(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211041340.X (22)申请日 2022.08.29 (71)申请人 南方电网科 学研究院有限责任公司 地址 510663 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 (72)发明人 徐传懋　杜金燃　匡晓云　许爱东　 赖博宇　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 刘晓娟 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01) (54)发明名称 一种越权逻辑漏洞的检测方法、 装置、 设备 和介质 (57)摘要 本发明公开了一种越权逻辑漏洞的检测方 法、 装置、 设备和介质， 方法包括： 当接收到功能 测试请求时， 获取测试数据包并过滤， 得到关键 请求包； 提取关键请求包内的数据包参数并划分 为多个片段序列； 根据每个片段序列与预设的参 数词典之间的匹配度， 确定初始越权参数； 对初 始越权参数进行遍历操作， 构建多个发送数据包 并与关键请求包发送至目标端； 若目标端返回的 全部返回数据包均处于 响应正常状态， 则根据返 回数据包之间的比对结果， 判断初始越权参数是 否存在越权逻辑漏洞， 进而快速发现越权逻辑漏 洞， 提高业 务系统的安全性。 权利要求书2页 说明书9页 附图3页 CN 115422546 A 2022.12.02 CN 115422546 A 1.一种越权 逻辑漏洞的检测方法， 其特 征在于， 包括： 当接收到功能测试请求时， 获取测试 数据包并过 滤， 得到关键请求包； 提取所述关键请求包内的数据包参数并划分为多个片段序列； 根据每个所述片段序列 与预设的参数词典之间的匹配度， 确定初始越权参数； 对所述初始越权参数进行遍历操作， 构建多个发送数据包 并与所述关键请求包发送至 目标端； 若所述目标端返回的全部返回数据包均处于响应正常状态， 则根据所述返回数据包之 间的比对结果， 判断所述初始越权参数 是否存在越权 逻辑漏洞。 2.根据权利要求1所述的方法， 其特征在于， 所述当接收到功能测试请求时， 获取测试 数据包并过 滤， 得到关键请求包的步骤， 包括: 当接收到功能测试请求时， 获取测试 数据包； 过滤所述测试 数据包内的非数据修改类型请求， 得到关键请求包。 3.根据权利要求1所述的方法， 其特征在于， 所述片段序列包括多个待匹配参数； 所述 根据每个所述片段序列 与预设的参数词典之间的匹配度， 确定初始越权参数的步骤， 包括： 采用预设的参数词典对各个所述待 匹配参数进行匹配， 确定每个所述片段序列分别对 应的目标参数和参数匹配数量； 按照各个所述参数匹配数量和所述待 匹配参数的数量， 分别计算每个所述片段序列对 应的匹配度； 选取所述匹配度大于或等于预设匹配度阈值的片段序列 作为目标片段序列； 将所述目标片段序列内的目标参数确定为初始越权参数。 4.根据权利要求1所述的方法， 其特征在于， 所述对所述初始越权参数进行遍历操作， 构建多个发送数据包并与所述关键请求包发送至目标端的步骤， 包括： 对所述初始越权参数进行遍历操作， 生成多个更新越权参数； 分别采用各个所述更新越权参数构建发送数据包； 将多个所述发送数据包和所述关键请求包发送至目标端。 5.根据权利要求1所述的方法， 其特征在于， 所述返回数据包包括所述关键请求包对应 的原始返回数据包和各个所述初始越权参数对应的参数返回数据包； 所述若 所述目标端返 回的全部返回数据包均处于响应正常状态， 则根据所述返回数据包之间的比对结果， 判断 所述初始越权参数 是否存在越权 逻辑漏洞的步骤， 包括： 若所述目标端返回的全部返回数据包均处于响应正常状态， 则比对所述原始返回数据 包和所述 参数返回数据包； 若所述参数返回数据包与 所述原始返回数据包的数据属性相同， 则判定所述初始越权 参数未存在越权 逻辑漏洞； 若所述参数返回数据包与 所述原始返回数据包的数据属性不同， 则比对各个所述参数 返回数据包， 判断所述初始越权参数 是否存在越权 逻辑漏洞。 6.根据权利要求5所述的方法， 其特征在于， 所述若所述参数返回数据包与 所述原始返 回数据包的数据属 性不同， 则比对各个所述参数返回数据包， 判断所述初始越权参数是否 存在越权 逻辑漏洞的步骤， 包括： 若所述参数返回数据包与 所述原始返回数据包的数据属性不同， 则比对各个所述参数权　利　要　求　书 1/2 页 2 CN 115422546 A 2返回数据包， 确定存在差异的参数返回数据包的差异数量； 若所述差异数量大于或等于第 一预设数量， 则判定所述初始越权参数存在越权逻辑漏 洞； 若所述差异数量小于所述第 一预设数量， 则判定所述初始越权参数未存在越权逻辑漏 洞。 7.根据权利要求1 ‑6任一项所述的方法， 其特 征在于， 所述方法还 包括： 响应用户请求， 安装被动代理服 务至目标业 务系统； 所述被动代理服 务用于获取 所述目标业 务系统内的全部测试 数据包。 8.一种越权 逻辑漏洞的检测装置， 其特 征在于， 包括： 数据包过滤模块， 用于当接收到功能测试请求 时， 获取测试数据包并过滤， 得到关键请 求包； 序列划分模块， 用于提取 所述关键请求包内的数据包参数并划分为多个片段序列； 匹配度计算模块， 用于根据每个所述片段序列与预设的参数词典之间的匹配度， 确定 初始越权参数； 参数遍历模块， 用于对所述初始越权参数进行遍历操作， 构建多个发送数据包并与所 述关键请求包发送至目标端； 漏洞判断模块， 用于若所述目标端返回的全部返回数据包均处于响应正常状态， 则根 据所述返回数据包之间的比对结果， 判断所述初始越权参数 是否存在越权 逻辑漏洞。 9.一种电子设备， 其特征在于， 包括存储器及处理器， 所述存储器中储存有计算机程 序， 所述计算机程序被所述处理器执行时， 使得所述处理器执行如权利要求 1‑7任一项所述 的越权逻辑漏洞的检测方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被执行时实现如权利要求1 ‑7任一项所述的越权 逻辑漏洞的检测方法。权　利　要　求　书 2/2 页 3 CN 115422546 A 3