一种Java Web系统的越权漏洞检测方法及系统

本发明涉及计算机网络安全领域，具体涉及一种Java Web系统的越权漏洞检测方法及系统。本发明提出一种Java Web系统的越权漏洞检测方法，其步骤包括：获取Java Web应用待检测代码；利用Soot框架将所述待检测代码转化为JIMPLE IR；基于先验规则库和所述JIMPLE IR得到所述待检测代码中的各鉴权相关函数和各敏感函数；基于各鉴权相关函数的函数调用点是否可以到达一个或多个敏感函数，得到该鉴权相关函数的各鉴权出口；分析各鉴权出口结构的鉴权路径，以检测是否存在越权漏洞。本发明可以对API内部的存在缺陷的鉴权逻辑代码进行检测，而不仅仅停留于配置层面。同时通过引入大语言模型的推理能力，能检测出更深度和更复杂的越权漏洞。