本發(fā)明公開了一種檢測web應用越權的方法及系統(tǒng)，其中，方法包括如下步驟：S1)、通過兩個不同的用戶賬號登陸待檢測應用程序，并遍歷應用程序中的所有功能；S2)、收集并記錄當前瀏覽器的所有請求信息和響應信息，從而形成request表和reponse表；S3)、將分別與兩個用戶所對應的請求中的要素彼此作全部或部分替換，形成水平和/或垂直權限請求回放記錄表；S4)、回放替換后的請求，生成回放響應表；S5)、對比reponse表和回放響應表，得出響應相似度。由此可知，通過上述檢測方法，不需要了解應用程序的所有接口，即可分析系統(tǒng)是否存在越權漏洞，屬于半自動方式檢測，另外，基于替換請求要素然后計算響應相似度的方式來檢測是否存在越權漏洞，準確率高。

技術領域

本發(fā)明涉及web應用越權檢測技術領域，尤其涉及一種基于請求參數(shù)替換的檢測web應用越權的方法及系統(tǒng)。

背景技術

越權缺陷漏洞是web應用常見的業(yè)務邏輯漏洞之一，也是現(xiàn)在很多公司比較看重的，它的形成原因是由于服務器端對客戶端的數(shù)據(jù)操作請求過分信任，忽略了對該用戶操作權限的判定。越權缺陷漏洞包括有水平越權和垂直越權，水平越權也叫橫向越權，指的是攻擊者嘗試訪問與他擁有相同權限的用戶的資源，垂直越權也叫縱向越權，指的是一個低級別攻擊者嘗試訪問高級別用戶的資源。由于這種越權操作的判定和檢測依賴于業(yè)務邏輯，所以在檢測的時候不同于其他的漏洞檢測，情況會很復雜，對于垂直越權的場景來說，不同的客戶會有不同的權限組織結構，不能用統(tǒng)一的級別角色來做檢測依據(jù)；對于水平越權的場景來說，不同的客戶會有不同的資源，對資源的保護也不一樣，所以無法統(tǒng)一規(guī)范資源，從而無法判斷是否越權訪問資源。正是由于這種和業(yè)務邏輯緊密關聯(lián)在一起的特性，導致現(xiàn)在幾乎沒有一個很好的完美解決水平垂直越權的檢測產(chǎn)品和工具。

現(xiàn)在很多公司對產(chǎn)品的越權權限漏洞的檢測，主要還是依賴公司內(nèi)部安全測試團隊依據(jù)公司自己的業(yè)務邏輯手動測試產(chǎn)品的垂直越權和水平越權行為，比如根據(jù)研發(fā)團隊提供的接口說明以及角色說明文檔，然后在頁面通過切換角色查看不同的數(shù)據(jù)，然后通過抓包工具訪問接口的時候，替換相同角色不同用戶所專屬的參數(shù)，這個參數(shù)可能是研發(fā)團隊提供的，也有可能是根據(jù)接口參數(shù)說明猜出來的，整個測試雖然可能有效，但是第一由于手動，導致安全團隊測試的效率低下，而且由于頻繁的需要和研發(fā)團隊溝通，所以會增加團隊間的溝通成本。另外市場上還有一些自動化測試的工具，實現(xiàn)原理其實就是對比相同的接口，通過更換不同的cookie的方案，查看是否有越權的行為，這種方法雖然能解決一部分問題，但還是遠遠不夠，對于復雜參數(shù)的接口，可能就無法測試出來。

發(fā)明內(nèi)容

本發(fā)明的目的是為解決上述技術問題不足而提供一種在實現(xiàn)自動化檢測的同時并且能夠極大提高測試的準確度和覆蓋度的檢測web應用越權的方法。

本發(fā)明的另一目的是為解決上述技術問題不足而提供一種在實現(xiàn)自動化檢測的同時并且能夠極大提高測試的準確度和覆蓋度的檢測web應用越權的系統(tǒng)。

為了實現(xiàn)上述目的，本發(fā)明公開了一種檢測web應用越權的方法，其包括如下步驟：

S1)、通過兩個不同的用戶賬號登陸待檢測應用程序，并遍歷所述應用程序中的所有功能；

S2)、收集并記錄當前瀏覽器的所有請求信息和響應信息，從而形成request表和reponse表，并根據(jù)為所述應用程序的各個用戶角色配置的用戶信息，形成請求、角色和用戶的對應關系關聯(lián)表；

S3)、當所述步驟1中的兩個用戶賬號屬于同一角色時，根據(jù)所述關聯(lián)表，將分別與兩個用戶所對應的請求中的參數(shù)彼此作全部或部分替換，將替換后的請求進行存儲，形成水平權限請求回放記錄表；

當所述步驟1中的兩個用戶賬號分別屬于兩個角色時，根據(jù)所述關聯(lián)表，將分別與兩個用戶所對應的請求的主體作彼此替換，且參數(shù)作全部或部分替換，將替換后的請求進行存儲，形成垂直權限請求回放記錄表；