基于IAST测试工具动态检测垂直越权的方法及系统
基本信息
| 申请号 | CN201910855861.0 | 申请日 | - |
| 公开(公告)号 | CN110598418A | 公开(公告)日 | 2019-12-20 |
| 申请公布号 | CN110598418A | 申请公布日 | 2019-12-20 |
| 分类号 | G06F21/57(2013.01); G06F11/36(2006.01) | 分类 | 计算;推算;计数; |
| 发明人 | 刘海涛; 万振华; 王颉; 董燕; 李华 | 申请(专利权)人 | 中国工商银行股份有限公司深圳华强支行 |
| 代理机构 | 广州三环专利商标代理有限公司 | 代理人 | 深圳开源互联网安全技术有限公司 |
| 地址 | 518000 广东省深圳市龙华区龙华街道清祥路清湖工业园宝能科技园7栋B座6楼KL单位 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种基于IAST测试工具动态检测垂直越权的方法及系统,其中,方法包括如下步骤:S1)、通过IAST测试工具插桩用户代码;S2)、将每条用户请求分别与其所对应的请求权限绑定;S3)、获取用户请求所经过的方法链,并存储到数据库中;S4)、对数据库中存储的所述方法链建立检测模型;S5)、实时监听用户请求流程;S6)通过所述检测模型判断所述请求所执行的方法链是否存在越权问题;根据上述检测过程可知,通过IAST测试工具对属于用户代码内的方法链的追踪和通过学习算法对检测模型的建立,使得测试软件的权限可深入到待测试应用程序的代码的内部,从而帮助用于发现方法级别的权限问题。 |
