本发明专利技术公开了一种越权访问漏洞测试方法,涉及计算机数据安全技术领域。该方法通过获取已经登录的第一账户的功能接口,作为第一测试接口;测试接口包含第一账户的第一登录信息;使用接口测试工具,根据第二账户的第二登录信息修改第一登录信息,得到第二测试接口;使用接口测试工具,通过第二测试接口对测试账户发起功能测试;测试账户为第一账户,或者,测试账户为第二账户;若针对功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞。实现了可以高效的完成越权访问漏洞测试的任务,方法操作步骤简单、检测效率高、后续维护成本低、节省人力资源,能够实现大规模的越权访问漏洞的检测工作。现大规模的越权访问漏洞的检测工作。现大规模的越权访问漏洞的检测工作。
【技术实现步骤摘要】
一种越权访问漏洞测试方法
[0001]本专利技术涉及计算机数据安全
,具体涉及一种越权访问漏洞测试方法。
技术介绍
[0002]在互联网业务系统运行过程中,需要设置每一用户的访问权限,使得每一用户仅能操作自己的数据信息,保证数据隔离以及权限隔离。但是由于在客户端的业务应用程序提交数据请求时,服务器端可能会忽略账户操作权限的判断,导致攻击者可以使用一个合法账户,即可对存在越权访问漏洞的其他账户的数据进行非法的操作,导致被攻击的账户无法使用或被消耗掉可用资源。
[0003]现有技术中,为应对越权访问漏洞的问题,技术人员可以使用越权访问漏洞扫描工具,例如Burp Suite,进行抓包操作,然后修改请求参数,对比接口返回报文结果来确定是否包含敏感信息,然后作用于其他可能存在缺陷的接口中,从而实现对Web应用程序的一些常规越权访问漏洞的测试。但上述解决方案存在使用人员学习成本高,以及需要进行大量的重复工作,因而非常依赖安全测试人员的主观经验,由此造成较大的人力资源消耗,同时也存在操作步骤频繁复杂,检测效率低下与被测程序不贴合等弊端,尤其是无法进行大规模的越权访问漏洞检测和后续灵活维护。
技术实现思路
[0004]本专利技术的目的在于提供一种越权访问漏洞测试方法。实现了可以高效的完成越权访问漏洞测试的任务,方法操作步骤简单、检测效率高、后续维护成本低、节省人力资源,能够实现大规模的越权访问漏洞的检测工作。
[0005]具体技术方案如下:
[0006]在本专利技术实施的第一方面,首先提供了一种越权访问漏洞测试方法,所述方法包括:
[0007]获取已经登录的第一账户的功能接口,作为第一测试接口;所述测试接口包含所述第一账户的第一登录信息;
[0008]使用接口测试工具,根据第二账户的第二登录信息修改所述第一登录信息,得到第二测试接口;
[0009]使用接口测试工具,通过所述第二测试接口对测试账户发起功能测试;所述测试账户为所述第一账户,或者,所述测试账户为所述第二账户;
[0010]若针对所述功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞。
[0011]可选地,所述获取已经登录的第一账户的功能接口,作为第一测试接口,包括:
[0012]通过全球广域网web浏览器登录第一账户;
[0013]打开web浏览器的开发者工具Network,并且开启录制功能;
[0014]获取所述第一账户的所有可用的功能接口,作为第一测试接口。
[0015]可选地,所述第一测试接口的接口类型包括字典请求、控制器与动作Controller And Action、即时编译编程语言JavaScript、超文本标记语言HTML和模型请求中的一种或多种。
[0016]可选地,所述使用接口测试工具,根据第二账户的第二登录信息修改所述第一登录信息,得到第二测试接口,包括:
[0017]获取第二账户的第二登录信息的第一身份验证证明字段;
[0018]使用接口测试工具,将所述第一登录信息的第二身份验证证明字段替换为所述第一身份验证证明字段。
[0019]可选地,所述功能测试对应的数据操作包括增加数据、删除数据、修改数据和查看数据中的一种或多种。
[0020]可选地,所述第一账户和所述第二账户分别为同一父子账户中的两个子账户;所述第一账户和所述第二账户均不具有针对对方的数据的操作权限;所述测试账户为所述第二账户;
[0021]所述若针对所述功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞,包括:
[0022]若针对所述功能测试的返回结果为操作失败,则表示不存在横向数据越权访问漏洞,否则,表示存在横向数据越权访问漏洞。
[0023]可选地,所述第一账户和所述第二账户属于同一父子账户,且所述第一账户为父账户,所述第二账户为子账户;所述第一账户具有针对所述第二账户的数据的操作权限,所述第二账户不具有针对所述第一账户的数据的操作权限;所述测试账户为所述第一账户;
[0024]所述若针对所述功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞,包括:
[0025]若针对所述功能测试的返回结果为操作失败,则表示不存在纵向数据越权访问漏洞,否则,表示存在纵向数据越权访问漏洞。
[0026]可选地,所述第一账户和所述第二账户不属于同一父子账户;所述第一账户和所述第二账户均不具有针对对方的数据的操作权限;
[0027]所述若针对所述功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞,包括:
[0028]若针对所述功能测试的返回结果为操作失败,则表示不存在纵向数据越权访问漏洞,否则,表示存在纵向数据越权访问漏洞。
[0029]本专利技术实施例的又一方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
[0030]存储器,用于存放计算机程序;
[0031]处理器,用于执行存储器上所存放的程序时,实现上述任一所述的越权访问漏洞测试方法。
[0032]在本专利技术实施的又一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的越权访问漏洞测试方法。
[0033]在本专利技术实施的又一方面,还提供了一种包含指令的计算机程序产品,当其在计
算机上运行时,使得计算机执行上述任一所述的越权访问漏洞测试方法。
[0034]本专利技术实施例提供的一种越权访问漏洞测试方法,通过获取已经登录的第一账户的功能接口,作为第一测试接口;测试接口包含第一账户的第一登录信息;使用接口测试工具,根据第二账户的第二登录信息修改第一登录信息,得到第二测试接口;使用接口测试工具,通过第二测试接口对测试账户发起功能测试;测试账户为第一账户,或者,测试账户为第二账户;若针对功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞。以此,可以高效的完成越权访问漏洞测试的任务,操作步骤简单、检测效率高、后续维护成本低、节省人力资源,能够实现大规模的进行越权访问漏洞的检测工作。
附图说明
[0035]下面结合附图对本专利技术作进一步的说明。
[0036]图1为本专利技术实施例提供的一种越权访问漏洞测试方法的流程图;
[0037]图2为本专利技术实施例提供的一种电子设备的结构示意图。
具体实施方式
[0038]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0039]本专利技术实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种越权访问漏洞测试方法,其特征在于,所述方法包括:获取已经登录的第一账户的功能接口,作为第一测试接口;所述第一测试接口包含所述第一账户的第一登录信息;使用接口测试工具,根据第二账户的第二登录信息修改所述第一登录信息,得到第二测试接口;使用所述接口测试工具,通过所述第二测试接口对测试账户发起功能测试;所述测试账户为所述第一账户,或者,所述测试账户为所述第二账户;若针对所述功能测试的返回结果为操作失败,则表示不存在越权访问漏洞,否则,表示存在越权访问漏洞。2.根据权利要求1所述的方法,其特征在于,获取已经登录的第一账户的功能接口,作为第一测试接口,包括:通过全球广域网web浏览器登录第一账户;打开web浏览器的开发者工具Network,并且开启录制功能;获取所述第一账户的所有可用的功能接口,作为第一测试接口。3.根据权利要求2所述的方法,其特征在于,所述第一测试接口的接口类型包括字典请求、控制器与动作Controller And Action、即时编译编程语言JavaScript、超文本标记语言HTML和模型请求中的一种或多种。4.根据权利要求1所述的方法,其特征在于,所述使用接口测试工具,根据第二账户的第二登录信息修改所述第一登录信息,得到第二测试接口,包括:获取第二账户的第二登录信息的第一身份验证证明字段;使用接口测试工具,将所述第一登录信息的第二身份验证证明字段替换为所述第一身份验证证明字段。5.根据权利要求4所述的方法,其特征在于,所述功能测试对应的数据操作包括增加数据、删除数据、修改...
【专利技术属性】
技术研发人员:赵绪龙,王士义,许健康,
申请(专利权)人:珍岛信息技术上海股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。