一种越权漏洞检测方法和设备与流程

本发明涉及漏洞检测，具体涉及一种越权漏洞检测方法和设备。

背景技术：

1、越权漏洞正在泄露你的隐私。作为一种很常见的逻辑安全漏洞，越权漏洞的危害和影响与对应业务的重要性成正相关。如果存在平行越权的话，就可以查看所有用户的敏感信息，造成严重的信息泄漏风险。而传统的越权测试需要测试人员手动替换用户cookie或通过工具burpsuite等抓包工具替换cookie后进行人工操作业务流程进行不可重复利用的越权漏洞测试。

2、现有技术中，只能通过手动替换用户cookie和手动替换需要测试的接口进行越权漏洞测试，检测效率低。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种越权漏洞检测方法和设备，以克服目前只能通过手动替换用户cookie和手动替换需要测试的接口进行越权漏洞测试，检测效率低的问题。

2、为实现以上目的，本发明采用如下技术方案：

3、一方面，本申请提供了一种越权漏洞检测方法，包括：

4、获取用户的cookie，并将所述cookie存储在参数化文件中；

5、获取系统接口集合和jmeter脚本；

6、根据所述系统接口集合配置所述jmeter脚本，并通过所述参数化文件对所述jmeter脚本进行cookie参数化；

7、以所述用户中预先标注的权限最低用户的cookie访问所述系统接口集合中的每个接口，并获取响应报文；

8、根据所述jmeter脚本，以所述权限最低用户cookie的响应报文为断言结果，执行所述jmeter脚本，除所述权限最低用户外其他用户cookie分别执行访问所述系统接口集合中的每个接口，并获取相应的执行结果；

9、根据所述系统接口集合中各接口的所述断言结果和所述执行结果，检测对应所述接口是否存在越权漏洞。

10、进一步的，以上所述的方法，所述用户的cookie，包括：有效的普通权限用户的cookie、无效的普通权限用户的cookie和有效的高级别权限用户的cookie。

11、进一步的，以上所述的方法，所述用户中权限最低的用户cookie包括：有效的普通权限用户cookie或无效的普通权限用户cookie。

12、进一步的，以上所述的方法，所述根据所述系统接口集合配置所述jmeter脚本，并通过所述参数化文件对所述jmeter脚本进行cookie参数化，包括：

13、根据所述系统接口集合，将所述系统接口集合中的所有接口配置到所述jmeter脚本中；

14、根据所述参数化文件中的cookie数量，判断所述用户数量；

15、根据所述用户数量修改所述jmeter脚本线程数。

16、进一步的，以上所述的方法，所述根据所述系统接口集合中各接口的所述断言结果和所述执行结果，检测对应所述接口是否存在越权漏洞，包括：

17、根据所述接口集合中相同接口中的所述断言结果和所述执行结果是否一致，判断对应所述接口是否存在越权漏洞。

18、另一方面，本申请还提供了一种越权漏洞检测设备，包括处理器和存储器，所述处理器与存储器相连：

19、其中，所述处理器，用于调用并执行所述存储器中存储的程序；

20、所述存储器，用于存储所述程序，所述程序至少用于执行以上任一项所述的方法。

21、本发明的有益效果为：

22、本申请通过获取用户的cookie，并将cookie存储在参数化文件中，获取系统接口集合和jmeter脚本，根据系统接口集合配置jmeter脚本，并通过参数化文件对jmeter脚本进行cookie参数化，以用户中预先标注的权限最低用户的cookie访问系统接口集合中的每个接口，并获取响应报文，根据jmeter脚本，以权限最低用户cookie的响应报文为断言结果，执行jmeter脚本，除权限最低用户外其他用户cookie分别执行访问系统接口集合中的每个接口，并获取相应的执行结果，根据系统接口集合中各接口的断言结果和执行结果，检测对应接口是否存在越权漏洞。本申请中，通过使用jmeter脚本进行接口测试，通过将需要测试的接口和进行测试的用户cookie配置到jmeter脚本中，执行jmeter脚本，便可以用户cookie中权限最低的用户cookie访问每个接口的响应报文为断言结果，循环遍历每个接口，根据相同接口中断言结果和除权限最低的用户cookie外其他用户cookie的访问结果判断当前接口是否存在越权漏洞，无需手动替换用户cookie和需要测试的接口，提高了测试效率。

技术特征：

1.一种越权漏洞检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述用户的cookie，包括：有效的普通权限用户的cookie、无效的普通权限用户的cookie和有效的高级别权限用户的cookie。

3.根据权利要求2所述的方法，其特征在于，所述权限最低用户的cookie包括：有效的普通权限用户的cookie或无效的普通权限用户的cookie。

4.根据权利要求2所述的方法，其特征在于，所述根据所述系统接口集合配置所述jmeter脚本，并通过所述参数化文件对所述jmeter脚本进行cookie参数化，包括：

5.根据权利要求2所述的方法，其特征在于，所述根据所述系统接口集合中各接口的所述断言结果和所述执行结果，检测对应所述接口是否存在越权漏洞，包括：

6.一种越权漏洞检测设备，其特征在于，包括处理器和存储器，所述处理器与存储器相连：

技术总结
本发明涉及漏洞检测技术领域，具体涉及一种越权漏洞检测方法和设备，其中，所述方法通过使用JMeter脚本进行接口测试，通过将需要测试的接口和进行测试的用户cookie配置到JMeter脚本中，执行JMeter脚本，便可以用户cookie中权限最低的用户cookie访问每个接口的响应报文为断言结果，循环遍历每个接口，根据相同接口中断言结果和除权限最低的用户cookie外其他用户cookie的访问结果判断当前接口是否存在越权漏洞，无需手动替换用户cookie和需要测试的接口，提高了测试效率。

技术研发人员：胡彦全
受保护的技术使用者：上海中通吉网络技术有限公司
技术研发日：
技术公布日：2024/1/13