申请/专利权人：贝壳找房(北京)科技有限公司

申请日：2023-04-13

公开（公告）日：2024-05-17

公开（公告）号：CN116346488B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.05.17#授权;2023.07.14#实质审查的生效;2023.06.27#公开

摘要：本申请公开了一种越权访问的检测方法、装置及存储介质，具体包括：通过插桩方法采集业务服务过程中的业务服务信息并将其作为采集信息，所述业务服务信息是在实现业务服务时从业务请求方发起请求到业务提供方响应的过程中所产生的信息；根据采集信息进行分析，判断是否存在高风险信息，如果存在高风险信息，则确定业务服务过程的越权访问的检测结果为非法访问；否则确定业务服务过程的越权访问的检测结果为合法访问。本申请实施例将各种场景统一抽象，在请求、访问数据库以及响应等各环节利用插桩技术来实现信息的采集，既可以实现针对各个场景下的越权访问的检测，同时保证检测过程是无侵入式的检测，不影响原有业务服务过程的逻辑。

主权项：1.一种越权访问的检测方法，其特征在于，该方法包括：通过插桩方法采集业务服务过程中的业务服务信息并将其作为采集信息，所述业务服务信息是在实现业务服务时从业务请求方发起请求到业务提供方响应的过程中所产生的信息；所述业务服务过程是所述业务提供方提供服务且由所述业务请求方访问所述业务提供方所提供的服务的过程；根据所述采集信息进行分析，根据分析结果判断是否存在高风险信息，如果存在高风险信息，则确定所述业务服务过程的越权访问的检测结果为非法访问；如果不存在高风险信息，则确定所述业务服务过程的越权访问的检测结果为合法访问；所述业务服务信息包括：业务服务请求信息、数据库调用信息、调用栈信息和业务服务响应信息；所述通过插桩方法采集业务服务过程中的业务服务信息的步骤由越权检测客户端实施，且由所述越权检测客户端将所述采集信息发送给越权检测服务端；所述越权访问的检测方法进一步包括：所述越权检测服务端确定所述采集信息是否包括事先设置的敏感信息，并为包括所述敏感信息的采集信息进行标记，并根据所述采集信息确定并标记所述业务服务过程所属的业务场景；所述越权检测服务端根据所述采集信息进行分析的步骤包括：响应于所述业务服务过程所属的业务场景为服务间调用场景，所述越权检测服务端查询所述调用栈信息中是否包含身份鉴权方法，所述身份鉴权方法属于所述业务服务过程中被调用方法；如果所述调用栈信息中包含身份鉴权方法，则确定所述业务服务过程的越权访问的检测结果为合法访问，且结束所述业务服务过程的越权访问检测；如果所述调用栈信息中不包含身份鉴权方法，则确定所述业务服务过程的越权访问的检测结果为非法访问，且结束所述业务服务过程的越权访问检测；所述服务间调用场景表示所述业务服务过程是两个业务服务之间发起的过程；响应于所述业务服务过程所属的业务场景为用户调用场景，所述越权检测服务端根据所述业务服务请求信息和所述数据库调用信息分析是否存在高风险操作信息，如果包含高风险操作信息，则确定所述业务服务过程的越权访问检测结果为非法访问；如果不包含高风险操作信息，则确定所述业务服务过程的越权访问检测结果为合法访问；所述用户调用场景表示所述业务服务过程是由用户发起的过程。

全文数据：

权利要求：

百度查询： 贝壳找房(北京)科技有限公司 一种越权访问的检测方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD