本文源自:金融界
金融界2024年9月10日消息,天眼查知识产权信息显示,前锦网络信息技术(上海)有限公司申请一项名为“基于资源ID的水平越权检测方法及其装置“,公开号CN202410623357.9,申请日期为2024年5月。
专利摘要显示,本申请公开了一种基于资源ID的水平越权检测方法及其装置,该方法包括:接收用户发起的网络请求数据,并基于网络请求数据得到响应结果;若网络请求数据中存在原始资源ID,根据原始资源ID和生成策略生成多个测试资源ID;其中,资源ID包括与用户身份信息相关联的目标字段;抽取多个测试资源ID中的一个测试资源ID,以替换存在的原始资源ID,得到具有测试资源ID的网络请求数据;若网络请求数据中携带有防篡改字符串,基于预定的加密规则生成新的防篡改字符串,并根据新的防篡改字符串得到篡改后的第一响应结果;若网络请求数据中未携带防篡改字符串,基于具有测试资源ID的网络请求数据得到篡改后的第一响应结果;比较原始响应结果中的相应第一类参数和第一响应结果中的第一类参数是否相同,并根据比较结果确定用户发起的网络请求是否存在水平越权漏洞;其中,原始响应结果是基于原始资源ID得到的响应结果;第一类参数包括状态码及内容类型Content‑Type。
