[發(fā)明專利]一種漏洞檢測方法、裝置及終端設備有效
| 申請?zhí)枺?/td> | 201810596994.6 | 申請日: | 2018-06-11 |
| 公開(公告)號: | CN110581835B | 公開(公告)日: | 2022-04-12 |
| 發(fā)明(設計)人: | 季凡 | 申請(專利權)人: | 阿里巴巴集團控股有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京博思佳知識產(chǎn)權代理有限公司 11415 | 代理人: | 林祥 |
| 地址: | 英屬開曼群島大開*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 漏洞 檢測 方法 裝置 終端設備 | ||
1.一種漏洞檢測方法,其特征在于,應用于客戶端,該方法包括:
向服務器發(fā)送第一請求,接收服務器返回的針對所述第一請求的第一響應;
利用所述第一請求構造第二請求,并向所述服務器發(fā)送所述第二請求;其中,所述第二請求中攜帶的用戶令牌與所述第一請求中攜帶的用戶令牌不同,且所述第二請求中攜帶的訪問信息與所述第一請求中攜帶的訪問信息相同;
接收所述服務器返回的針對所述第二請求的第二響應;
根據(jù)所述第二響應檢測所述服務器是否存在越權漏洞;
其中,所述根據(jù)所述第二響應檢測所述服務器是否存在越權漏洞的過程,具體包括:若所述第一響應中攜帶用戶隱私信息,且所述第二響應中攜帶用戶隱私信息,則比較所述第二響應中攜帶的用戶隱私信息與所述第一響應中攜帶的用戶隱私信息是否匹配;如果是,則確定所述服務器存在越權漏洞。
2.根據(jù)權利要求1所述的方法,其特征在于,
所述利用所述第一請求構造第二請求的過程,具體包括:
若所述第一響應中攜帶用戶隱私信息,則利用所述第一請求構造第二請求。
3.根據(jù)權利要求1或2所述的方法,其特征在于,所述第一請求攜帶第一用戶令牌和訪問信息,所述利用所述第一請求構造第二請求的過程,具體包括:
獲取第二用戶令牌,并從所述第一請求中獲取出所述訪問信息,并構造包括所述第二用戶令牌和所述訪問信息的第二請求;或者,
獲取第二用戶令牌,并將所述第一請求中的第一用戶令牌修改為所述第二用戶令牌,以得到包括所述第二用戶令牌和所述訪問信息的第二請求。
4.根據(jù)權利要求3所述的方法,其特征在于,
所述獲取第二用戶令牌之前,所述方法還包括:
在所述客戶端通過第一身份信息訪問所述服務器時,從所述服務器獲得第一用戶令牌,并將所述第一用戶令牌存儲在所述客戶端對應的第一空間;
在所述客戶端通過第二身份信息訪問所述服務器時,從所述服務器獲得第二用戶令牌,并將所述第二用戶令牌存儲在所述客戶端對應的第二空間。
5.根據(jù)權利要求1所述的方法,其特征在于,所述方法還包括:
若所述第一響應中攜帶與正則表達式匹配的信息,則將與正則表達式匹配的信息確定為所述第一響應中攜帶的用戶隱私信息;
若所述第二響應中攜帶與正則表達式匹配的信息,則將與正則表達式匹配的信息確定為所述第二響應中攜帶的用戶隱私信息;
其中,所述正則表達式用于識別用戶隱私信息。
6.根據(jù)權利要求1所述的方法,其特征在于,所述方法還包括:
若所述服務器存在越權漏洞,向用戶提示所述服務器存在越權漏洞的信息。
7.一種漏洞檢測裝置,其特征在于,應用于客戶端,該裝置包括:
發(fā)送模塊,用于向服務器發(fā)送第一請求;
接收模塊,用于接收所述服務器返回的針對所述第一請求的第一響應;
構造模塊,用于利用所述第一請求構造第二請求,其中,所述第二請求中攜帶的用戶令牌與所述第一請求中攜帶的用戶令牌不同,且所述第二請求中攜帶的訪問信息與所述第一請求中攜帶的訪問信息相同;
所述發(fā)送模塊,還用于向所述服務器發(fā)送所述第二請求;
所述接收模塊,還用于接收服務器返回的針對所述第二請求的第二響應;
檢測模塊,用于根據(jù)所述第二響應檢測所述服務器是否存在越權漏洞;
所述檢測模塊,具體用于在根據(jù)所述第二響應檢測所述服務器是否存在越權漏洞的過程中,若所述第一響應中攜帶用戶隱私信息,且所述第二響應中攜帶用戶隱私信息,則比較所述第二響應中攜帶的用戶隱私信息與所述第一響應中攜帶的用戶隱私信息是否匹配;如果是,則確定所述服務器存在越權漏洞。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于阿里巴巴集團控股有限公司,未經(jīng)阿里巴巴集團控股有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810596994.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
