(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114357460A(43)申请公布日2022.04.15(21)申请号202111633813.0(22)申请日2021.12.28(71)申请人中国农业银行股份有限公司地址100005北京市东城区建国门内大街69号(72)发明人刘爽吴殿丞张健延安董华(74)专利代理机构北京同立钧成知识产权代理有限公司11205代理人朱颖臧建明(51)Int.Cl.G06F21/57(2013.01)权利要求书2页说明书10页附图5页(54)发明名称漏洞检测方法、装置、设备及存储介质(57)摘要本申请提供一种漏洞检测方法、装置、设备及存储介质，其中漏洞检测方法包括：通过获取第一用户访问待检测应用的数据请求以及数据请求对应的请求结果；基于数据请求生成测试请求，并向待检测应用发起该测试请求，其中测试请求与数据请求携带的信息不同；在接收到待检测应用针对测试请求的测试结果后，通过比对测试结果与请求结果，确定待检测应用是否存在漏洞。通过上述方法提高漏洞检测的检测效率和准确率。CN114357460ACN114357460A权利要求书1/2页1.一种漏洞检测方法，其特征在于，包括：获取第一用户访问待检测应用的数据请求以及所述数据请求对应的请求结果；基于所述数据请求生成测试请求，所述测试请求与所述数据请求中携带的信息不同；获取所述待检测应用针对所述测试请求的测试结果；根据所述测试结果以及所述请求结果，确定所述待检测应用是否存在漏洞。2.根据权利要求1所述的方法，其特征在于，所述测试请求与所述数据请求中携带的信息不同，包括：所述测试请求与所述数据请求中携带的用户认证信息不同；或者，所述数据请求中携带用户认证信息，所述测试请求中未携带用户认证信息。3.根据权利要求1所述的方法，其特征在于，所述基于所述数据请求生成测试请求，包括：将剔除所述第一用户的身份认证信息的数据请求作为所述测试请求。4.根据权利要求1所述的方法，其特征在于，若所述测试请求与所述数据请求中携带的用户认证信息不同，所述基于所述数据请求生成测试请求，包括：从数据库的用户权限记录中获取第一用户的权限信息；从所述数据库的用户认证记录中获取与所述第一用户的权限信息相同的第二用户的身份认证信息；将所述数据请求中的所述第一用户的身份认证信息替换为所述第二用户的身份认证信息，生成所述测试请求。5.根据权利要求1所述的方法，其特征在于，若所述测试请求与所述数据请求中携带的用户认证信息不同，所述基于所述数据请求生成测试请求，包括：从数据库的用户权限记录中获取所述第一用户的权限信息；从所述数据库的用户认证记录中获取与所述第一用户的权限信息不同的第三用户的身份认证信息；将所述数据请求中的所述第一用户的身份认证信息替换为所述第三用户的身份认证信息，生成所述测试请求。6.根据权利要求1‑5任一项所述的方法，其特征在于，所述获取所述待检测应用针对所述测试请求的测试结果，包括：向所述待检测应用发起所述测试请求；接收所述待检测应用返回的所述测试结果。7.根据权利要求1‑5任一项所述的方法，其特征在于，所述根据所述测试结果以及所述请求结果，确定所述待检测应用是否存在漏洞，包括：若所述测试结果与所述请求结果一致，确定所述待检测应用存在漏洞。8.一种漏洞检测装置，其特征在于，包括：获取模块，用于获取第一用户访问待检测应用的数据请求以及所述数据请求对应的请求结果；处理模块，用于基于所述数据请求生成测试请求，所述测试请求与所述数据请求中携带的信息不同；所述获取模块，用于获取所述待检测应用针对所述测试请求的测试结果；2CN114357460A权利要求书2/2页所述处理模块，用于根据所述测试结果以及所述请求结果，确定所述待检测应用是否存在漏洞。9.一种电子设备，其特征在于，包括：存储器；处理器；以及计算机程序；其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如权利要求1‑7中任一项所述的方法。10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器执行以实现如权利要求1‑7中任一项所述的方法。3CN114357460A说明书1/10页漏洞检测方法、装置、设备及存储介质技术领域[0001]本申请涉及信息安全技术领域，尤其涉及一种漏洞检测方法、装置、设备及存储介质。背景技术[0002]全球局域网web应用的逻辑漏洞是近年来出现的一种新型漏洞，与传统的结构化查询语言(StructuredQueryLanguage，SQL)注入、文件上传等漏洞不同，这种漏洞是开发者的思维逻辑出现错误，攻击者通过篡改业务流程和超文本传输协议(HyperTextTransferProtocol，HTTP)请求，发起恶意攻击从而避开各种