This application provides a method, device and device for identifying horizontal permission vulnerabilities. The method includes: obtaining the first URL information, accessing the first URL information and obtaining the first access result; obtaining the first characteristic of the first URL information and the second characteristic of the first access result; and training the first characteristic and the second characteristic according to the first characteristic and the second characteristic. Features, corresponding relations with feature values, which are used to identify horizontal permission vulnerabilities. Through the technical scheme of this application, horizontal permission vulnerabilities can be found and identified. It does not need or assist to determine whether there are horizontal permission vulnerabilities by manually accessing URLs, so as to improve the efficiency of identification and reduce labor costs.
【技术实现步骤摘要】
一种水平权限漏洞的识别方法、装置及其设备
本申请涉及互联网
,尤其是涉及一种水平权限漏洞的识别方法、装置及其设备。
技术介绍
伴随着大数据时代的到来,越来越多的数据开始被生产、加工、存储和消费,数据的安全成为越来越重要的问题。目前,数据泄露的方式有很多种,比如SQL(StructuredQueryLanguage,结构化查询语言)注入、大规模爬取等。其中,网站的权限管理可以分为垂直权限和水平权限,垂直权限是指:用户拥有不同角色,每种角色的页面访问权限不同。水平权限是指:相同角色的不同用户访问内容的权限控制,如网上银行用户只允许访问属于自己的信用卡数据。目前,水平权限漏洞是一种严重危害到用户隐私和用户数据的安全漏洞。在传统方式中,为了识别是否存在水平权限漏洞,则可以通过人工访问URL(UniformResourceLocator,统一资源定位符)的方式,来判断是否存在水平权限漏洞,但是,面对大量URL,通过人力识别的方式,效率很低,成本很高。
技术实现思路
本申请提供一种水平权限漏洞的识别方法,所述方法包括:获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;获取所述第一URL信息的第一特征、所述第一访问结果的第二特征;根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系,所述对应关系用于识别水平权限漏洞。本申请提供一种水平权限漏洞的识别方法,所述方法包括:获取第二URL信息,对所述第二URL信息进行访问,得到第二访问结果;获取所述第二URL信息的第一特征、所述第二访问结果的第二特征;通过所述第一特征和所述第二特征查询 ...
【技术保护点】
1.一种水平权限漏洞的识别方法,其特征在于,所述方法包括:获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;获取所述第一URL信息的第一特征、所述第一访问结果的第二特征;根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系,所述对应关系用于识别水平权限漏洞。
【技术特征摘要】
1.一种水平权限漏洞的识别方法,其特征在于,所述方法包括:获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;获取所述第一URL信息的第一特征、所述第一访问结果的第二特征;根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系,所述对应关系用于识别水平权限漏洞。2.根据权利要求1所述的方法,其特征在于,所述获取第一URL信息的过程,具体包括:收集用户访问特定业务时产生的URL;对收集的URL进行预处理,得到预处理后的第一URL信息。3.根据权利要求1所述的方法,其特征在于,所述对所述第一URL信息进行访问,得到第一访问结果的过程,具体包括:通过使用至少一个角色的用户信息,对所述第一URL信息进行访问,得到与所述角色对应的第一访问结果;其中,所述第一访问结果包括响应页面信息。4.根据权利要求1所述的方法,其特征在于,所述第二特征包括以下之一或者任意组合:分组信息;第一访问结果的数据量;同一分组下,相同或相似的访问结果数量;登陆态编码;第一访问结果的页面大小;第一访问结果的格式;第一访问结果中的关键字信息;第一访问结果中的文本上下文信息。5.根据权利要求1所述的方法,其特征在于,根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系的过程,具体包括:根据所述第一特征、所述第二特征、所述第一URL信息的识别结果,训练第一特征、第二特征、与特征值的对应关系。6.根据权利要求5所述的方法,其特征在于,所述根据所述第一特征、所述第二特征、所述第一URL信息的识别结果,训练第一特征、第二特征、与特征值的对应关系之前,所述方法还包括:根据预设过滤策略确定所述第一URL信息的识别结果;其中,所述第一URL信息的识别结果是存在水平权限漏洞,或者,不存在水平权限漏洞。7.根据权利要求6所述的方法,其特征在于,所述根据预设过滤策略确定所述第一URL信息的识别结果的过程,具体包括:若第一访问结果与预设过滤策略匹配,确定所述第一URL信息的识别结果是不存在水平权限漏洞;或者,若第一访问结果与预设过滤策略不匹配,确定所述第一URL信息的识别结果是存在水平权限漏洞或者不存在水平权限漏洞。8.根据权利要求6或7所述的方法,其特征在于,所述预设过滤策略包括以下之一或者任意组合:用于过滤HTTP错误码的策略;用于过滤JSON错误码的策略;用于过滤特定关键字的策略。9.根据权利要求1所述的方法,其特征在于,所述特征值具体包括:存在水平权限漏洞的概率值,或者,不存在水平权限漏洞的概率值。10.根据权利要求1所述的方法,其特征在于,所述根据所述第一特征和所述第二特征,训练第一特征、第二特征、与特征值的对应关系之后,还包括:获取第二URL信息,对所述第二URL信息进行访问,得到第二访问结果;获取所述第二URL信息的第一特征、所述第二访问结果的第二特征;通过获取的第一特征和第二特征查询所述对应关系,得到对应的特征值;根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。11.根据权利要求10所述的方法,其特征在于,所述对所述第二URL信息进行访问,得到第二访问结果的过程,具体包括:通过使用至少一个角色的用户信息,对所述第二URL信息进行访问,得到与所述角色对应的第二访问结果;其中,所述第二访问结果包括响应页面信息。12.根据权利要求10所述的方法,其特征在于,所述第二访问结果的第二特征包括以下之一或者任意组合:分组信息;第二访问结果的数据量;同一分组下,相同或相似的访问结果数量;登陆态编码;第二访问结果的页面大小;第二访问结果的格式;第二访问结果中的关键字信息;第二访问结果中的文本上下文信息。13.根据权利要求10所述的方法,其特征在于,所述根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞的过程,具体包括:若得到的特征值是存在水平权限漏洞的概率值,当该概率值大于预设第一阈值时,则识别所述第二URL信息存在水平权限漏洞;或者,若得到的特征值是不存在水平权限漏洞的概率值,当该概率值大于预设第二阈值时,则识别所述第二URL信息不存在水平权限漏洞。14.一种水平权限漏洞的识别方法,其特征在于,所述方法包括:获取第二URL信息,对所述第二URL信息进行访问,得到第二访问结果;获取所述第二URL信息的第一特征、所述第二访问结果的第二特征;通过所述第一特征和所述第二特征查询映射关系,得到对应的特征值;其中,所述映射关系用于记录第一特征、第二特征与特征值的对应关系;根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞。15.根据权利要求14所述的方法,其特征在于,所述对所述第二URL信息进行访问,得到第二访问结果的过程,具体包括:通过使用至少一个角色的用户信息,对所述第二URL信息进行访问,得到与所述角色对应的第二访问结果;其中,所述第二访问结果包括响应页面信息。16.根据权利要求14所述的方法,其特征在于,所述第二特征包括以下之一或者任意组合:分组信息;第二访问结果的数据量;同一分组下,相同或相似的访问结果数量;登陆态编码;第二访问结果的页面大小;第二访问结果的格式;第二访问结果中的关键字信息;第二访问结果中的文本上下文信息。17.根据权利要求14所述的方法,其特征在于,所述特征值具体包括:存在水平权限漏洞的概率值,或者,不存在水平权限漏洞的概率值。18.根据权利要求17所述的方法,其特征在于,所述根据得到的特征值识别所述第二URL信息是否存在水平权限漏洞的过程,具体包括:若得到的特征值是存在水平权限漏洞的概率值,当该概率值大于预设第一阈值时,则识别所述第二URL信息存在水平权限漏洞;或者,若得到的特征值是不存在水平权限漏洞的概率值,当该概率值大于预设第二阈值时,则识别所述第二URL信息不存在水平权限漏洞。19.一种水平权限漏洞的识别方法,其特征在于,所述方法包括:获取第一URL信息,对所述第一URL信息进行访问,得到第一访问结果;获取所述第一访问结果的第二特征;根据所述第二特征,训练第二特征与特征值的对应关系,所述对应关系用于识别水平权限漏洞。20.根据权利要求19所述的方法,其特征在于,所述根据所述第二特征,训练第二特征与特征值的对应关系的过程,具体包括:根据所述第二特征、所述第一URL信息的识别结果,训练第...
【专利技术属性】
技术研发人员:金耀宇,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。