基于IAST測(cè)試工具動(dòng)態(tài)檢測(cè)水平越權(quán)的方法及系統(tǒng)

基本信息

申請(qǐng)?zhí)?/td> CN201910855342.4 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN110688659B 公開(kāi)(公告)日 2020-01-14
申請(qǐng)公布號(hào) CN110688659B 申請(qǐng)公布日 2020-01-14
分類號(hào) G06F21/57(2013.01)I;G06F11/36(2006.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 劉海濤;萬(wàn)振華;王頡;董燕;李華 申請(qǐng)(專利權(quán))人 中國(guó)工商銀行股份有限公司深圳華強(qiáng)支行
代理機(jī)構(gòu) 廣州三環(huán)專利商標(biāo)代理有限公司 代理人 深圳開(kāi)源互聯(lián)網(wǎng)安全技術(shù)有限公司
地址 518000廣東省深圳市龍華區(qū)龍華街道清祥路清湖工業(yè)園寶能科技園7棟B座6樓KL單位
法律狀態(tài) -

摘要

摘要 本發(fā)明公開(kāi)了一種基于IAST測(cè)試工具動(dòng)態(tài)檢測(cè)水平越權(quán)的方法及系統(tǒng),其中,方法包括如下步驟:S1、利用IAST測(cè)試工具和插樁技術(shù),追蹤用戶程序與數(shù)據(jù)庫(kù)交互的SQL語(yǔ)句;S2、綁定請(qǐng)求與請(qǐng)求權(quán)限;S3、根據(jù)步驟S1獲取該請(qǐng)求下所有執(zhí)行的SQL語(yǔ)句并存儲(chǔ);S4、對(duì)獲取到的SQL語(yǔ)句進(jìn)行解析;S5、對(duì)步驟S4中生成的數(shù)據(jù)進(jìn)行加權(quán)計(jì)算并生成檢測(cè)模型;S6、實(shí)時(shí)監(jiān)聽(tīng)用戶請(qǐng)求流程;S7、采用檢測(cè)模型對(duì)用戶發(fā)送的請(qǐng)求進(jìn)行權(quán)限驗(yàn)證,以判斷請(qǐng)求所執(zhí)行的語(yǔ)句是否存在水平越權(quán)問(wèn)題;本發(fā)明通過(guò)對(duì)SQL語(yǔ)句的數(shù)據(jù)庫(kù)資源解析和檢測(cè)模型的結(jié)合,可使得檢測(cè)軟件深入到應(yīng)用程序的代碼內(nèi)部,可以更精準(zhǔn)的定位水平越權(quán)漏洞。??