(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211176940.7 (22)申请日 2022.09.26 (71)申请人 建信金融科技有限责任公司 地址 200120 上海市自由贸易试验区银城 路99号12层、 15层 (72)发明人 熊文成　郑志攀　吴若腾　李想　 王海　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 贾磊　李辉 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 水平越权 检测方法及装置 (57)摘要 本发明公开了一种水平越权检测方法及装 置， 应用于网络安全、 自动化测试技术领域， 该方 法包括： 接收用户在被测系统的客户端发起的业 务请求； 基于抓包参数， 获得对被测系统抓包的 业务数据； 基于越权参数特征值， 从所述业务数 据中识别越权接口， 所述越权接口包含越权参 数； 对所述越权接口涉及到的预配置的编排节点 的组合顺序进行流程编排， 获得编排流程， 所述 编排节点包括防重放防篡改编排节 点、 参数加密 编排节点； 基于所述编排流程和水平越权漏洞确 认参数， 进行自动化测试， 获得测试结果， 所述测 试结果包括确定的越权接口。 本发 明可以实现水 平越权检测， 尤其针对已做了防重放和防篡改 的 加固的应用系统或加密的应用系统， 检测效果 好。 权利要求书2页 说明书9页 附图9页 CN 115460014 A 2022.12.09 CN 115460014 A 1.一种水平越权检测方法， 其特 征在于， 包括： 接收用户在被测系统的客户端发起的业 务请求； 基于抓包参数， 获得对被测系统抓包的业 务数据； 基于越权参数 特征值， 从所述 业务数据中识别越权 接口， 所述越权 接口包含越权参数； 对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编排， 获得编排流 程， 所述编排节点包括防重放防篡改编排节点、 参数加密编排节点； 基于所述编排流程和水平越权漏洞确认参数， 进行自动化测试， 获得测试结果， 所述测 试结果包括确定的越权 接口。 2.如权利要求1所述的方法， 其特征在于， 在接收用户在被测系统 的客户端发起的业务 请求之前， 还 包括： 在被测系统中载入抓包参数、 水平越权漏洞确认参数、 越权参数特征值、 预配置的编排 节点、 加密组件后， 初始化被测系统。 3.如权利要求1所述的方法， 其特征在于， 所述抓包参数包括待抓取的域名、 待抓取的 业务请求的类型、 待抓取的业 务请求的后缀。 4.如权利要求1所述的方法， 其特征在于， 所述编排节点还包括自定义编排节点， 所述 自定义编排节点 为能够测试复用的编排节点。 5.如权利要求1所述的方法， 其特征在于， 在接收用户在被测系统 的客户端发起的业务 请求之前， 还 包括： 启动被测系统的应用层以进行抓包； 在接收到用户在被测系统 的客户端发起的业务请求后， 接收所述应用层对被测系统抓 包的业务数据。 6.如权利要求1所述的方法， 其特 征在于， 还 包括： 获得测试后确定的所有的越权 接口进行遍历测试。 7.如权利要求1所述的方法， 其特 征在于， 还 包括： 基于测试 结果， 生成测试报告； 存储所述测试报告， 以供复测。 8.一种水平越权检测装置， 其特 征在于， 包括： 业务请求接收模块， 用于 接收用户在被测系统的客户端发起的业 务请求； 抓包模块， 用于基于抓包参数， 获得对被测系统抓包的业 务数据； 越权接口识别模块， 用于基于越权参数特征值， 从所述业务数据中识别越权接口， 所述 越权接口包含越权参数； 编排模块， 用于对所述越权接口涉及到的预配置的编排节点的组合顺序进行流程编 排， 获得编排 流程， 所述编排节点包括防重放防篡改编排节点、 参数加密编排节点； 自动化测试模块， 用于基于所述编排流程和水平越权漏洞确认参数， 进行自动化测试， 获得测试 结果， 所述测试 结果包括确定的越权 接口。 9.如权利要求8所述的装置， 其特 征在于， 还 包括初始化模块， 用于： 在接收用户在被测系统的客户端发起的业务请求之前， 在被测系统中载入抓包参数、 水平越权漏洞确认参数、 越权参数特征值、 预配置的编排节点、 加密组件后， 初始化被测系 统。权　利　要　求　书 1/2 页 2 CN 115460014 A 210.如权利要求8所述的装置， 其特征在于， 所述抓包参数包括待抓取的域名、 待抓取的 业务请求的类型、 待抓取的业 务请求的后缀。 11.如权利要求8所述的装置， 其特征在于， 所述编排节点还包括自定义编 排节点， 所述 自定义编排节点 为能够测试复用的编排节点。 12.如权利要求8所述的装置， 其特 征在于， 还 包括应用层启动模块， 用于： 在接收用户在被测系统 的客户端发起的业务请求之前， 启动被测系统的应用层以进行 抓包； 抓包模块具体用于： 在接收到用户在被测系统的客户端发起的业务请求后， 接收所述 应用层对被测系统抓包的业 务数据。 13.如权利要求8所述的装置， 其特 征在于， 还 包括遍历测试模块， 用于： 获得测试后确定的所有的越权 接口进行遍历测试。 14.如权利要求8所述的装置， 其特 征在于， 还 包括测试报告生成模块， 用于： 基于测试 结果， 生成测试报告； 存储所述测试报告， 以供复测。 15.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7任一项所述 方法。 16.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时实现权利要求1至7任一项所述方法。 17.一种计算机程序产品， 其特征在于， 所述计算机程序产品包括计算机程序， 所述计 算机程序被处 理器执行时实现权利要求1至7任一项所述方法。权　利　要　求　书 2/2 页 3 CN 115460014 A 3