申请/专利权人:杭州默安科技有限公司
申请日:2022-03-30
公开(公告)日:2024-04-02
公开(公告)号:CN115051824B
主分类号:H04L9/40
分类号:H04L9/40;G06F11/36;G06F21/31;G06F21/57;H04L67/02
优先权:
专利状态码:有效-授权
法律状态:2024.04.02#授权;2022.09.30#实质审查的生效;2022.09.13#公开
摘要:本申请公开了一种垂直越权检测方法、系统、设备及存储介质,涉及越权检测技术领域,垂直越权检测方法包括以下步骤:用户请求的请求参数存入上下文对象,生成第一上下文对象。计算得到请求结果,请求结果存入第一上下文对象,生成用户的访问数据并保存至数据库。通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权。有益效果在于采用非入侵的方式在待检测应用中通过添加相应逻辑的方式来添加代码埋点,不用修改待检测应用源码,接入成本低,使用简单更容易管理和维护。同时本方案不需要配置运营任何一条规则,能获取到正确的用户请求,精确度高误报少。
主权项:1.一种垂直越权检测方法,其特征在于,包括以下步骤:待检测应用接收不同权限的用户请求,基于每一用户请求创建用户请求的上下文对象,所述用户请求的请求参数存入所述上下文对象,生成第一上下文对象;所述待检测应用对所述用户请求进行响应,以计算得到请求结果,所述请求结果存入所述第一上下文对象,生成用户的访问数据并保存至数据库;从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权;其中,从所述数据库获取所述用户的访问数据,以计算得到仅限于高权限用户的地址集合,具体包括以下步骤:从所述用户的访问数据中获取请求结果为成功状态的高权限用户的请求访问地址,生成高权用户请求地址列表集合;从所述用户的访问数据中获取请求结果为成功状态的低权限用户的请求访问地址,生成低权用户请求地址列表集合;计算所述高权用户请求地址列表集合和所述低权用户请求地址列表集合的差集,所述差集为仅限于高权限用户的地址集合;通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,基于访问的请求返回状态判断是否存在垂直越权,具体包括以下步骤:通过低权限用户访问仅限于高权限用户的地址集合中的访问地址,若访问的请求返回状态是失败,则访问不存在垂直越权漏洞;若访问的请求返回状态是成功,则访问存在垂直越权漏洞。
全文数据:
权利要求:
百度查询: 杭州默安科技有限公司 一种垂直越权检测方法、系统、设备及存储介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。