1.一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，其實現過程為：將高權限用戶的HTTP請求中的用戶身份信息替換為低權限用戶的用戶身份信息，并將修改過的HTTP請求的響應信息與原HTTP請求的響應信息作比對，通過差異定位漏洞位置，所述高權限用戶是指具有所有操作權限的用戶，低權限用戶是指具有部分操作權限的用戶。

2.根據權利要求1所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，在將高權限用戶身份信息替換為低權限用戶身份信息前，首先登錄該高權限用戶，即在開始檢測前，首先登錄具有所有操作權限的賬戶，然后發起數據訪問HTTP的請求并攔截請求包。

3.根據權利要求1或2所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，所述登錄高權限用戶的過程為：首先在瀏覽器中使用具有所有操作權限的用戶登錄待測Web系統，然后配置記錄日志，完成所有HTTP請求操作，將對應的HTTP請求及響應信息即記錄在日志文件中，保持登錄狀態并關閉日志記錄。

4.根據權利要求1或2所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，所述高權限用戶登錄的瀏覽器為包括IE的瀏覽器，并在瀏覽器中通過掛代理工具burpsuite配置記錄日志，在IE瀏覽器中進行所有操作后，將對應的HTTP請求及響應信息即記錄在日志文件中，然后關閉HTTP代理工具，并保持登錄狀態，最后關閉日志記錄。

5.根據權利要求1所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，在將所有權限賬戶的身份信息替換為部分權限賬戶的身份信息時，首先使用另一瀏覽器登錄該部分權限賬戶，然后用該部分權限賬戶的身份信息替換所有權限賬戶的身份信息，發送修改后的HTTP請求，對比HTTP請求與修改后的HTTP請求的響應，標記出越權漏洞位置。

6.根據權利要求5所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，所述另一瀏覽器采用包括Google Chrome的瀏覽器，在登錄時，部分權限賬戶通過該瀏覽器登錄待測Web系統，記錄HTTP請求中的身份信息后保持登錄狀態，該身份信息包括cookie、token或請求參數中的身份相關參數項。

7.根據權利要求6所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，用部分權限賬戶的身份信息替換所有權限賬戶的身份信息的過程為：使用腳本工具將日志文件中的重復項和非待測系統HTTP請求項刪除，然后用部分權限賬戶的身份信息替換日志文件所有HTTP請求中的所有權限用戶的對應參數項，并發送修改過的HTTP請求。

8.一種web應用縱向越權漏洞的半自動檢測系統，其特征在于，包括，

第一登錄模塊，用于發起高權限用戶數據訪問HTTP請求并攔截請求包，所述高權限用戶是指具有所有操作權限的用戶；

第二登錄模塊，用于發起低權限用戶數據訪問并復制其信息，所述低權限用戶是指具有部分操作權限的用戶；

替換模塊，用于將高權限用戶的HTTP請求中的用戶身份信息替換為低權限用戶的用戶身份信息；

對比模塊，并將修改過的HTTP請求的響應信息與原HTTP請求的響應信息作比對，通過差異定位漏洞位置。

9.根據權利要求8所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，所述第一登錄模塊中配置有瀏覽器模塊、日志模塊，其中，

瀏覽器模塊用于高權限用戶登錄待測Web系統，該瀏覽器為IE瀏覽器，并在瀏覽器中通過掛代理工具burpsuite配置記錄日志模塊；

日志模塊用于在IE瀏覽器中進行所有操作后，將對應的HTTP請求及響應信息即記錄在日志文件中，且該日志模塊在關閉HTTP代理工具后關閉。

10.根據權利要求8所述的一種web應用縱向越權漏洞的半自動檢測方法，其特征在于，所述第二登錄模塊中配置有新瀏覽器模塊，該新瀏覽器模塊用于登錄低權限賬戶，在登錄時，低權限賬戶通過新瀏覽器模塊登錄待測Web系統，記錄HTTP請求中的身份信息后保持登錄狀態，該身份信息包括cookie、token或請求參數中的身份相關參數項；最后再由替換模塊將低權限賬戶的身份信息替換日志模塊所有HTTP請求中的高權限用戶的對應參數項，并發送修改過的HTTP請求。