本技術(shù)涉及網(wǎng)絡(luò)信息安全，尤其涉及一種越權(quán)漏洞檢測方法、裝置、存儲介質(zhì)以及終端。

背景技術(shù)：

1、通常為了保護(hù)隔離應(yīng)用程序、網(wǎng)站中重要的機密隱私數(shù)據(jù)，會通過控制數(shù)據(jù)的訪問權(quán)限來限制無權(quán)限者對權(quán)限數(shù)據(jù)的訪問或獲取。而應(yīng)用程序、網(wǎng)站等可能會由于身份驗證校驗中出現(xiàn)的邏輯錯誤而出現(xiàn)越權(quán)漏洞，導(dǎo)致無權(quán)限者能夠訪問或獲取有權(quán)限者的資源，因此需要對應(yīng)用程序、網(wǎng)站進(jìn)行越權(quán)漏洞檢測，以保護(hù)這類數(shù)據(jù)信息的安全。

技術(shù)實現(xiàn)思路

1、本技術(shù)提供一種越權(quán)漏洞檢測方法、裝置、存儲介質(zhì)以及終端，可以解決相關(guān)技術(shù)中人工檢測越權(quán)漏洞時效率較低的技術(shù)問題。

2、第一方面，本技術(shù)實施例提供一種越權(quán)漏洞檢測方法，該方法包括：

3、獲取第一身份信息和第二身份信息，爬取所述第一身份信息在待檢測網(wǎng)站得到的第一資源數(shù)據(jù)，以及爬取所述第二身份信息在所述待檢測網(wǎng)站得到的第二資源數(shù)據(jù)；

4、基于所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；

5、根據(jù)所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及所述第一資源數(shù)據(jù)，確定所述待檢測網(wǎng)站中是否存在越權(quán)漏洞。

6、可選地，所述基于所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源，包括：對所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)進(jìn)行去重，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源。

7、可選地，當(dāng)所述第一身份信息的數(shù)據(jù)權(quán)限高于所述第二身份信息時，所述對所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)進(jìn)行去重，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源，包括：對所述第一資源數(shù)據(jù)中的第一請求數(shù)據(jù)和所述第二資源數(shù)據(jù)中的第二請求數(shù)據(jù)進(jìn)行去重，確定所述第一請求數(shù)據(jù)中與所述第二請求數(shù)據(jù)不重合的請求數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；和/或?qū)λ龅谝徽埱髷?shù)據(jù)和所述第二請求數(shù)據(jù)的重合請求數(shù)據(jù)對應(yīng)的響應(yīng)數(shù)據(jù)進(jìn)行去重，確定不重合的響應(yīng)數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源。

8、可選地，所述第一身份信息為高權(quán)身份信息，所述第二身份信息為低權(quán)身份信息；或者所述第一身份信息為有權(quán)身份信息，所述第二身份信息為無權(quán)身份信息，所述無權(quán)身份信息至少包括游客身份信息、空白身份信息中的一種。

9、可選地，當(dāng)所述第一身份信息的數(shù)據(jù)權(quán)限等于所述第二身份信息時，所述對所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)進(jìn)行去重，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源，包括：對所述第一資源數(shù)據(jù)中的第一響應(yīng)數(shù)據(jù)和所述第二資源數(shù)據(jù)中的第二響應(yīng)數(shù)據(jù)進(jìn)行去重，確定所述第一響應(yīng)數(shù)據(jù)中與所述第二響應(yīng)數(shù)據(jù)不重合的響應(yīng)數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；和/或確定所述第一資源數(shù)據(jù)中的第一請求數(shù)據(jù)和所述第二資源數(shù)據(jù)中的第二請求數(shù)據(jù)中具有相同虛擬路徑、不同請求參數(shù)的第三請求數(shù)據(jù)，確定所述第三請求數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源。

10、可選地，所述根據(jù)所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及所述第一資源數(shù)據(jù)，確定所述待檢測網(wǎng)站中是否存在越權(quán)漏洞，包括：對比所述第一資源數(shù)據(jù)中所述第一身份信息訪問所述權(quán)限網(wǎng)頁資源的第一訪問結(jié)果和所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的第二訪問結(jié)果；若所述第一訪問結(jié)果和所述第二訪問結(jié)果中的響應(yīng)數(shù)據(jù)存在一致，則確定所述待檢測網(wǎng)站中存在越權(quán)漏洞。

11、可選地，所述響應(yīng)數(shù)據(jù)包括但不限于狀態(tài)碼數(shù)據(jù)和響應(yīng)體數(shù)據(jù)。

12、可選地，當(dāng)所述響應(yīng)數(shù)據(jù)包括響應(yīng)體數(shù)據(jù)時，所述根據(jù)所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及所述第一資源數(shù)據(jù)，確定所述待檢測網(wǎng)站中是否存在越權(quán)漏洞之前，還包括：去除所述響應(yīng)體數(shù)據(jù)中的干擾數(shù)據(jù)，所述干擾數(shù)據(jù)至少包括即時時間、隨機字符串中的一種。

13、可選地，所述獲取第一身份信息和第二身份信息，包括：根據(jù)第一身份信息的賬號信息和驗證信息，確定所述第一身份信息的權(quán)限信息以及登錄所述第一身份信息；根據(jù)第二身份信息的賬號信息和驗證信息，確定所述第二身份信息的權(quán)限信息以及登錄所述第二身份信息。

14、可選地，所述爬取所述第一身份信息在待檢測網(wǎng)站得到的第一資源數(shù)據(jù)，以及爬取所述第二身份信息在所述待檢測網(wǎng)站得到的第二資源數(shù)據(jù)，包括：規(guī)避預(yù)設(shè)操作黑名單中的爬取操作，爬取所述第一身份信息在待檢測網(wǎng)站得到的第一資源數(shù)據(jù)，以及爬取所述第二身份信息在所述待檢測網(wǎng)站資源得到的第二資源數(shù)據(jù)；其中所述預(yù)設(shè)操作黑名單為不需要在所述待檢測網(wǎng)站中進(jìn)行爬取的操作名單。

15、可選地，所述爬取所述第二身份信息在所述待檢測網(wǎng)站得到的第二資源數(shù)據(jù)之后，還包括：過濾所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)中的無效資源數(shù)據(jù)，所述無效資源數(shù)據(jù)至少包括前端資源數(shù)據(jù)。

16、可選地，所述確定所述待檢測網(wǎng)站中是否存在越權(quán)漏洞之后，還包括：在顯示界面展示所述第一資源數(shù)據(jù)、所述第二資源數(shù)據(jù)、所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及越權(quán)漏洞檢測結(jié)果；基于用戶對所述越權(quán)漏洞檢測結(jié)果的確認(rèn)操作，生成所述越權(quán)漏洞檢測結(jié)果對應(yīng)的越權(quán)漏洞檢測報告。

17、第二方面，本技術(shù)實施例提供一種越權(quán)漏洞檢測裝置，該裝置包括：

18、數(shù)據(jù)獲取模塊，用于獲取第一身份信息和第二身份信息，爬取所述第一身份信息在待檢測網(wǎng)站得到的第一資源數(shù)據(jù)，以及爬取所述第二身份信息在所述待檢測網(wǎng)站得到的第二資源數(shù)據(jù)；

19、權(quán)限確定模塊，用于基于所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；

20、越權(quán)檢測模塊，用于根據(jù)所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及所述第一資源數(shù)據(jù)，確定所述待檢測網(wǎng)站中是否存在越權(quán)漏洞。

21、可選地，所述權(quán)限確定模塊，還用于對所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)進(jìn)行去重，得到所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源。

22、可選地，當(dāng)所述第一身份信息的數(shù)據(jù)權(quán)限高于所述第二身份信息時；所述權(quán)限確定模塊，還用于對所述第一資源數(shù)據(jù)中的第一請求數(shù)據(jù)和所述第二資源數(shù)據(jù)中的第二請求數(shù)據(jù)進(jìn)行去重，確定所述第一請求數(shù)據(jù)中與所述第二請求數(shù)據(jù)不重合的請求數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；和/或所述權(quán)限確定模塊，還用于對所述第一請求數(shù)據(jù)和所述第二請求數(shù)據(jù)的重合請求數(shù)據(jù)對應(yīng)的響應(yīng)數(shù)據(jù)進(jìn)行去重，確定不重合的響應(yīng)數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源。

23、可選地，所述第一身份信息為高權(quán)身份信息，所述第二身份信息為低權(quán)身份信息；或者所述第一身份信息為有權(quán)身份信息，所述第二身份信息為無權(quán)身份信息，所述無權(quán)身份信息至少包括游客身份信息、空白身份信息中的一種。

24、可選地，當(dāng)所述第一身份信息的數(shù)據(jù)權(quán)限等于所述第二身份信息時；所述權(quán)限確定模塊，還用于對所述第一資源數(shù)據(jù)中的第一響應(yīng)數(shù)據(jù)和所述第二資源數(shù)據(jù)中的第二響應(yīng)數(shù)據(jù)進(jìn)行去重，確定所述第一響應(yīng)數(shù)據(jù)中與所述第二響應(yīng)數(shù)據(jù)不重合的響應(yīng)數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；和/或所述權(quán)限確定模塊，還用于確定所述第一資源數(shù)據(jù)中的第一請求數(shù)據(jù)和所述第二資源數(shù)據(jù)中的第二請求數(shù)據(jù)中具有相同虛擬路徑、不同請求參數(shù)的第三請求數(shù)據(jù)，確定所述第三請求數(shù)據(jù)對應(yīng)的網(wǎng)頁資源為所述第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源。

25、可選地，所述越權(quán)檢測模塊，還用于對比所述第一資源數(shù)據(jù)中所述第一身份信息訪問所述權(quán)限網(wǎng)頁資源的第一訪問結(jié)果和所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的第二訪問結(jié)果；若所述第一訪問結(jié)果和所述第二訪問結(jié)果中的響應(yīng)數(shù)據(jù)存在一致，則確定所述待檢測網(wǎng)站中存在越權(quán)漏洞。

26、可選地，所述響應(yīng)數(shù)據(jù)包括但不限于狀態(tài)碼數(shù)據(jù)和響應(yīng)體數(shù)據(jù)。

27、可選地，所述裝置還包括：干擾數(shù)據(jù)處理模塊，用于去除所述響應(yīng)體數(shù)據(jù)中的干擾數(shù)據(jù)，所述干擾數(shù)據(jù)至少包括即時時間、隨機字符串中的一種。

28、可選地，所述數(shù)據(jù)獲取模塊，還用于根據(jù)第一身份信息的賬號信息和驗證信息，確定所述第一身份信息的權(quán)限信息以及登錄所述第一身份信息；根據(jù)第二身份信息的賬號信息和驗證信息，確定所述第二身份信息的權(quán)限信息以及登錄所述第二身份信息。

29、可選地，所述數(shù)據(jù)獲取模塊，還用于規(guī)避預(yù)設(shè)操作黑名單中的爬取操作，爬取所述第一身份信息在待檢測網(wǎng)站得到的第一資源數(shù)據(jù)，以及爬取所述第二身份信息在所述待檢測網(wǎng)站資源得到的第二資源數(shù)據(jù)；其中所述預(yù)設(shè)操作黑名單為不需要在所述待檢測網(wǎng)站中進(jìn)行爬取的操作名單。

30、可選地，所述裝置還包括：無效數(shù)據(jù)過濾模塊，用于過濾所述第一資源數(shù)據(jù)和所述第二資源數(shù)據(jù)中的無效資源數(shù)據(jù)，所述無效資源數(shù)據(jù)至少包括前端資源數(shù)據(jù)。

31、可選地，所述裝置還包括：顯示模塊，用于在顯示界面展示所述第一資源數(shù)據(jù)、所述第二資源數(shù)據(jù)、所述第二身份信息訪問所述權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及越權(quán)漏洞檢測結(jié)果；基于用戶對所述越權(quán)漏洞檢測結(jié)果的確認(rèn)操作，生成所述越權(quán)漏洞檢測結(jié)果對應(yīng)的越權(quán)漏洞檢測報告。

32、第三方面，本技術(shù)實施例提供一種計算機存儲介質(zhì)，所述計算機存儲介質(zhì)存儲有多條指令，所述指令適于由處理器加載并執(zhí)行上述的方法的步驟。

33、第四方面，本技術(shù)實施例提供一種終端，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述計算機程序適于由處理器加載并執(zhí)行上述的方法的步驟。

34、本技術(shù)一些實施例提供的技術(shù)方案帶來的有益效果至少包括：

35、本技術(shù)提供一種越權(quán)漏洞檢測方法，獲取第一身份信息和第二身份信息，爬取第一身份信息在待檢測網(wǎng)站得到的第一資源數(shù)據(jù)，以及爬取第二身份信息在待檢測網(wǎng)站得到的第二資源數(shù)據(jù)；基于第一資源數(shù)據(jù)和第二資源數(shù)據(jù)，得到第一身份信息對應(yīng)的權(quán)限網(wǎng)頁資源；根據(jù)第二身份信息訪問權(quán)限網(wǎng)頁資源得到的訪問結(jié)果以及第一資源數(shù)據(jù)，確定待檢測網(wǎng)站中是否存在越權(quán)漏洞。由于不同身份信息在同一網(wǎng)站中對應(yīng)的資源數(shù)據(jù)是不同的，因此根據(jù)不同身份信息爬取同一網(wǎng)站的資源數(shù)據(jù)之后，可以根據(jù)各資源數(shù)據(jù)的相同點和不同點確定出有權(quán)限要求的權(quán)限網(wǎng)頁資源，再使用無訪問權(quán)限的身份信息訪問權(quán)限網(wǎng)頁資源，其訪問結(jié)果可以說明當(dāng)前網(wǎng)站是否存在越權(quán)漏洞，這樣的檢測流程模擬真實場景下，人工越權(quán)漏洞的挖掘過程，實現(xiàn)更全面、更高效的越權(quán)訪問漏洞挖掘。