技術領域

本發明涉及網絡安全技術領域，具體地說是一種web應用縱向越權漏洞的半自動檢測方法及系統。

背景技術

在網絡安全領域，越權漏洞是web應用常見的業務邏輯漏洞之一。它的形成原因是由于服務器端對客戶端提出的數據訪問請求過分信任，忽略了對該用戶訪問權限的判定。傳統的人工越權漏洞檢測方法耗費時間較長，檢測人員需要進行大量的重復性工作，導致了檢測效率極為低下。一些web應用漏洞檢測商業工具如IBM的AppScan、Acunetix Web Vulnerability Scanner、HP的WebInspect等針對一些常規漏洞如XSS，SQL注入等有很完備的漏洞發現以及解決辦法，又比如公開的專利申請文件“201510728727.6”，名為“web訪問的越權漏洞檢測方法及裝置”中，給出了類似解決方案，但是它們對于某些由于Web應用業務邏輯上處理不當而產生的安全問題如越權問題欠缺發現能力。有些論文中描述的全自動越權漏洞檢測方式在不可重入數據訪問上并不適用，這里的不可重入是指web應用的某些數據操作具有不可重入性，例如網站管理員添加了一個用戶ID后再添加同名ID時需要先將原ID刪除。

基于上述問題，本發明提出了一種針對不可重入的數據操作的web應用縱向越權漏洞的半自動檢測技術。

發明內容

本發明的技術任務是針對以上不足之處，提供一種web應用縱向越權漏洞的半自動檢測方法及系統。

一種web應用縱向越權漏洞的半自動檢測方法，其實現過程為：將高權限用戶的HTTP請求中的用戶身份信息替換為低權限用戶的用戶身份信息，并將修改過的HTTP請求的響應信息與原HTTP請求的響應信息作比對，通過差異定位漏洞位置，所述高權限用戶是指具有所有操作權限的用戶，低權限用戶是指具有部分操作權限的用戶。

在將高權限用戶身份信息替換為低權限用戶身份信息前，首先登錄該高權限用戶，即在開始檢測前，首先登錄具有所有操作權限的賬戶，然后發起數據訪問HTTP的請求并攔截請求包。

所述登錄該高權限用戶的過程為：首先在瀏覽器中使用具有所有操作權限的用戶登錄待測Web系統，然后配置記錄日志，完成所有HTTP請求操作，將對應的HTTP請求及響應信息即記錄在日志文件中，保持登錄狀態并關閉日志記錄。

所述高權限用戶登錄的瀏覽器為包括IE的瀏覽器，并在瀏覽器中通過掛代理工具burpsuite配置記錄日志，在IE瀏覽器中進行所有操作后，將對應的HTTP請求及響應信息即記錄在日志文件中，然后關閉HTTP代理工具，并保持登錄狀態，最后關閉日志記錄。

在將所有權限賬戶的身份信息替換為部分權限賬戶的身份信息時，首先使用另一瀏覽器登錄該部分權限賬戶，然后用該部分權限賬戶的身份信息替換所有權限賬戶的身份信息，發送修改后的HTTP請求，對比HTTP請求與修改后的HTTP請求的響應，標記出越權漏洞位置。

所述另一瀏覽器采用包括Google Chrome的瀏覽器，在登錄時，部分權限賬戶通過該瀏覽器登錄待測Web系統，記錄HTTP請求中的身份信息后保持登錄狀態，該身份信息包括cookie、token或請求參數中的身份相關參數項。

用部分權限賬戶的身份信息替換所有權限賬戶的身份信息的過程為：使用腳本工具將日志文件中的重復項和非待測系統HTTP請求項刪除，然后用部分權限賬戶的身份信息替換日志文件所有HTTP請求中的所有權限用戶的對應參數項，并發送修改過的HTTP請求。

一種web應用縱向越權漏洞的半自動檢測系統，包括，

第一登錄模塊，用于發起高權限用戶數據訪問HTTP請求并攔截請求包，所述高權限用戶是指具有所有操作權限的用戶；

第二登錄模塊，用于發起低權限用戶數據訪問并復制其信息，所述低權限用戶是指具有部分操作權限的用戶；

替換模塊，用于將高權限用戶的HTTP請求中的用戶身份信息替換為低權限用戶的用戶身份信息；

對比模塊，并將修改過的HTTP請求的響應信息與原HTTP請求的響應信息作比對，通過差異定位漏洞位置。

所述第一登錄模塊中配置有瀏覽器模塊、日志模塊，其中，

瀏覽器模塊用于高權限用戶登錄待測Web系統，該瀏覽器為IE瀏覽器，并在瀏覽器中通過掛代理工具burpsuite配置記錄日志模塊；

日志模塊用于在IE瀏覽器中進行所有操作后，將對應的HTTP請求及響應信息即記錄在日志文件中，且該日志模塊在關閉HTTP代理工具后關閉。