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞的过程，具体包括：若得到的特征值是存在水平权限漏洞的概率值，当该概率值大于预设第一阈值时，则识别所述第二URL信息存在水平权限漏洞；或者，若得到的特征值是不存在水平权限漏洞的概率值，当该概率值大于预设第二阈值时，则识别所述第二URL信息不存在水平权限漏洞。19.一种水平权限漏洞的识别方法，其特征在于，所述方法包括：获取第一URL信息，对所述第一URL信息进行访问，得到第一访问结果；获取所述第一访问结果的第二特征；根据所述第二特征，训练第二特征与特征值的对应关系，所述对应关系用于识别水平权限漏洞。20.根据权利要求19所述的方法，其特征在于，所述根据所述第二特征，训练第二特征与特征值的对应关系的过程，具体包括：根据所述第二特征、所述第一URL信息的识别结果，训练第...

【专利技术属性】
技术研发人员：金耀宇，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY