本申请的实施例揭示了一种越权检测方法、装置、设备及存储介质。该方法包括:获取实时流量事件;其中,所述实时流量事件中包括触发所述实时流量事件的待检测对象,和所述待检测对象触发所述实时流量事件所使用的资源;从所述实时流量事件中获取所述待检测对象的第一对象信息和第一资源信息;基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像;基于所述目标权限画像检测所述待检测对象是否存在越权风险。本申请的实施例能够有效提高权限实时测试效率,减少了越权测试的人力投入,提高了越权测试的覆盖面,避免了未发现的越权安全问题,提高系统安全性。性。性。
【技术实现步骤摘要】
一种越权检测方法、装置、设备及存储介质
[0001]本申请涉及网络技术安全领域,具体涉及一种越权检测方法、装置、电子设备、计算机可读存储介质、以及计算机程序产品。
技术介绍
[0002]随着软件系统的不断发展,多角色用户的需求也在越来越多的软件系统上实现,随之产生了越来越多的安全问题,例如层出不穷的越权行为,其中越权行为主要分为垂直越权和水平越权,垂直越权主要指的是的低权限用户可操作高权限用户接口,例如普通用户可以访问管理员用户的接口,导致普通用户可以操作管理员接口等安全性问题。水平越权主要是同级别用户可以访问对方的接口,例如普通用户A可以访问普通用户B的接口,导致普通用户可以查询操作其他同级用户的信息等。
[0003]由于越权行为危害很大且不容易发现,目前需要人工或者通过半自动化的方式测试是否越权,不这样仅耗时耗力且不能有效快速检测到越权风险。
技术实现思路
[0004]为解决上述技术问题,本申请的实施例提供了一种越权检测方法及装置、电子设备、计算机可读存储介质以及计算机程序产品。
[0005]根据本申请实施例的一个方面,提供了一种越权检测方法,包括:获取实时流量事件;其中,所述实时流量事件中包括触发所述实时流量事件的待检测对象,和所述待检测对象触发所述实时流量事件所使用的资源;从所述实时流量事件中获取所述待检测对象的第一对象信息和第一资源信息;基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像;其中,所述目标权限画像中包括至少一个目标对象和所述至少一个目标对象对应的目标资源;基于所述目标权限画像检测所述待检测对象是否存在越权风险。
[0006]根据本申请实施例的一个方面,若所述目标权限画像为至少两个;所述基于所述目标权限画像检测所述待检测对象是否存在越权风险,包括:检测所述第一对象信息和第一资源信息是否分别属于不同的目标权限画像,得到检测结果;若所述检测结果表征所述第一对象信息和第一资源信息分别属于不同的目标权限画像,则确定所述待检测对象存在第一类型的越权风险;若所述检测结果表征所述第一对象信息和第一资源信息属于相同的目标权限画像,则获取所述第一资源信息的邻接资源信息,并根据所述邻接资源信息和所述目标权限画像,检测所述待检测对象是否存在越权风险。
[0007]根据本申请实施例的一个方面,若所述邻接资源信息为前序资源信息,则所述根据所述邻接资源信息和所述目标权限画像,检测所述待检测对象是否存在越权风险,包括:从所述目标权限画像中与所述第一资源信息相匹配的目标资源的前序资源中,检测是否存在与所述前序资源信息相匹配的资源;若检测到未存在与所述前序资源信息相匹配的资源,则确定所述待检测对象存在第二类型的越权风险;若检测到存在与所述前序资源信息
相匹配的资源,则确定所述待检测对象不存在越权风险。
[0008]根据本申请实施例的一个方面,所述基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的权限画像,包括:从多个权限画像中选择出与所述第一对象信息相匹配的目标对象对应的权限画像;以及,从所述多个权限画像中选择出与所述第一资源信息相匹配的目标资源对应的权限画像。
[0009]根据本申请实施例的一个方面,在基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像之前,所述方法还包括:获取历史流量事件;其中,所述历史流量事件中包括触发所述历史流量事件的目标对象,和所述目标对象触发所述历史流量事件所使用的目标资源;从所述历史流量事件中获取所述目标对象的第二对象信息和第二资源信息;基于所述第二对象信息和所述第二资源信息构造权限画像。
[0010]根据本申请实施例的一个方面,所述目标对象为多个,所述第二对象信息为用于标识目标对象的标识信息,所述第二资源信息为基于时间的资源序列,所述资源序列包括用于分别标识各个目标资源的标识信息;所述基于所述第二对象信息和所述第二资源信息构造权限画像,包括:基于多个目标对象的标识信息生成对象组;基于多个目标资源的标识信息生成资源组;关联所述对象组和所述资源组,构造得到所述权限画像。
[0011]根据本申请实施例的一个方面,所述历史流量事件包括多个流量数据;所述从所述历史流量事件中获取所述目标对象的第二对象信息和第二资源信息,包括:对所述历史流量事件进行解析,得到所述多个流量数据;对所述多个流量数据按照相同目标对象进行划分,得到各个目标对象的第二对象信息,以及所述各个目标对象的流量数据;基于所述各个目标对象对应的流量数据构建基于时间的资源序列,得到所述各个目标对象对应的第二资源信息。
[0012]根据本申请实施例的一个方面,所述方法还包括:若基于所述第一对象信息和第一资源信息,未获取到与所述实时流量事件相匹配的目标权限画像,则获取历史流量事件;根据所述历史流量事件构造所述目标权限画像。
[0013]根据本申请实施例的一个方面,提供了一种越权检测装置,包括:第一获取模块,用于获取实时流量事件;其中,所述实时流量事件中包括触发所述实时流量事件的待检测对象,和所述待检测对象触发所述实时流量事件所使用的资源;第二获取模块,用于从所述实时流量事件中获取所述待检测对象的第一对象信息和第一资源信息;匹配模块,用于基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像;其中,所述目标权限画像中包括至少一个目标对象和所述至少一个目标对象对应的目标资源;检测模块,用于基于所述目标权限画像检测所述待检测对象是否存在越权风险。
[0014]根据本申请实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述电子设备实现如前所述的越权检测方法。
[0015]根据本申请实施例的一个方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上所述的越权检测方法。
[0016]根据本申请实施例的一个方面,还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上所述的越权检测方法中的步骤。
[0017]在本申请的实施例所提供的技术方案中,通过获取实时流量事件,并获取实时流量事件中的待检测对象对应的第一对象信息和第一资源信息,根据第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像,根据目标权限画像中包括的目标对象和目标资源,通过比对实时流量事件的第一对象信息及第一资源信息和目标权限画像的目标对象及目标资源确定实时流量事件中的待检测对象是否存在越权的风险。采用此方式大大提高了越权测试实时效率,减少了越权测试的人力投入,提高了越权测试的覆盖面,避免了未发现的越权安全问题,提高系统安全性。
[0018]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
[0019]此处的附图被并入说明书中并构成本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种越权检测方法,其特征在于,包括:获取实时流量事件;其中,所述实时流量事件中包括触发所述实时流量事件的待检测对象,和所述待检测对象触发所述实时流量事件所使用的资源;从所述实时流量事件中获取所述待检测对象的第一对象信息和第一资源信息;基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像;其中,所述目标权限画像中包括至少一个目标对象和所述至少一个目标对象对应的目标资源;基于所述目标权限画像检测所述待检测对象是否存在越权风险。2.如权利要求1所述的方法,其特征在于,若所述目标权限画像为至少两个;所述基于所述目标权限画像检测所述待检测对象是否存在越权风险,包括:检测所述第一对象信息和第一资源信息是否分别属于不同的目标权限画像,得到检测结果;若所述检测结果表征所述第一对象信息和第一资源信息分别属于不同的目标权限画像,则确定所述待检测对象存在第一类型的越权风险;若所述检测结果表征所述第一对象信息和第一资源信息属于相同的目标权限画像,则获取所述第一资源信息的邻接资源信息,并根据所述邻接资源信息和所述目标权限画像,检测所述待检测对象是否存在越权风险。3.如权利要求2所述的方法,其特征在于,若所述邻接资源信息为前序资源信息,则所述根据所述邻接资源信息和所述目标权限画像,检测所述待检测对象是否存在越权风险,包括:从所述目标权限画像中与所述第一资源信息相匹配的目标资源的前序资源中,检测是否存在与所述前序资源信息相匹配的资源;若检测到未存在与所述前序资源信息相匹配的资源,则确定所述待检测对象存在第二类型的越权风险;若检测到存在与所述前序资源信息相匹配的资源,则确定所述待检测对象不存在越权风险。4.如权利要求1所述的方法,其特征在于,所述基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的权限画像,包括:从多个权限画像中选择出与所述第一对象信息相匹配的目标对象对应的权限画像;以及从所述多个权限画像中选择出与所述第一资源信息相匹配的目标资源对应的权限画像。5.如权利要求1至4中任一项所述的方法,其特征在于,在基于所述第一对象信息和第一资源信息,绘制与所述实时流量事件相匹配的目标权限画像之前,所述方法还包括:获取历史流量事件;其中,所述历史流量事件中包括触发所述历史流量事件的目标对象,和所述目标对象触发所述历史流量事件所使用的目标资源;从所述历史流量事件中获取所述目标...
【专利技术属性】
技术研发人员:严梦嘉,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。