本發(fā)明公開了一種越權漏洞檢測方法、裝置、計算機設備及存儲介質，所述方法包括：通過獲取賬號信息集合中包含N個賬號信息，并采用多進程的方式，并發(fā)啟動N+1個瀏覽器，在每個瀏覽器中使用一個賬號信息登錄目標站點，在第N+1個瀏覽器中采用訪客身份進行訪問，對N+1個瀏覽器中的目標站點進行訪問掃描，得到掃描結果，實現(xiàn)多個賬號信息同時進行權限接口的掃描，提高掃描效率，避免因會話沖突導致的掃描結果錯誤，提高掃描準確率，對掃描結果進行匯總分析，得到賬號信息和訪客身份對應的權限接口，并通過交叉掃描的方式，判斷每個權限接口是否存在越權漏洞，提高漏洞掃描的效率。本發(fā)明還涉及區(qū)塊鏈技術，所述賬號信息集合可存儲于區(qū)塊鏈節(jié)點中。

技術領域

本發(fā)明涉及信息安全領域，尤其涉及一種越權漏洞檢測方法、裝置、計算機設備及介質。

背景技術

隨著企業(yè)信息化程度的不斷發(fā)展，數(shù)據(jù)的訪問權限控制越來越關鍵，企業(yè)的網(wǎng)絡應用大多都是對外開發(fā)，提供客戶使用，或提供業(yè)務員在網(wǎng)站上進行各種日常業(yè)務。網(wǎng)站一旦對外，難免遭受到外部人員，黑客，商業(yè)間諜進行惡意攻擊；同時，也難免會遭到內(nèi)部員工使用賬號惡意爬取數(shù)據(jù)，做非法使用、買賣，無論哪種結果，都會給公司造成嚴重的經(jīng)濟、聲譽損失。因而，需要通過安全檢測、漏洞掃描、防火墻加固等措施來進行訪問權限的保護。

通常進行漏洞檢測方式，是通過漏洞掃描器對網(wǎng)站，應用系統(tǒng)進行漏洞掃描來實現(xiàn)。但在Web應用程序中，還存在越權漏洞，越權漏洞是一種業(yè)務漏洞，是指由于業(yè)務邏輯的疏忽，沒有對某個操作所需的權限或用戶進行嚴格的限制，導致本應沒有操作權限的用戶可正常進行操作，其威脅在于一個用戶即可控制全站用戶數(shù)據(jù)，即攻擊者使用一個合法賬戶，即可對存在越權缺陷漏洞的其他賬戶數(shù)據(jù)進行非法的操作，例如查詢、插入、刪除、修改等常規(guī)數(shù)據(jù)庫命令。

目前檢測越權漏洞一般是針對每個賬號，登錄該賬號進行掃描，獲取該賬號對應的權限接口，再修改賬號ID，并訪問每個權限接口，根據(jù)不同的賬號ID訪問這些權限接口的返回請求進行對比分析，從而判斷是否存在越權漏洞，這種方式需要依次對每個賬號進行檢測，并且在待檢測的賬號權限接口較多時，容易出現(xiàn)會話沖突，導致越權漏洞檢測的效率較低。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種越權漏洞檢測方法、裝置、計算機設備和存儲介質，以提高越權漏洞的檢測效率。

為了解決上述技術問題，本申請實施例提供一種越權漏洞檢測方法，包括：

獲取賬號信息集合，其中，所述賬號信息集合包含N個賬號信息，N為正整數(shù)；

采用多進程的方式，并發(fā)啟動N+1個瀏覽器，并驅動每個所述瀏覽器跳轉到目標站點；

在每個所述瀏覽器對應的目標站點中，登錄一個所述賬號信息，在第N+1個瀏覽器對應的目標站點中，采用訪客身份進行訪問；

對N+1個所述瀏覽器中的目標站點進行訪問掃描，得到N+1個掃描結果；

對N+1個所述掃描結果進行匯總分析，得到每個所述賬號信息對應的權限接口和訪客身份對應的權限接口，并通過交叉掃描的方式，判斷每個所述權限接口是否存在越權漏洞。

可選地，所述采用多進程的方式，并發(fā)啟動N+1個瀏覽器，并驅動每個所述瀏覽器跳轉到目標站點包括：

采用多進程的方式，通過進程隔離啟動N+1個瀏覽器，以使每個所述瀏覽器在一個獨立的進程中運行；

在檢測到N+1個所述瀏覽器啟動完畢后，采用預設腳本，驅動每個所述瀏覽器跳轉到目標站點。

可選地，所述在每個所述瀏覽器對應的目標站點中，登錄一個所述賬號信息，在第N+1個瀏覽器對應的目標站點中，采用訪客身份進行訪問包括：

從N+1個所述瀏覽器中，隨機選取N個瀏覽器，作為第一瀏覽器，將剩余一個瀏覽器，作為第二瀏覽器；