申请/专利权人：北京交通大学;燕山大学

申请日：2023-01-17

公开（公告）日：2023-05-09

公开（公告）号：CN116094808A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2023.05.26#实质审查的生效;2023.05.09#公开

摘要：本发明涉及一种基于RBAC模式Web应用安全的访问控制漏洞检测方法，其包括以下步骤，步骤1：获取Web应用程序数据库中的基础数据；步骤2：处理基础数据，构造动态节点连接图和静态链接跳转图，并将其合并构成站点地图模型；步骤3：挖掘站点地图模型中不同用户的访问控制策略Gr；步骤4：违背访问控制策略，生成Web应用程序的攻击向量；步骤5：完成Web应用程序的访问控制漏洞检测。本发明通过动静混合的方式进行细粒度建模，将权限验证与数据库中的身份信息相结合，分析不同角色和用户的行为，通过模拟用户操作跟踪收集响应信息构建多属性站点地图模型，推导程序的访问控制策略；本发明通过构造攻击向量，模拟漏洞攻击，实现应用程序评估和漏洞检测。

主权项：1.一种基于RBAC模式Web应用安全的访问控制漏洞检测方法，其特征在于，其包括以下步骤：步骤1：获取Web应用程序数据库中的基础数据；获取Web应用程序数据库中的基础数据，所述基础数据包括开始链接节点SN、用户登录的账号密码信息PL和程序源码的本地文件目录SC；步骤2：处理基础数据，构造动态节点连接图和静态链接跳转图，并将其合并构成站点地图模型，包括如下子步骤；步骤21：基于动态分析方法，在未知应用程序具体构成时将应用程序作为黑盒系统，通过设计原型自行模拟用户的所有预期操作，构架黑盒系统的动态节点连接图；将用户预期操作访问到的用户资源页面链接形成页面节点集合N0，用户资源页面链接形成页面节点间的访问与被访问关系形成边集合E0，页面节点间传递的会话信息、用户和角色信息构成边权值集合W，构建基于多角色的动态框架图模型G0，如下所示： 式中：G0表示动态节点连接图；E0表示用户资源页面链接形成页面节点间的访问与被访问关系形成边集合；W表示页面节点间传递的会话信息、用户和角色信息构成边权值集合；N0表示用户资源页面链接形成页面节点集合，用UP0表示，包含n个资源节点a，其中节点a1至ak表示动态分析与静态分析中得到的相同节点，节点ak至an表示动态分析与静态分析中得到的不同节点；ai,aj表示节点ai和aj构成的一条边；wl表示第l个边的权值；n表示资源节点总数；k表示资源相同与不同节点的分割点编号；i和j分别表示资源节点的第一编号和第二编号；步骤22：基于静态分析方法，将应用程序作为白盒系统，分析源码中涉及到的页面间跳转情况，构建静态链接跳转图；分析Web应用程序源代码，获取Web应用程序的源代码目录结构及页面所在目录层级，补全静态代码中的链接；在静态分析过中，页面被识别为单个节点，这些节点为相似页面节点，因此UP0中节点的状态及边的复杂关系均多于UP′0，因此静态分析更加关注UP′0和FP节点间的关系，最终构建静态页面连接图如下所示： 式中：G1表示静态链接跳转图；N1表示静态分析所得的页面节点集合，包括资源页面节点UP和功能页面节点FP；E1表示资源页面节点UP集合和功能节点FP集合之间通过调用和被调用所形成的边集合；UP1表示静态分析过程中得到的资源页面集合；UP'0表示由于静态分析所得部分UP节点与动态分析所得存在重合节点；ap,bq表示节点ap和bq构成的一条边；bm表示第m个节点b；n′表示节点ap的总数；m表示节点bq的总数；步骤23：基于KM最大匹配算法和并查集算法将步骤21中获得的动态节点连接图G0和步骤22中获得的静态链接跳转图G1进行合并，建立基于用户的站点地图模型；步骤3：挖掘站点地图模型中不同用户的访问控制策略Gr；步骤4：违背访问控制策略，生成Web应用程序的攻击向量；基于多属性交叉重组方式，将访问用户与被访问资源间进行访问逻辑的重组，以实现漏洞入侵；基于角色、能够访问资源页面间的隶属关系，通过不同类型角色用户互相强制访问资源页面，构造漏洞攻击向量；基于角色和资源的有序对应关系生成精简的攻击向量，如下式所示：Φatts＝{＜rs,uv＞→{N,E,＜rz,uw＞}|uv,uw∈U；rs,rz∈R,v≠w}；式中：Φatts表示攻击向量集合；rs表示第一角色，s取值为[0,1,2]；uv表示第一用户；rs,uv表示攻击的访问主体为具有rs角色的uv用户；N表示站点地图G的节点集合；E表示站点地图G的边关系集合；rz表示第二角色，z取值为[0,1,2]；uw表示第二用户，其中v≠w表示uv,uw为不同的用户；U表示用户集合；R表示角色集合；{N,E,＜rz,uw＞}表示被访问的资源为具有rz角色的uw用户的所有节点N和边关系E；步骤5：完成Web应用程序的访问控制漏洞检测；基于步骤3中的正确的访问控制策略和步骤4中的攻击向量集合，针对以上两步骤的策略对程序进行访问，并将所得的响应结果进行基于响应参数和响应内容的模糊匹配，检测是否存在访问控制漏洞，建立漏洞检测规则；若结果匹配吻合则表明漏洞的存在，进行报告。

全文数据：

权利要求：

百度查询： 北京交通大学;燕山大学 基于RBAC模式Web应用安全的访问控制漏洞检测方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD