申请/专利权人:深圳开源互联网安全技术有限公司
申请日:2024-01-08
公开(公告)日:2024-06-21
公开(公告)号:CN118228266A
主分类号:G06F21/57
分类号:G06F21/57;G06F21/44
优先权:
专利状态码:在审-公开
法律状态:2024.06.21#公开
摘要:本发明公开了一种基于多模块组合的应用程序越权漏洞检测方法及系统,包括:获取应用程序的请求信息和与其相对应的请求权限配置信息;基于检测引擎对请求信息进行越权漏洞检测,以获得响应信息;基于请求权限配置信息和响应信息对请求信息进行越权漏洞判断,以生成检测结果信息;提供一清单生成器,清单生成器接收携带有检测结果信息的请求信息,并生成请求清单,请求清单中包括请求信息、请求权限配置信息以及检测结果信息;基于检测结果信息对请求清单进行筛选,以提取出待验证的请求信息;将待验证的请求信息再次置入所述检测引擎;以此循环,直至待验证的请求信息为空。上述检测方法提高了越权漏洞检测的准确性,可减少漏洞误报和漏报几率。
主权项:1.一种基于多模块组合的应用程序越权漏洞检测方法,其特征在于,包括:获取所述应用程序的请求信息和与所述请求信息相对应的请求权限配置信息;基于检测引擎对所述请求信息进行越权漏洞检测,以获得响应信息;基于所述请求权限配置信息和所述响应信息对所述请求信息进行越权漏洞判断,以生成检测结果信息;提供一清单生成器,所述清单生成器接收携带有所述检测结果信息的请求信息,并生成请求清单,所述请求清单中包括请求信息、请求权限配置信息以及所述检测结果信息;基于所述检测结果信息对所述请求清单进行筛选,以提取出待验证的所述请求信息;将待验证的所述请求信息再次置入所述检测引擎;以此循环,直至待验证的所述请求信息为空。
全文数据:
权利要求:
百度查询: 深圳开源互联网安全技术有限公司 基于多模块组合的应用程序越权漏洞检测方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。