(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111125713A(43)申请公布日2020.05.08(21)申请号201911306652.7(22)申请日2019.12.18(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人曹世杰赵豪(74)专利代理机构北京国昊天诚知识产权代理有限公司11315代理人许振新(51)Int.Cl.G06F21/57(2013.01)权利要求书3页说明书9页附图2页(54)发明名称一种水平越权漏洞的检测方法、装置及电子设备(57)摘要本说明书实施例提供一种水平越权漏洞的检测方法、装置及电子设备。方法包括：在目标移动应用中，基于第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求，其中，至少一个第二账户身份发起的业务请求是将第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的。确定账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度，从而判断目标移动应用是否存在水平越权漏洞。CN111125713ACN111125713A权利要求书1/3页1.一种水平越权漏洞的检测方法，包括：在目标移动应用中，基于所述第一账户身份和至少一个第二账户身份发起指定账户权限操作的业务请求，其中，所述至少一个第二账户身份发起的业务请求是将所述第一账户身份发起的业务请求中的签名信息替换为第二账户身份的签名信息得到的；基于所述第一账户身份和至少一个第二账户身份发起的业务请求，确定账户身份不同对业务请求中的请求参数的差异性影响系数；基于所述第一账户身份和至少一个第二账户身份发起的业务请求所获得的业务反馈结果，确定账户身份不同对业务反馈结果中的反馈参数的差异性影响系数，以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度；基于账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度，确定所述目标移动应用是否存在水平越权漏洞。2.根据权利要求1所述的方法，基于所述第一账户身份和至少一个第二账户身份发起的业务请求，确定账户身份不同对业务请求中的请求参数的差异性影响系数，包括：基于所述第一账户身份和至少一个第二账户身份的账户身份的账户身份总数量与所有业务请求经请求参数去重后的数量的比值，确定账户身份不同对业务请求中的请求参数的差异性影响系数。3.根据权利要求1所述的方法，基于所述第一账户身份和至少一个第二账户身份发起的业务请求所获得的业务反馈结果，包括：基于所述第一账户身份和至少一个第二账户身份的账户身份的账户身份总数量与所有业务反馈结果经反馈参数去重后的数量的比值，确定账户身份不同对业务反馈结果中的反馈参数的差异性影响系数。4.根据权利要求1所述的方法，基于所述第一账户身份和至少一个第二账户身份发起的业务请求所获得的业务反馈结果，确定所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度包括：对所述第一账户身份和至少一个第二账户身份发起的业务请求所获得的业务反馈结果的反馈参数进行阿拉伯数字编码，得到各业务反馈结果的阿拉伯数字表征值；对第一账户身份的业务反馈结果的反馈参数的阿拉伯数字表征值与至少一个第二账户身份的业务反馈结果的反馈参数的阿拉伯数字表征值进行相似度计算，确定所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度。5.根据权利要求1-4中任一项所述的方法，基于账户身份不同对业务请求中的请求参数的差异性影响系数、账户身份不同对业务反馈结果中的反馈参数的差异性影响系数以及所述第一账户身份的业务反馈结果的反馈2CN111125713A权利要求书2/3页参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度，确定所述目标移动应用是否存在水平越权漏洞，包括：若账户身份不同对业务请求中的请求参数的差异性影响系数小于账户身份不同对业务反馈结果中的反馈参数的差异性影响系数，且所述第一账户身份的业务反馈结果的反馈参数与所述至少一个第二账户身份的业务反馈结果的反馈参数之间的相似度达到预设相似度要求，则确定所述目标移动应用存在水平越权漏洞。6.根据权利要求1-4中任一项所述的方法，在目标移动应用中，基于所述第一账户身份和至少一个第二账