[發(fā)明專(zhuān)利]一種接口的權(quán)限檢測(cè)方法、裝置、介質(zhì)及電子設(shè)備在審

申請(qǐng)?zhí)枺?/td>	202011454563.X	申請(qǐng)日：	2020-12-10
公開(kāi)（公告）號(hào)：	CN112560025A	公開(kāi)（公告）日：	2021-03-26
發(fā)明（設(shè)計(jì)）人：	潘清劍;宋亞男;鄧貞明	申請(qǐng)（專(zhuān)利權(quán)）人：	江蘇滿運(yùn)物流信息有限公司
主分類(lèi)號(hào)：	G06F21/55	分類(lèi)號(hào)：	G06F21/55;G06F21/57
代理公司：	北京品源專(zhuān)利代理有限公司 11332	代理人：	孟金喆
地址：	210012 江蘇省南京***	國(guó)省代碼：	江蘇;32
權(quán)利要求書(shū)：	查看更多	說(shuō)明書(shū)：	查看更多
摘要：
搜索關(guān)鍵詞：	一種接口權(quán)限檢測(cè) 方法裝置介質(zhì) 電子設(shè)備
鉆瓜網(wǎng) 技術(shù)展會(huì) 專(zhuān)利詞庫(kù) 專(zhuān)利權(quán)人專(zhuān)利榜在售專(zhuān)利公布日期熱門(mén)專(zhuān)利

【權(quán)利要求書(shū)】：

1.一種接口的權(quán)限檢測(cè)方法，其特征在于，所述方法包括：

獲取目標(biāo)接口的原請(qǐng)求包，并基于所述原請(qǐng)求包對(duì)所述目標(biāo)接口進(jìn)行重新請(qǐng)求，獲取響應(yīng)數(shù)據(jù)；其中，所述原請(qǐng)求包包括原始認(rèn)證信息；

去除所述原請(qǐng)求包中的原始認(rèn)證信息，得到去認(rèn)證包，并基于所述去認(rèn)證包對(duì)所述目標(biāo)接口進(jìn)行請(qǐng)求，獲取響應(yīng)數(shù)據(jù)；以及，采用預(yù)設(shè)數(shù)量的測(cè)試認(rèn)證信息替換所述原始認(rèn)證信息，得到重新構(gòu)造包，并基于所述重新構(gòu)造包對(duì)所述目標(biāo)接口進(jìn)行重新請(qǐng)求，獲取響應(yīng)數(shù)據(jù)；

根據(jù)所述響應(yīng)數(shù)據(jù)確定目標(biāo)接口是否越權(quán)。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，根據(jù)所述響應(yīng)數(shù)據(jù)確定目標(biāo)接口是否越權(quán)，包括：

確定所述響應(yīng)數(shù)據(jù)中表示接口有效的響應(yīng)數(shù)據(jù)的數(shù)量；

若存在至少兩個(gè)表示接口有效的響應(yīng)數(shù)據(jù)，則根據(jù)至少兩個(gè)表示接口有效的響應(yīng)數(shù)據(jù)，確定目標(biāo)接口是否越權(quán)。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，根據(jù)至少兩個(gè)表示接口有效的響應(yīng)數(shù)據(jù)，確定目標(biāo)接口是否越權(quán)，包括：

若原請(qǐng)求包的響應(yīng)數(shù)據(jù)無(wú)效，則從所有表示接口有效的響應(yīng)數(shù)據(jù)中任選兩個(gè)響應(yīng)數(shù)據(jù)；

對(duì)比任選兩個(gè)響應(yīng)數(shù)據(jù)是否相同；

若相同，則確定目標(biāo)接口越權(quán)。

4.根據(jù)權(quán)利要求2所述的方法，其特征在于，根據(jù)至少兩個(gè)表示接口有效的響應(yīng)數(shù)據(jù)，確定目標(biāo)接口是否越權(quán)，包括：

若原請(qǐng)求包的響應(yīng)數(shù)據(jù)有效，則確定去認(rèn)證包的響應(yīng)數(shù)據(jù)是否有效；

若有效，對(duì)比原請(qǐng)求包的響應(yīng)數(shù)據(jù)和去認(rèn)證包的響應(yīng)數(shù)據(jù)是否相同；

若相同，則確定目標(biāo)接口未授權(quán)。

5.根據(jù)權(quán)利要求2所述的方法，其特征在于，在確定所述響應(yīng)數(shù)據(jù)中表示接口有效的響應(yīng)數(shù)據(jù)的數(shù)量之后，所述方法還包括：

若表示接口有效的響應(yīng)數(shù)據(jù)的數(shù)量小于兩個(gè)，則生成人工介入審核的提示信息。

6.根據(jù)權(quán)利要求3或4所述的方法，其特征在于，確定響應(yīng)數(shù)據(jù)是否相同，包括：

若返回包為html，則兩個(gè)響應(yīng)數(shù)據(jù)的html字符串完全相同，確定為響應(yīng)數(shù)據(jù)相同；

若返回包為json，則兩個(gè)響應(yīng)數(shù)據(jù)的key相同，且value的值吻合度大于設(shè)定閾值，確定為響應(yīng)數(shù)據(jù)相同。

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，獲取目標(biāo)接口的原請(qǐng)求包，包括：

當(dāng)檢測(cè)到應(yīng)用發(fā)布到PaaS的測(cè)試環(huán)境時(shí)，根據(jù)應(yīng)用名稱(chēng)從Nginx流量鏡像庫(kù)里查詢(xún)?cè)搼?yīng)用下所有的接口的原請(qǐng)求包。

8.一種接口的權(quán)限檢測(cè)裝置，其特征在于，所述裝置包括：

響應(yīng)數(shù)據(jù)獲取模塊，用于獲取目標(biāo)接口的原請(qǐng)求包，并基于所述原請(qǐng)求包對(duì)所述目標(biāo)接口進(jìn)行重新請(qǐng)求，獲取響應(yīng)數(shù)據(jù)；其中，所述原請(qǐng)求包包括原始認(rèn)證信息；

響應(yīng)數(shù)據(jù)獲取模塊，還用于去除所述原請(qǐng)求包中的原始認(rèn)證信息，得到去認(rèn)證包，并基于所述去認(rèn)證包對(duì)所述目標(biāo)接口進(jìn)行請(qǐng)求，獲取響應(yīng)數(shù)據(jù)；以及，采用預(yù)設(shè)數(shù)量的測(cè)試認(rèn)證信息替換所述原始認(rèn)證信息，得到重新構(gòu)造包，并基于所述重新構(gòu)造包對(duì)所述目標(biāo)接口進(jìn)行重新請(qǐng)求，獲取響應(yīng)數(shù)據(jù)；

接口越權(quán)確定模塊，用于根據(jù)所述響應(yīng)數(shù)據(jù)確定接口是否越權(quán)。

9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，其特征在于，該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1-7中任一項(xiàng)所述的接口的權(quán)限檢測(cè)方法。

10.一種電子設(shè)備，包括存儲(chǔ)器，處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器運(yùn)行的計(jì)算機(jī)程序，其特征在于，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1-7中任一項(xiàng)所述的接口的權(quán)限檢測(cè)方法。

下載完整專(zhuān)利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶(hù)下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專(zhuān)利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專(zhuān)利權(quán)人授權(quán)。該專(zhuān)利全部權(quán)利屬于江蘇滿運(yùn)物流信息有限公司，未經(jīng)江蘇滿運(yùn)物流信息有限公司許可，擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專(zhuān)利、獲得商業(yè)授權(quán)和技術(shù)合作，請(qǐng)聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202011454563.X/1.html，轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專(zhuān)利網(wǎng)。