基于IAST測試工具動態(tài)檢測水平越權(quán)的方法及系統(tǒng)

基本信息

申請?zhí)?/td> CN201910855342.4 申請日 -
公開(公告)號 CN110688659A 公開(公告)日 2020-01-14
申請公布號 CN110688659A 申請公布日 2020-01-14
分類號 G06F21/57;G06F11/36 分類 計算;推算;計數(shù);
發(fā)明人 劉海濤;萬振華;王頡;董燕;李華 申請(專利權(quán))人 中國工商銀行股份有限公司深圳華強(qiáng)支行
代理機(jī)構(gòu) 廣州三環(huán)專利商標(biāo)代理有限公司 代理人 深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司
地址 518000 廣東省深圳市龍華區(qū)龍華街道清祥路清湖工業(yè)園寶能科技園7棟B座6樓KL單位
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于IAST測試工具動態(tài)檢測水平越權(quán)的方法及系統(tǒng),其中,方法包括如下步驟:S1)、利用IAST測試工具和插樁技術(shù),追蹤用戶程序與數(shù)據(jù)庫交互的SQL語句;S2)、綁定請求與請求權(quán)限;S3)、根據(jù)步驟1獲取該請求下所有執(zhí)行的SQL語句并存儲;S4)、對獲取到的SQL語句進(jìn)行解析;S5)、對步驟4中生成的數(shù)據(jù)進(jìn)行加權(quán)計算并生成檢測模型;S6)、實時監(jiān)聽用戶請求流程;S7)、采用檢測模型對用戶發(fā)送的請求進(jìn)行權(quán)限驗證,以判斷請求所執(zhí)行的語句是否存在水平越權(quán)問題;本發(fā)明通過對SQL語句的數(shù)據(jù)庫資源解析和檢測模型的結(jié)合,可使得檢測軟件深入到應(yīng)用程序的代碼內(nèi)部,可以更精準(zhǔn)的定位水平越權(quán)漏洞。