[發明專利]一種越權檢測方法和裝置在審
| 申請號: | 202010081689.0 | 申請日: | 2020-02-06 |
| 公開(公告)號: | CN111767542A | 公開(公告)日: | 2020-10-13 |
| 發明(設計)人: | 李一偉;付勇勇 | 申請(專利權)人: | 北京沃東天駿信息技術有限公司;北京京東世紀貿易有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 中原信達知識產權代理有限責任公司 11219 | 代理人: | 王安娜;陳繼越 |
| 地址: | 100176 北京市北京經濟技術*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 越權 檢測 方法 裝置 | ||
1.一種越權檢測方法,其特征在于,包括:
基于第一賬號訪問預設線性表中的資源定位地址,生成第一請求并發送至服務端,以接收所述服務端反饋的第一報文;
基于第二賬號訪問所述資源定位地址,生成第二請求;其中,所述第二賬號與所述第一賬號具有不同的權限;
獲取所述第一請求中的第一cookie,將所述第二請求中的第二cook ie替換為所述第一cookie,發送替換后的第二請求至所述服務端,以接收所述服務端反饋的第二報文;
若所述第一報文和所述第二報文相同,則確定在所述資源定位地址中,所述第二賬號對所述第一賬號存在越權行為。
2.根據權利要求1所述的方法,其特征在于,在所述預設基于第一賬號訪問預設線性表中的資源定位地址之前,還包括:
確定應用頁面中的操作項,獲取與各操作項對應的頁面元素;
根據所述頁面元素中的超文本引用屬性進行所述資源定位地址確定,之后將所述資源定位地址存儲至所述線性表中。
3.根據權利要求2所述的方法,其特征在于,所述將所述資源定位地址存儲至所述線性表中,還包括:
響應于對所述資源定位地址的點擊操作,若頁面跳轉成功,則將所述資源定位地址存儲至所述線性表中。
4.根據權利要求3所述的方法,其特征在于,還包括:
確定跳轉頁面中的第一操作項,將與所述第一操作項對應的元素作為所述頁面元素的子元素;
根據所述子元素的超文本引用屬性進行第一資源定位地址確定,之后將所述第一資源定位地址存儲至所述線性表中;
重復上述頁面跳轉以及子元素獲取操作,直至不存在與當前頁面元素對應的子元素時停止。
5.一種越權檢測裝置,其特征在于,包括:
地址訪問模塊,用于預設基于第一賬號訪問預設線性表中的資源定位地址,生成第一請求并發送至服務端,以接收所述服務端反饋的第一報文;
請求生成模塊,用于基于第二賬號訪問所述資源定位地址,生成第二請求;其中,所述第二賬號與所述第一賬號具有不同的權限;
信息替換模塊,用于獲取所述第一請求中的第一cookie,將所述第二請求中的第二cookie替換為所述第一cookie,發送替換后的第二請求至所述服務端,以接收所述服務端反饋的第二報文;
越權確定模塊,用于若所述第一報文和所述第二報文相同,則確定在所述資源定位地址中,所述第二賬號對所述第一賬號存在越權行為。
6.一種電子設備,其特征在于,包括:
一個或多個處理器;
存儲裝置,用于存儲一個或多個程序,
當所述一個或多個程序被所述一個或多個處理器執行時,所述一個或多個處理器實現如權利要求1-4中任一所述的方法。
7.一種計算機可讀介質,其上存儲有計算機程序,其特征在于,所述程序被處理器執行時實現如權利要求1-4中任一所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京沃東天駿信息技術有限公司;北京京東世紀貿易有限公司,未經北京沃東天駿信息技術有限公司;北京京東世紀貿易有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010081689.0/1.html,轉載請聲明來源鉆瓜專利網。
