本發明提供一種Web應用越權漏洞檢測方法、裝置、設備和介質，方法包括：步驟S1、收集所有可訪問的頁面集以及權限受限頁面的關鍵典型要素；步驟S2、在用戶登錄系統后，啟動檢測程序，通過檢測程序自動遍歷所有可訪問的頁面集，依據權限受限頁面的關鍵典型要素來對可訪問的頁面集進行權限狀態檢測，并生成權限狀態檢測結果。本發明優點：能夠有效保證系統的訪問控制安全；能夠很好的篩查用戶角色存在的越權漏洞，并對存在越權漏洞的頁面進行精確、快速的定位。

技術領域

本發明涉及計算機技術領域，特別涉及一種Web應用越權漏洞檢測方法、裝置、設備和介質。

背景技術

在信息化時代，許多傳統企業都在轉型升級，運用科技手段來提高生產效率，科技也進入生活的方方面面，無論衣食住行，人們都與互聯網緊密相連，沒有信息化就沒有現代化。在方便生產生活的同時，也存在由于系統漏洞引起信息安全問題的隱患，當前，我國面臨的信息安全形勢異常嚴峻復雜，特別在金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是信息安全的重中之重。隨著《網絡安全法》的實施，網絡安全上升為國家戰略，沒有網絡安全就沒有國家安全。如何防范信息安全風險，及時封堵漏洞，安心享受信息科技帶來的便利，已經成為迫切需要解決的問題。

信息科技系統往往設計有多種角色和權限，權限的訪問控制如果存在缺陷，極易導致敏感信息泄露，越權漏洞作為Web應用中一種常見的邏輯安全漏洞，其危害和影響與對應業務的重要性成正相關。如果存在平行越權(平行越權是指同一角色用戶之間的未授權訪問)的話，就可以查看同類用戶的敏感信息；而如果存在垂直越權(垂直越權是指不同角色用戶之間的未授權訪問)的話，低權限賬戶就可以訪問高權限的信息或功能。由此可見，越權漏洞導致用戶可直接訪問無權限的頁面，甚至對數據進行增、刪、改操作，并進而引發數據安全問題。

當然，目前業內對于越權漏洞的檢查方法已提出了多種方案，且均取得了不錯的成效。如公開日為2019-03-08，公布號為CN109446819A的中國發明專利公開了一種越權漏洞檢測方法及裝置，該方法及裝置通過采用基于Web訪問日志還原URL的方式，增大了URL檢測的范圍及覆蓋度，此外獲取通過訪問各個URL接收到的第一響應信息以及通過訪問該URL關聯的隨機URL后接收到的第二響應信息，并根據第一響應信息和第二響應信息檢測該URL對應的網站是否存在越權漏洞，得到檢測結果，無需人工檢測參與，能夠高效地挖掘出越權訪問漏洞，保證網站安全。又如，公開日為2018-01-12，公布號為CN107577949A的中國發明專利公開了一種越權漏洞檢測方法與系統，該方法與系統包括：首先，獲取Web頁面中的所有HTTP請求，并記錄初始響應信息；其次，替換所述HTTP請求中的身份標識信息，重新提交請求，記錄最新響應信息；最后，對比所述的初始響應信息和最新響應信息，不同項即為存在疑似越權漏洞的請求項。

雖然現有的技術方案實現了通過用戶的Web訪問日志、響應信息的一致性檢查，以此判斷用戶的訪問是否存在越權操作，從而保證網站安全，在越權漏洞檢查上，有其獨創性，但仍然存在有以下缺點：

1、基于Web訪問日志還原URL的方式是基于一段時間內用戶存在訪問記錄的場景下進行的，所參考信息有限，無法有效查找系統存在的越權漏洞，仍然存在漏報風險；

2、通過日志來檢查是否存在越權漏洞模式屬于事后檢測，如發現問題，相關漏洞可能已被利用，未能充分做到事先防范，導致漏洞修復成本較高；

3、同一身份標識在不同時刻響應信息可能有所差異，即不同時刻與初始響應信息對比結果不同，誤判可能性較大，從而增加人工判斷的工作量。

發明內容

本發明要解決的技術問題，在于提供一種Web應用越權漏洞檢測方法、裝置、設備和介質，解決現有的越權漏洞檢測存在的無法有效查找系統存在的越權漏洞的問題。

第一方面，本發明提供了一種Web應用越權漏洞檢測方法，所述方法包括：