本發明公開了一種系統安全漏洞的檢測方法和裝置，涉及計算機技術領域。該方法的一具體實施方式包括：獲取針對待測系統的第一訪問請求，該第一訪問請求攜帶第一用戶的登錄狀態信息；對第一訪問請求數據包中的登錄憑證信息進行更改，生成針對待測系統的第一測試請求；向待測系統發送第一訪問請求和第一測試請求；比較待測系統針對第一訪問請求返回的第一響應與針對第一測試請求返回的第二響應，根據比較結果判斷待測系統中是否存在安全漏洞。該實施方式能夠準確檢測待測系統中存在的、因缺少對用戶登錄憑證進行驗證而產生的安全漏洞。

技術領域

本發明涉及計算機技術領域，尤其涉及一種系統安全漏洞的檢測方法和裝置。

背景技術

現有的Web應用系統中往往存在一種或多種安全漏洞，例如由于系統缺少對用戶相關權限的驗證，沒有權限的非法用戶能夠執行該權限內的業務功能，從而形成巨大的安全隱患。在目前的安全漏洞檢測方法中，無論是手工檢測還是自動化檢測均存在檢測準確性低的問題。

發明內容

有鑒于此，本發明實施例提供一種系統安全漏洞的檢測方法和裝置，能夠準確檢測待測系統中存在的、因缺少對用戶登錄憑證進行驗證而產生的安全漏洞。

為實現上述目的，根據本發明的一個方面，提供了一種系統安全漏洞的檢測方法。

本發明實施例的系統安全漏洞的檢測方法包括：獲取針對待測系統的第一訪問請求，該第一訪問請求攜帶第一用戶的登錄狀態信息；對第一訪問請求數據包中的登錄憑證信息進行更改，生成針對待測系統的第一測試請求；向待測系統發送第一訪問請求和第一測試請求；比較待測系統針對第一訪問請求返回的第一響應與針對第一測試請求返回的第二響應，根據比較結果判斷待測系統中是否存在安全漏洞。

可選地，所述對第一訪問請求數據包中的登錄憑證信息進行更改，包括：將第一訪問請求數據包中的登錄憑證信息替換為預先存儲的第二用戶的登錄憑證信息；或者，將第一訪問請求數據包中的登錄憑證信息刪除。

可選地，所述根據比較結果判斷待測系統中是否存在安全漏洞，包括：在第一響應攜帶的請求數據與第二響應攜帶的請求數據相同時，確定待測系統中存在安全漏洞。

可選地，所述根據比較結果判斷待測系統中是否存在安全漏洞，包括：在第一響應攜帶的請求數據與第二響應攜帶的請求數據的格式相同時，確定待測系統中存在安全漏洞。

可選地，所述根據比較結果判斷待測系統中是否存在安全漏洞，包括：在第一響應的數據包大小與第二響應的數據包大小的差值小于預設的第一閾值時，確定待測系統中存在安全漏洞。

可選地，所述方法進一步包括：在第一響應攜帶的請求數據與第二響應攜帶的請求數據的格式相同時，獲取針對待測系統的第二訪問請求，該第二訪問請求攜帶第三用戶的登錄狀態信息；將第二訪問請求數據包中的預設字段的信息替換為預先存儲的第四用戶的所述字段的信息，生成針對待測系統的第二測試請求；向待測系統發送第二訪問請求和第二測試請求；比較待測系統針對第二訪問請求返回的第三響應與針對第二測試請求返回的第四響應；在第三響應攜帶的請求數據的格式與第四響應攜帶的請求數據的格式相同或者第三響應的數據包大小與第四響應的數據包大小差值小于預設的第二閾值時，確定待測系統中存在安全漏洞。

可選地，所述字段包括：用戶標識和/或當前業務標識。

為實現上述目的，根據本發明的另一方面，提供了一種系統安全漏洞的檢測裝置。

本發明實施例的系統安全漏洞的檢測裝置可包括：請求獲取單元，用于獲取針對待測系統的第一訪問請求，該第一訪問請求攜帶第一用戶的登錄狀態信息；請求構造單元，用于對第一訪問請求數據包中的登錄憑證信息進行更改，生成針對待測系統的第一測試請求；請求發送單元，用于向待測系統發送第一訪問請求和第一測試請求；測試單元，用于比較待測系統針對第一訪問請求返回的第一響應與針對第一測試請求返回的第二響應，根據比較結果判斷待測系統中是否存在安全漏洞。