(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210983837.7 (22)申请日 2022.08.17 (71)申请人 上海聚水潭网络科技有限公司 地址 200040 上海市 静安区新闸路1418号5 幢214室 申请人 嘉兴聚水潭电子商务有限公司 　 上海聚货通电子商务有限公司 (72)发明人 马亮　骆海东　颜嘉梁　 (74)专利代理 机构 北京高沃 律师事务所 1 1569 专利代理师 万慧华 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) G06F 16/33(2019.01) G06F 40/30(2020.01) (54)发明名称 一种基于角色账号信息的越权漏洞扫描方 法及系统 (57)摘要 本发明公开一种基于角色账号信息的越权 漏洞扫描方法及系统， 涉及数据处理技术领域， 方法包括： 基于敏感词数据库对角色账号信息进 行语义匹配以确定多个第一匹配值； 根据角色账 号信息对应的角色确定角色模块组； 根据多个第 一匹配值计算每个角色模块的匹配值； 根据预设 角色优先级对多个角色模块进行排序； 依据排序 后的多个角色模块计算两个相邻的角色模块的 匹配差值； 针对任一所述匹配差值， 若匹配差值 处于设定阈值范围， 输出第一结果； 第一结果为 待检测商务平台不存在越权漏洞； 若匹配差值不 处于设定阈值范围， 输出第二结果； 第二结果为 待检测商务平台存在越权漏洞。 本发 明基于角色 账号信息进行匹配和计算， 实现对越权漏洞的快 速准确的确定 。 权利要求书2页 说明书7页 附图2页 CN 115459959 A 2022.12.09 CN 115459959 A 1.一种基于角色账号信息的越权漏洞扫描方法， 其特征在于， 所述越权漏洞扫描方法 包括： 获取待检测商务平台 中的多个角色账号信息； 基于敏感词数据库对所述角色账号信息进行语义匹配， 以确定多个第一匹配值； 所述 第一匹配值 为每个所述角色账号信息的匹配值； 根据所述角色账号信息对应的角色， 确定角色模块组； 所述角色模块组包括多个角色 模块， 每个所述角色模块中包括多个对应同一角色的角色账号信息； 根据多个所述第一匹配值， 计算每 个所述角色模块的匹配值； 根据预设角色优先级对多个所述角色模块进行排序； 依据排序后的多个所述角色模块， 计算两个相邻的角色模块的匹配差值； 针对任一所述匹配差值， 判断所述匹配差值是否处于设定阈值范围； 若所述匹配差值处于设定阈值范围， 则输出第一结果； 所述第一结果为所述待检测商 务平台不存在越权漏洞； 若所述匹配差值不处于设定阈值范围， 则输出第二结果； 所述第二结果为所述待检测 商务平台存在越权漏洞。 2.根据权利要求1所述的基于角色账号信 息的越权漏洞扫描方法， 其特征在于， 所述敏 感词数据库包括设定敏感词和与所述设定敏感词对应的敏感数值； 所述基于敏感词数据库对所述角色账号信息进行语义匹配， 以确定多个第一匹配值， 具体包括： 采用正则匹配表达 式， 将敏感词数据库中的设定敏感词与所述角色账号信 息进行语义 匹配， 以匹配出 标记敏感词； 所述标记敏感词为任一所述设定敏感词； 根据所述设定敏感词对应的敏感数值， 计算所有所述标记敏感词对应的敏感数值的 和， 以得到第一匹配值。 3.根据权利要求1所述的基于角色账号信 息的越权漏洞扫描方法， 其特征在于， 所述根 据多个所述第一匹配值， 计算每 个所述角色模块的匹配值， 具体包括： 确定所述角色模块中每 个角色账号信息对应的第一匹配值； 将多个角色账号信息对应的第一匹配值相加， 以确定所述角色模块的匹配值。 4.根据权利要求1所述的基于角色账号信 息的越权漏洞扫描方法， 其特征在于， 所述角 色账号信息对应的角色包括财务、 人事、 行政和技 术员工。 5.根据权利要求1所述的基于角色账号信 息的越权漏洞扫描方法， 其特征在于， 所述获 取待检测商务平台 中的多个角色账号信息， 具体包括： 采集WEB资源信息及HTTP流量信息； 所述WEB资源信息包括统一资源定位符URL、 Header 头信息、 Method请求方式和Body请求体； 所述HTTP流量信息来自于WAF设备、 RASP设备和 ISAT设备； 根据所述 WEB资源信息及HT TP流量信息， 确定待检测商务平台 中的多个角色账号信息 。 6.一种基于角色账号信息的越权漏洞扫描系统， 其特征在于， 所述基于角色账号信息 的越权漏洞 扫描系统包括： 待检测内容确定模块， 用于获取待检测商务平台 中的多个角色账号信息； 第一匹配计算模块， 用于基于敏感词数据库对所述角色账号信息进行语义匹配， 以确权　利　要　求　书 1/2 页 2 CN 115459959 A 2定多个第一匹配值； 所述第一匹配值 为每个所述角色账号信息的匹配值； 组确定模块， 用于根据 所述角色账号信 息对应的角色， 确定角色模块组； 所述角色模块 组包括多个角色模块， 每 个所述角色模块中包括多个对应同一角色的角色账号信息； 第二匹配 计算模块， 用于根据多个所述第一匹配值， 计算每 个所述角色模块的匹配值； 排序模块， 用于根据预设角色优先级对多个所述角色模块进行排序； 匹配差值计算模块， 用于依据排序后的多个所述角色模块， 计算两个相邻的角色模块 的匹配差值； 判断模块， 用于针对 任一所述匹配差值， 判断所述匹配差值是否处于设定阈值范围； 第一结果模块， 用于若所述匹配差值处于设定阈值范围， 则 输出第一结果； 所述第一结 果为所述待检测商务平台不存在越权漏洞； 第二结果模块， 用于若所述匹配差值不处于设定阈值范围， 则 输出第二结果； 所述第二 结果为所述待检测商务平台存在越权漏洞。 7.根据权利要求6所述的基于角色账号信 息的越权漏洞扫描系统， 其特征在于， 所述敏 感词数据库包括设定敏感词和与所述设定敏感词对应的敏感数值； 所述第一匹配 计算模块， 具体包括： 匹配子模块， 用于采用正则匹配表达式， 将敏感词数据库中的设定敏感词与所述角色 账号信息进行语义匹配， 以匹配出 标记敏感词； 所述标记敏感词为任一所述设定敏感词； 第一计算子模块， 用于根据所述设定敏感词对应的敏感数值， 计算所有所述标记敏感 词对应的敏感数值的和， 以得到第一匹配值。 8.根据权利要求6所述的基于角色账号信 息的越权漏洞扫描系统， 其特征在于， 所述第 二匹配计算模块， 具体包括： 匹配值确定 子模块， 用于确定所述角色模块中每 个角色账号信息对应的第一匹配值； 第二计算子模块， 用于将多个角色账号信息对应的第一匹配值相加， 以确定所述角色 模块的匹配值。 9.根据权利要求6所述的基于角色账号信 息的越权漏洞扫描系统， 其特征在于， 所述待 检测内容确定模块， 具体包括： 路径资源确定子模块， 用于采集WEB资源信息及HTTP流量信息； 所述WEB资源信息包括 统一资源定位符URL、 Header头信息、 Method请求方式和Bo dy请求体； 所述HTTP流量信息来 自于WAF设备、 RAS P设备和ISAT设备； 账号信息确定子模块， 用于根据所述WEB资源信息及HTTP流量信息， 确定待检测商务平 台中的多个角色账号信息 。权　利　要　求　书 2/2 页 3 CN 115459959 A 3