(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113779585A(43)申请公布日2021.12.10(21)申请号202110003407.X(22)申请日2021.01.04(71)申请人北京沃东天骏信息技术有限公司地址100176北京市大兴区北京经济技术开发区科创十一街18号院2号楼4层A402室申请人北京京东世纪贸易有限公司(72)发明人王伟张超司琛芝(74)专利代理机构中国贸促会专利商标事务所有限公司11038代理人许蓓(51)Int.Cl.G06F21/57(2013.01)G06F21/60(2013.01)权利要求书3页说明书7页附图3页(54)发明名称越权漏洞检测方法和装置(57)摘要本公开提出一种越权漏洞检测方法和装置，涉及网络安全领域。该方法包括：捕获web应用的访问请求；收集所述访问请求涉及的数据库访问信息；捕获所述访问请求相应的访问响应；判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息，得到第一判断结果；判断所述访问请求的数据访问过程是否与预设的合规模型匹配，得到第二判断结果；根据所述第一判断结果和所述第二判断结果，确定是否存在越权漏洞。在web应用访问过程中，自动捕获和收集相关的访问信息，根据访问信息是否包括敏感信息和访问过程是否与合规模型匹配的判定结果，确定web应用访问过程是否存在越权漏洞，从而实现一种能够自动检测的通用性好的越权漏洞检测方案。CN113779585ACN113779585A权利要求书1/3页1.一种越权漏洞检测方法，其特征在于，包括：捕获web应用的访问请求；收集所述访问请求涉及的数据库访问信息；捕获所述访问请求相应的访问响应；判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息，得到第一判断结果；判断所述访问请求的数据访问过程是否与预设的合规模型匹配，得到第二判断结果；根据所述第一判断结果和所述第二判断结果，确定是否存在越权漏洞。2.根据权利要求1所述的方法，其特征在于，捕获web应用的访问请求包括：获取所述访问请求的对象，基于所述访问请求的对象创建所述访问请求的实例，所述访问请求的实例的地址设置为越权漏洞检测的检测器的地址。3.根据权利要求1所述的方法，其特征在于，收集所述访问请求涉及的数据库访问信息包括：基于hook技术记录所述访问请求涉及的数据库操作命令详情、代码执行上下文和返回值详情；基于修改的数据库连接函数记录数据库元数据信息，其中，所述修改的数据库连接函数在原始数据库连接操作之后插入数据库元数据信息查询命令。4.根据权利要求1所述的方法，其特征在于，捕获所述访问请求相应的访问响应包括：通过访问请求的头部和访问响应的头部增设的键值对标识，识别并获取获所述访问请求相应的访问响应；获取所述访问响应的对象，基于所述访问响应的对象创建所述访问响应的实例，所述访问响应的实例的地址设置为越权漏洞检测的检测器的地址。5.根据权利要求1所述的方法，其特征在于，判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息包括：将所述访问请求、所述访问响应和所述数据库访问信息的参数列表与数据库元数据信息相关联；将相关联的数据库元数据信息与预设的敏感信息进行匹配，如果匹配，判定包括敏感信息，并输出与预设的敏感信息匹配的数据库元数据信息相关联的参数，如果不匹配，判定不包括敏感信息。6.根据权利要求1所述的方法，其特征在于，判断所述访问请求的数据访问过程是否与预设的合规模型匹配包括：判断所述访问请求的数据访问过程是否符合合规模型约束的标准访问流程和标准访问流程应当涉及的标准参数；如果均符合，判定匹配，如果任意一项不符合，判定不匹配。7.根据权利要求1所述的方法，其特征在于，根据所述第一判断结果和所述第二判断结果，确定是否存在越权漏洞包括：如果包括预设的敏感信息、且与预设的合规模型不匹配，确定存在越权漏洞；如果不包括预设的敏感信息、且与预设的合规模型匹配，确定不存在越权漏洞；如果包括预设的敏感信息、或与预设的合规模型不匹配，确定存在越权漏洞的风险。2CN113779585A权利要求书2/3页8.根据权利要求3所述的方法，其特征在于，通过hookMethod方法的insertAfter操作修改数据库连接函数。9.根据权利要求1‑8任一项所述的方法，其特征在于，由设置于web应用系统的代理执行：捕获web应用的访问请求；收集所述访问请求涉及的数据库访问信息；捕获所述访问请求相应的访问响应；由越权漏洞检测的检测器执行：判断所述访问请求、所述访问响应和所述数据库访问信息中是否包括预设的敏感信息，得到第一判断结果；判断所述访问请求的数据访问过程是否与预设的合规模型匹配，得到第二判断结果；根据所述第一判断结果和