接口的安全探测方法、装置、电子设备和存储介质与流程

本发明涉及通信，尤其涉及一种接口的安全探测方法、装置、电子设备和存储介质。

背景技术：

1、随着微服务及云服务的普及，各种研发的系统及系统能力通过服务接口的形式暴露在互联网，给用户提供便利的系统能力，但在这些能力暴露的时候，有些接口经过严谨的用户会话校验及跨用户权限安全测试，但有些接口在设计时并未做会话校验或防止跨用户权限校验，而这些接口也暴露在了不安全的外网环境，会造成用户信息泄露，具有损害企业经济利益的风险；

2、无会话校验安全问题是指接口对用户的会话信息进行校验，确定会话信息是否是正确的会话，防止未经授权的情况下，就访问接口。

3、跨用户权限安全问题是指接口在用户访问或者操作数据之前，校验用户的授权信息，例如a用户的授权会话，只能访问或操作a用户的权限内的数据，而不能通过a用户的授权会话，访问到不在a权限归属内的数据。

4、一旦研发人员不注意将未经会话校验的接口暴露在外网或者允许用户访问没有权限的数据，就造成不必要的数据泄露及用户安全问题。

5、上述接口的安全问题，通过代码评审，规范要求等流程化的软约束很难完全避免接口的安全风险。需要找到一种方法，能够自动识别系统中潜在的不安全接口。

技术实现思路

1、本发明提供一种接口的安全探测方法、装置、电子设备和存储介质，用以解决自动识别系统的不安全接口的问题，通过确定探测请求，以对待探测接口进行探测，丰富了对待探测接口进行探测的手段；基于目标响应结果确定待探测接口的安全风险，实现了自动识别不安全接口。

2、第一方面，本发明提供一种接口的安全探测方法，包括：

3、确定待探测接口列表；

4、从所述待探测接口列表中选择一个待探测接口，并获取所述待探测接口的目标响应结果，所述目标响应结果是所述待探测接口基于指定请求得到的返回结果；

5、获取网关拦截的访问请求，修改所述访问请求中的会话信息得到探测请求，基于所述探测请求和所述目标响应结果对所述待探测接口进行探测。

6、根据本发明提供的一种接口的安全探测方法，所述修改所述访问请求中的会话信息得到探测请求，包括：

7、置空所述会话信息，得到所述探测请求；

8、随机生成所述会话信息，得到所述探测请求；

9、将所述会话信息替换为测试用户的所述会话信息，得到所述探测请求。

10、根据本发明提供的一种接口的安全探测方法，所述基于所述探测请求和所述目标响应结果对所述待探测接口进行探测，包括：

11、当将所述会话信息置空，或者随机生成所述会话信息，以得到所述探测请求时，将所述探测请求输入所述待探测接口；

12、当所述待探测接口输出的探测返回结果与所述目标响应结果相同时，确定所述待探测接口存在未校验用户会话风险。

13、根据本发明提供的一种接口的安全探测方法，所述基于所述探测请求和所述目标响应结果对所述待探测接口进行探测，包括：

14、当将所述会话信息替换为测试用户的会话信息，以得到所述探测请求时，将所述探测请求输入所述待探测接口；

15、当所述待探测接口输出的探测返回结果与所述目标响应结果相同时，确定所述待探测接口存在跨用户权限安全风险。

16、根据本发明提供的一种接口的安全探测方法，所述将所述探测请求输入所述待探测接口，包括：

17、当网关对所述会话信息进行会话校验时，将所述会话信息对应的数据包的头部输入所述待探测接口；

18、当网关对所述会话信息不进行会话校验时，将所述会话信息存储于目标文件中，将所述目标文件输入所述待探测接口。

19、根据本发明提供的一种接口的安全探测方法，所述确定待探测接口列表，包括：

20、根据统一资源定位器url路径对外网接口进行分类，得到至少一种类型的外网接口，其中，同种类型的外网接口的url路径相同；

21、基于至少一种类型的外网接口，确定待探测接口列表。

22、根据本发明提供的一种接口的安全探测方法，确定待探测接口列表之后，还包括：

23、当网关对会话信息进行会话校验时，基于网关自动记录的外网接口的访问记录确定白名单接口；

24、剔除所述白名单接口和预设的静态资源类型接口

25、第二方面，本发明还提供一种接口的安全探测装置，包括：

26、确定模块，用于确定待探测接口列表；

27、响应模块，用于从所述待探测接口列表中选择任一个待探测接口，并获取所述待探测接口的目标响应结果，所述目标响应结果是所述待探测接口基于指定请求得到的返回结果；

28、探测模块，用于获取网关拦截的访问请求，修改所述访问请求中的会话信息得到探测请求，基于所述探测请求和所述目标响应结果对所述待探测接口进行探测。

29、第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述接口的安全探测方法。

30、第四方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述接口的安全探测方法。

31、本发明提供的接口的安全探测方法、装置、电子设备和存储介质，通过确定待探测接口列表；从所述待探测接口列表中选择一个待探测接口，并获取所述待探测接口的目标响应结果，所述目标响应结果是所述待探测接口基于指定请求得到的返回结果；获取网关拦截的访问请求，修改所述访问请求中的会话信息得到探测请求，基于所述探测请求和所述目标响应结果对所述待探测接口进行探测。本发明通过确定探测请求，以对待探测接口进行探测，丰富了对待探测接口进行探测的手段；基于目标响应结果确定待探测接口的安全风险，实现了自动识别不安全接口。

技术特征：

1.一种接口的安全探测方法，其特征在于，包括：

2.根据权利要求1所述的接口的安全探测方法，其特征在于，所述修改所述访问请求中的会话信息得到探测请求，包括：

3.根据权利要求2所述的接口的安全探测方法，其特征在于，所述基于所述探测请求和所述目标响应结果对所述待探测接口进行探测，包括：

4.根据权利要求2所述的接口的安全探测方法，其特征在于，所述基于所述探测请求和所述目标响应结果对所述待探测接口进行探测，包括：

5.根据权利要求3-4任一项所述的接口的安全探测方法，其特征在于，所述将所述探测请求输入所述待探测接口，包括：

6.根据权利要求1所述的接口的安全探测方法，其特征在于，所述确定待探测接口列表，包括：

7.根据权利要求1所述的接口的安全探测方法，其特征在于，确定待探测接口列表之后，还包括：

8.一种接口的安全探测装置，其特征在于，包括：

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述接口的安全探测方法。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述接口的安全探测方法。

技术总结
本发明涉及通信技术领域，提供一种接口的安全探测方法、装置、电子设备和存储介质，该方法包括：确定待探测接口列表；从待探测接口列表中选择一个待探测接口，并获取待探测接口的目标响应结果，目标响应结果是待探测接口基于指定请求得到的返回结果；获取网关拦截的访问请求，修改访问请求中的会话信息得到探测请求，基于探测请求和目标响应结果对待探测接口进行探测。本发明通过确定探测请求，以对待探测接口进行探测，丰富了对待探测接口进行探测的手段；基于目标响应结果确定待探测接口的安全风险，实现了自动识别不安全接口。

技术研发人员：甘崇志
受保护的技术使用者：吉旗（成都）科技有限公司
技术研发日：
技术公布日：2024/2/29