本申請提供一種漏洞檢測方法、裝置及終端設備，該方法包括：向服務器發送第一請求，接收服務器返回的針對所述第一請求的第一響應；利用所述第一請求構造第二請求，并向所述服務器發送所述第二請求；所述第二請求中攜帶的用戶令牌與所述第一請求中攜帶的用戶令牌不同，所述第二請求中攜帶的訪問信息與所述第一請求中攜帶的訪問信息相同；接收所述服務器返回的針對所述第二請求的第二響應；根據所述第二響應檢測所述服務器是否存在越權漏洞。通過本申請的技術方案，可以極大地提高越權漏洞的檢測效率。

技術領域

本申請涉及互聯網安全領域，尤其是一種漏洞檢測方法、裝置及終端設備。

背景技術

目前，在互聯網中普遍存在越權漏洞，如URL(Uniform Resource Locator，統一資源定位符)越權漏洞。由于web程序設計的缺陷，利用URL傳入參數的可猜測性，通過變更輸入參數值，就可能造成橫向越權訪問，拿到用戶的用戶隱私信息，導致用戶隱私信息的泄漏，普通用戶更成為信息泄露問題的受害者。

現有技術中，對越權漏洞的檢測方式主要是：測試人員人工檢測越權漏洞，這種方式對專業知識的依賴嚴重，不僅效率較低，耗費人力，而且普通用戶無法檢測某個網站是否存在越權漏洞，只能選擇信賴自己訪問的網站。

發明內容

本申請提供一種漏洞檢測方法，應用于客戶端，該方法包括：

向服務器發送第一請求，接收服務器返回的針對所述第一請求的第一響應；

利用所述第一請求構造第二請求，并向所述服務器發送所述第二請求；其中，所述第二請求中攜帶的用戶令牌與所述第一請求中攜帶的用戶令牌不同，且所述第二請求中攜帶的訪問信息與所述第一請求中攜帶的訪問信息相同；

接收所述服務器返回的針對所述第二請求的第二響應；

根據所述第二響應檢測所述服務器是否存在越權漏洞。

本申請提供一種漏洞檢測裝置，應用于客戶端，該裝置包括：

發送模塊，用于向服務器發送第一請求；

接收模塊，用于接收所述服務器返回的針對所述第一請求的第一響應；

構造模塊，用于利用所述第一請求構造第二請求，其中，所述第二請求中攜帶的用戶令牌與所述第一請求中攜帶的用戶令牌不同，且所述第二請求中攜帶的訪問信息與所述第一請求中攜帶的訪問信息相同；

所述發送模塊，還用于向所述服務器發送所述第二請求；

所述接收模塊，還用于接收服務器返回的針對所述第二請求的第二響應；

檢測模塊，用于根據所述第二響應檢測所述服務器是否存在越權漏洞。

本申請提供一種終端設備，所述終端設備包括：處理器和機器可讀存儲介質，所述機器可讀存儲介質存儲有能夠被所述處理器執行的機器可執行指令；所述處理器執行所述機器可執行指令時進行如下處理：

向服務器發送第一請求，接收服務器返回的針對所述第一請求的第一響應；

利用所述第一請求構造第二請求，并向所述服務器發送所述第二請求；其中，所述第二請求中攜帶的用戶令牌與所述第一請求中攜帶的用戶令牌不同，且所述第二請求中攜帶的訪問信息與所述第一請求中攜帶的訪問信息相同；

接收所述服務器返回的針對所述第二請求的第二響應；

根據所述第二響應檢測所述服務器是否存在越權漏洞。

基于上述技術方案，本申請實施例中，將越權漏洞檢測功能普及到普通用戶，使得普通用戶在瀏覽網站時，可以發現該網站是否存在越權漏洞，繼而得知存儲在該網站的用戶隱私信息是否安全，上述方式不需要測試人員人工檢測越權漏洞，極大地提高越權漏洞的檢測效率，越權漏洞的檢測準確率高。