CN108809895A - 弱口令的检测方法和装置 - Google Patents
弱口令的检测方法和装置 Download PDFInfo
- Publication number
- CN108809895A CN108809895A CN201710288929.2A CN201710288929A CN108809895A CN 108809895 A CN108809895 A CN 108809895A CN 201710288929 A CN201710288929 A CN 201710288929A CN 108809895 A CN108809895 A CN 108809895A
- Authority
- CN
- China
- Prior art keywords
- target user
- name
- password
- target
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种弱口令的检测方法和装置。其中,该方法包括:提取目标网站的目标特征和用于登录目标网站的目标用户名;在数据库中查找目标用户名对应的公开密码,其中,数据库中记录了目标用户名与公开密码的对应关系,公开密码为已经公开的密码;根据目标用户名、公开密码和目标特征生成密码字典,其中,密码字典用于记录目标用户名与破解密码的对应关系,破解密码根据公开密码和目标特征生成,和/或根据目标用户名和目标特征生成;利用密码字典记录的目标用户名和破解密码对目标网站进行登录;在成功登录目标网站时确定目标用户名的密码为弱口令。本发明解决了检测弱口令的效率较低的技术问题。
Description
技术领域
本发明涉及信息安全领域,具体而言,涉及一种弱口令的检测方法和装置。
背景技术
弱口令定义为通常认为容易被别人猜测到或被破解工具破解的口令。弱口令给企业安全带来的危害是巨大的,因为攻击者的攻击成本低、收益高。
弱口令检测依赖用于检测的密码字典文件,字典的好坏决定了检测出弱口令效率。现有的弱口令检测工具,通过内置的密码字典,对目标系统进行弱口令检测,由于内置密码字典固定,并且没有结合待检测的目标网站进行优化调整,与目标网站不相适应,对目标网站弱口令的检测效率较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种弱口令的检测方法和装置,以至少解决检测弱口令的效率较低的技术问题。
根据本发明实施例的一个方面,提供了一种弱口令的检测方法,包括:提取目标网站的目标特征和用于登录所述目标网站的目标用户名;在数据库中查找所述目标用户名对应的公开密码,其中,所述数据库中记录了所述目标用户名与所述公开密码的对应关系,所述公开密码为已经公开的密码;根据所述目标用户名、所述公开密码和所述目标特征生成密码字典,其中,所述密码字典用于记录所述目标用户名与破解密码的对应关系,所述破解密码根据所述公开密码和所述目标特征生成,和/或根据所述目标用户名和所述目标特征生成;利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录;在成功登录所述目标网站时确定所述目标用户名的密码为弱口令。
根据本发明实施例的另一方面,还提供了一种弱口令的检测装置,包括:提取单元,用于提取目标网站的目标特征和用于登录所述目标网站的目标用户名;查找单元,用于在数据库中查找所述目标用户名对应的公开密码,其中,所述数据库中记录了所述目标用户名与所述公开密码的对应关系,所述公开密码为已经公开的密码;生成单元,用于根据所述目标用户名、所述公开密码和所述目标特征生成密码字典,其中,所述密码字典用于记录所述目标用户名与破解密码的对应关系,所述破解密码根据所述公开密码和所述目标特征生成,和/或根据所述目标用户名和所述目标特征生成;第一登录单元,用于利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录;确定单元,用于在成功登录所述目标网站时确定所述目标用户名的密码为弱口令。
在本发明实施例中,采用生成与目标网站相适应的密码字典,根据生成的密码字典对目标网站进行登录的方式,通过提取目标网站的目标特征,并根据目标特征、目标用户名和公开密码生成与目标网站相适应的密码字典,达到了利用与目标网站相适应的密码字典对目标网站的弱口令进行检测的目的,从而实现了提高弱口令检测效率的技术效果,进而解决了检测弱口令的效率较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的系统架构的示意图;
图2是根据本发明实施例的一种可选的弱口令的检测方法的流程图;
图3是根据本发明实施例的一种可选的弱口令的检测方法的应用场景示意图;
图4是根据本发明实施例的一种可选的弱口令的检测方法的流程图;
图5是根据本发明实施例的一种可选的弱口令的检测装置的示意图;
图6是根据本发明实施例的终端的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
webkit引擎:一个开源的浏览器引擎,其高效稳定,兼容性好。
弱口令:通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。
实施例1
根据本发明实施例,提供了一种可以通过本申请装置实施例执行的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,提供了一种弱口令的检测方法。
可选地,在本实施例中,上述弱口令的检测方法可以应用于如图1所示的由服务器102和终端104所构成的硬件环境中。如图1所示,服务器102通过网络与终端104进行连接,上述网络包括但不限于:广域网、城域网或局域网,终端104并不限定于PC、手机、平板电脑等。本发明实施例的数据处理方法可以由服务器102来执行,也可以由终端104来执行,还可以是由服务器102和终端104共同执行。其中,终端104执行本发明实施例的数据处理方法也可以是由安装在其上的客户端来执行。
在本发明实施例中,通过提取目标网站的目标特征,并根据目标特征、目标用户名和公开密码生成与目标网站相适应的密码字典,达到了利用与目标网站相适应的密码字典对目标网站的弱口令进行检测的目的,从而实现了提高弱口令检测效率的技术效果,进而解决了检测弱口令的效率较低的技术问题。
图2是根据本发明实施例的一种弱口令的检测方法的流程图,以下结合图2对本发明实施例所提供的弱口令的检测方法做具体介绍,如图2所示,该弱口令的检测方法主要包括如下步骤S202至步骤S210:
步骤S202,提取目标网站的目标特征和用于登录目标网站的目标用户名。
目标网站的目标特征可以是目标网站所具有的特征,例如:从目标网站提取到的目标特征可以是目标网站的域名、目标网站的邮箱地址的后缀、或者也可以是目标网站的一些关键字等,如:sina、163.com、2017等。目标用户名是用来对目标网站进行登录的用户名,例如:可以已在目标网站进行注册的用户名,用于登录目标网站的网站邮箱的用户等。获取目标用户名的方式可以包括:从目标网站中进行提取,如:在用户的留言区提取留言用户的用户名;还可以从网络上或者公开数据库中获取一些通用的用户名,如:admin、Administrator等;也可以直接从目标网站的后台服务器中获取目标网站的用户名。
步骤S204,在数据库中查找目标用户名对应的公开密码,其中,数据库中记录了目标用户名与公开密码的对应关系,公开密码为已经公开的密码。
上述数据库中记录了已公开的用户名及其对应的已公开的密码信息,例如:常用的出厂默认用户名及密码、常用的管理员用户名及密码、根据数据统计得到的常见的用户名及密码、互联网上已泄漏的用户名及密码等。在获取目标用户名之后,在上述记录了公开的用户名及其对应的密码的数据库中查找目标用户名,并获取目标用户名对应的已公开的密码。
步骤S206,根据目标用户名、公开密码和目标特征生成密码字典,其中,密码字典用于记录目标用户名与破解密码的对应关系,破解密码根据公开密码和目标特征生成,和/或根据目标用户名和目标特征生成。
在本发明实施例中,根据目标用户名、目标用户名对应的公开密码以及从目标网站提取到的目标特征生成新的密码,新生成的密码作为破解密码,与目标用户名相对应。所有的目标用户名及其对应的新生成的破解密码组成密码字典,用于对目标用户名所具有的弱口令进行检测。具体地,根据目标用户名、目标用户名对应的公开密码以及目标特征生成破解密码时,可以根据目标用户名和目标特征生成目标用户名对应的破解密码,也可以根据目标用户名对应的公开密码和目标特征生成目标用户名的破解密码。
步骤S208,利用密码字典记录的目标用户名和破解密码对目标网站进行登录。
利用目标用户名和目标用户名对应的破解密码对目标网站进行登录,其中,目标用户名即作为登录目标网站的用户名,破解密码作为登录目标网站的用户名所对应的密码。
步骤S210,在成功登录目标网站时确定目标用户名的密码为弱口令。
在本发明实施例中,如果利用目标用户名及其对应的破解密码登录目标网站成功,则说明目标用户名对应的破解密码就是目标用户的真实密码,该真实密码被破解成功,因此,将目标用户名对应的真实密码确定为弱口令。
本发明实施例中提供的弱口令的检测方法可以网页或者服务器端设置的口令进行检测,从而识别出其中的弱口令,消除安全隐患,保证信息服务的安全,如图3所示,服务器用于提供各种web应用以及服务接口,其预先设置有防火墙,端口管理策略、漏洞管理手段等各种安全防护措施,但是如果服务器管理员的用户名和密码采用了弱口令,攻击者只要知道了管理员的用户名密码,即可轻松进入管理后台,绕过种种严密的防护。因此,有效识别弱口令,在企业日常运维安全工作中十分重要。图3中采用口令爆破系统与交换机连接,口令爆破系统可以与设置在网络中的服务器进行通信。口令爆破系统与服务器进行通信,从目标网站中提取企业域名、邮箱、关键字等信息作为目标特征,再结合已公开的常用密码生成符合中国人习惯、符合公司习惯的密码字典,进而利用密码字典中的用户的和密码对服务器的web应用和服务接口进行弱口令爆破,从而及时发现弱口令,防止因弱口令而出现安全隐患。
在本发明实施例中,采用生成与目标网站相适应的密码字典,根据生成的密码字典对目标网站进行登录的方式,通过提取目标网站的目标特征,并根据目标特征、目标用户名和公开密码生成与目标网站相适应的密码字典,达到了利用与目标网站相适应的密码字典对目标网站的弱口令进行检测的目的,从而实现了提高弱口令检测效率的技术效果,进而解决了检测弱口令的效率较低的技术问题。
可选地,目标特征包括多个子特征,根据目标用户名、公开密码和目标特征生成密码字典包括:获取公开密码与一个或多个子特征的所有组合,得到多个第一组合,其中,每个第一组合包括公开密码、一个或者多个子特征和预设连接符,或者,每个第一组合包括公开密码和一个或者多个子特征;将每一个第一组合作为目标用户名对应的一个破解密码;根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
在本发明实施例中,从目标网站提取的目标特征可以包括多个子特征,如:将目标网站的域名作为一个子特征,将目标网站的邮箱后缀作为一个子特征,将目标网站的一个关键字作为一个子特征等,从目标网站提取的多个子特征都是目标网站的显著特征,并且都有可能作为密码的一部分。在生成密码子典时,可以将目标用户名对应的公开密码与目标特征进行各种组合,具体地,可以将目标用户名对应的公开密码与一个子特征按照不同的排列顺序进行组合,或者将公开密码与多个子特征按照不同排列顺序进行组合,可选地,在进行排列组合时,可以按照常用的设置密码的习惯,在公开密码与每一个子特征之间添加预设连接符。对公开密码和目标特征进行排列组合得到的多个第一组合,每一个第一组合都作为目标用户名对应的一个破解密码。
例如:目标用户名为:abc,从数据库查找到的对应公开密码为123456,从目标网站中提取到的目标特征为:bai,对公开密码和目标特征进行组合得到的第一组合为123456bai和bai123456,还可以在公开密码与目标特征之间添加预设连接符,得到第一组合123456@bai和bai@123456,则根据上述公开密码和目标特征得到123456bai、bai123456、123456@bai和bai@123456共四个组合,其中每一个组合都作为目标用户名abc的一个破解密码。同样的,在目标特征为包括多个子特征时,对公开密码和多个子特征进行组合,从而得到多个第一组合。
可选地,公开密码包括多个子密码,获取公开密码与多个子特征的所有组合,得到第一组合包括:获取多个子密码中每个子密码与多个子特征的所有组合,得到多个第二组合,其中,每个第二组合包括子密码、一个或者多个子特征和预设连接符,或者,每个第二组合包括子密码和一个或者多个子特征;将每个第二组合作为第一组合。
作为本发明实施例的一种可选的实施方式,从数据库中查找到的目标用户名对应的公开密码可以有多个子密码,对公开密码和目标特征进行组合得到第一组合时,将多个子密码分别与目标特征进行组合,得到多个第二组合,而每一个第二组合都是一个第一组合,也即每一个第二组合都是目标用户名对应的一个破解密码。例如:目标用户名abc对应的公开密码可以为:123456和000000,其中,子密码123456和子密码000000都是目标用户名的一个公开密码,目标特征为bai,对公开密码和目标特征进行组合得到的第二组合包括:123456bai、bai123456、000000bai和bai000000,可选地,还可以在公开密码和目标特征之间添加预设连接符,得到的第二组合包括:123456@bai、bai@123456、000000@bai和bai@000000,则根据公开密码123456和000000以及目标特征bai一个可以得到8个第二组合,其中,每一个第二组合都作为目标用户名abc的一个破解密码。同样的,在目标特征为包括多个子特征时,分别对每一个公开密码和多个子特征进行组合,从而得到多个第二组合。
可选地,目标特征包括多个子特征,根据目标用户名、公开密码和目标特征生成密码字典包括:获取目标用户名与一个或多个子特征的所有组合,得到多个第三组合,其中,每个第三组合包括公开密码、一个或者多个子特征和预设连接符,或者,第三组合包括公开密码和一个或者多个子特征;将每一个第三组合作为目标用户名对应的一个破解密码;根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
在本发明实施例中,目标用户名的破解密码还包括对目标用户名和目标特征进行组合得到的第三组合。具体地,可以将目标用户名与一个或者多个子特征按照不同的排列顺序进行组合,得到多个第三组合,将得到的每一个第三组合作为目标用户名对应的一个破解密码。
例如:目标用户名为:abc,目标特征为bai,对目标用户和目标特征进行组合得到的第三组合包括:abcbai,baiabc,abc@bai和bai@abc,其中,每一个第三组合都作为目标用户名对应的一个破解密码。同样的,在目标特征为包括多个子特征时,可以对目标用户名和多个子特征进行组合,从而得到多个第三组合。
可选地,利用密码字典记录的目标用户名和破解密码对目标网站进行登录包括:利用密码字典记录的目标用户名和破解密码通过目标网页应用对目标网站进行登录;和/或利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录。
在本发明实例中,对目标网站进行登录可以包括对目标网站的目标网页应用进行登录,以及通过目标服务端口对目标网站进行登录。具体地,当目标网站上包括目标网页应用时,可以利用密码字典中记录的目标用户名和目标用户名对应的破解密码对目标网页应用进行登录,如果目标网站上开放有目标服务端口时,还可以利用目标用户名和目标用户名对应的破解密码通过目标服务端口对目标网站进行登录。
可选地,利用密码字典记录的目标用户名和破解密码通过目标网页应用对目标网站进行登录包括:识别目标网页应用中的用户名输入框、密码输入框和提交按钮;将目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中;通过触发提交按钮向服务器提交第一登录请求,其中,第一登录请求用于请求利用目标用户名和破解密码登录目标网站。
在利用密码字典中记录的目标用户名和目标用户名对应的破解密码对目标网页应用进行登录时,可以通过浏览器引擎,如:webkit引擎识别出目标网页应用的用户名输入框、密码输入框和提交按钮,然后利用密码字典中记录的目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中,最后触发提交按钮,以请求利用目标用户名和破解密码登录目标网页应用。触发提交按钮之后,目标网站根据填入到输入框中的目标用户名和破解密码生成第一登录请求,并将生成的第一登录请求发送给目标网站的服务器。
可选地,利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录包括:根据目标用户名和目标用户名对应的破解密码生成第二登录请求,第二登录请求用于请求利用目标用户名和破解密码通过目标服务端口与服务器建立连接;将第二登录请求发送给目标服务端口。
在利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录时,根据目标用户名和目标用户名对应的破解密码生成第二登录请求,并将第二登录请求发送给目标网站服务器的目标服务端口,以请求利用目标用户名和破解密码通过目标服务端口与服务器建立连接。
可选地,在利用密码字典记录的目标用户名和破解密码对目标网站进行登录之前,方法还包括:接收登录参数,其中,登录参数用于指示对目标网站进行登录的频率;按照登录参数所指示的频率对目标网站进行登录。
在本发明实例中,还可以根据目标网站的服务器承受能力以及检测需要,调节对目标网站进行登录的频率。具体地,在对目标网站进行登录之前,接收用户设置的登录参数,该登录参数指示出了对目标网站进行登录的频率,按照登录参数所指示的频率对目标网站进行登录。
可选地,利用密码字典记录的目标用户名和破解密码对目标网站进行登录包括:采用多个线程同时利用密码字典记录的目标用户名和破解密码对目标网站进行登录。
在本发明实例中,可以通过多个线程同时对目标网站进行登录,以提高检测效率。具体地,在识别出目标网页应用的用户名输入框、密码输入框和提交按钮之后,通过多个线程将密码字典中记录的目标用户名和破解密码填入对应的输入框中,并触发提交按钮以登录目标网页应用;也可以通过多个线程根据密码字典中的目标用户名和破解密码生成登录请求,并发送给目标网站服务器的目标服务端口,以通过目标服务端口与目标网站服务器建立连接。可选地,可以基于异步库实现多个线程同时对目标网站进行登录。
图4是根据本发明实施例的一种可选的弱口令的检测方法的流程图,其中,口令爆破系统用于对目标服务器上的目标网站进行检测,以确定用于对目标网站进行登录的目标用户名及其密码是否为弱口令,如图4所示,该方法包括如下步骤:
步骤S401,提取标网站的目标特征和用于登录目标网站的目标用户名。目标网站的目标特征可以是目标网站所具有的特征,例如:目标特征可以是目标网站的域名、目标网站的邮箱地址的后缀、或者是目标网站的一些关键字等,如:sina、163.com、2017等。目标用户名是用来对目标网站进行登录的用户名,例如:可以是已在目标网站进行注册的用户名,用于登录目标网站的网站邮箱的用户等。获取目标用户名的方式可以包括:从目标网站中进行提取,如:在用户的留言区提取留言用户的用户名;还可以从网络上或者公开数据库中获取一些通用的用户名,如:admin、Administrator等;也可以直接从目标网站的后台服务器中获取目标网站的用户名。
步骤S402,在数据库中查找目标用户名对应的公开密码。数据库中记录了已公开的用户名及其对应的已公开的密码信息,例如:常用的出厂默认用户名及密码、常用的管理员用户名及密码、根据数据统计得到的常见的用户名及密码、互联网上已泄漏的用户名及密码等。
步骤S403,根据目标用户名、公开密码和目标特征生成密码字典。在密码字典中包括目标用户名以及该目标用户名对应的破解密码,其中,破解密码是根据目标用户名和目标特征生成的,或者根据目标用户名对应的公开密码和目标特征生成的,目标用户名的公开密码可以为多个,目标特征也可以为多个,在生成目标用户名的破解密码时,应获取目标用户名和所有目标特征,以及目标用户名对应的所有公开密码和所有目标特征的所有组合,并将得到的每一个组合作为目标用户名对应的一个破解密码。
步骤S404,根接收登录参数。登录参数用于指示登录目标网站的频率;登录参数可以人为进行设置,口令爆破系统按照接收到的登录参数所指示的频率对目标网站进行登录。
步骤S405,利用密码字典生成登录请求,并对目标网站进行登录。对目标网站进行登录可以包括对目标网站的目标网页应用进行登录,以及通过目标服务端口对目标网站进行登录。当目标网站上包括目标网页应用时,可以利用密码字典中记录的目标用户名和目标用户名对应的破解密码对目标网页应用进行登录:口令爆破系统识别出目标网页应用中的用户名输入框、密码输入框和提交按钮;将密码字典中的目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中;触发提交按钮向服务器提交登录请求。如果目标网站上开放有目标服务端口,还可以根据目标用户名和目标用户名对应的破解密码生成登录请求,并通过识别到的目标服务端口请求与服务器建立连接。
步骤S406,服务器对登录请求进行验证。服务器在接收到登录请求之后,对接收到的登录请求中的目标用户名和破解密码进行验证。
步骤S407,服务器返回登录结果。服务器在对目标用户名和破解密码进行验证之前,将登录结果返回给口令爆破系统:如果目标用户名和破解密码验证通过,则登录成功;如果目标用户名和破解密码验证失败,则登录失败。
步骤S408,在登录成功时,确定目标用户名的密码为弱口令。如果利用目标用户名及其对应的破解密码登录目标网站成功,则说明目标用户名对应的破解密码就是目标用户的真实密码,该真实密码被破解成功,将目标用户名对应的真实密码确定为弱口令。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述弱口令的检测方法的弱口令的检测装置,该弱口令的检测装置主要用于执行本发明实施例上述内容所提供的弱口令的检测方法,以下对本发明实施例所提供的弱口令的检测装置做具体介绍:
图5是根据本发明实施例的一种可选的弱口令的检测装置的示意图,如图5所示,该弱口令的检测装置主要包括:
提取单元510,用于提取目标网站的目标特征和用于登录所述目标网站的目标用户名。
目标网站的目标特征可以是目标网站所具有的特征,例如:从目标网站提取到的目标特征可以是目标网站的域名、目标网站的邮箱地址的后缀、或者也可以是目标网站的一些关键字等,如:sina、163.com、2017等。目标用户名是用来对目标网站进行登录的用户名,例如:可以已在目标网站进行注册的用户名,用于登录目标网站的网站邮箱的用户等。获取目标用户名的方式可以包括:从目标网站中进行提取,如:在用户的留言区提取留言用户的用户名;还可以从网络上或者公开数据库中获取一些通用的用户名,如:admin、Administrator等;也可以直接从目标网站的后台服务器中获取目标网站的用户名。
查找单元520,用于在数据库中查找目标用户名对应的公开密码,其中,数据库中记录了目标用户名与公开密码的对应关系,公开密码为已经公开的密码。
上述数据库中记录了已公开的用户名及其对应的已公开的密码信息,例如:常用的出厂默认用户名及密码、常用的管理员用户名及密码、根据数据统计得到的常见的用户名及密码、互联网上已泄漏的用户名及密码等。在获取目标用户名之后,在上述记录了公开的用户名及其对应的密码的数据库中查找目标用户名,并获取目标用户名对应的已公开的密码。
生成单元530,用于根据目标用户名、公开密码和目标特征生成密码字典,其中,密码字典用于记录目标用户名与破解密码的对应关系,破解密码根据公开密码和目标特征生成,和/或根据目标用户名和目标特征生成。
在本发明实施例中,根据目标用户名、目标用户名对应的公开密码以及从目标网站提取到的目标特征生成新的密码,新生成的密码作为破解密码,与目标用户名相对应。所有的目标用户名及其对应的新生成的破解密码组成密码字典,用于对目标用户名所具有的弱口令进行检测。具体地,根据目标用户名、目标用户名对应的公开密码以及目标特征生成破解密码时,可以根据目标用户名和目标特征生成目标用户名对应的破解密码,也可以根据目标用户名对应的公开密码和目标特征生成目标用户名的破解密码。
第一登录单元540,用于利用密码字典记录的目标用户名和破解密码对目标网站进行登录。
第一登录单元540利用目标用户名和目标用户名对应的破解密码对目标网站进行登录,其中,目标用户名即作为登录目标网站的用户名,破解密码作为登录目标网站的用户名所对应的密码。
确定单元550,用于在成功登录目标网站时确定目标用户名的密码为弱口令。
在本发明实施例中,如果利用目标用户名及其对应的破解密码登录目标网站成功,则说明目标用户名对应的破解密码就是目标用户的真实密码,该真实密码被破解成功,因此,确定单元550将目标用户名对应的真实密码确定为弱口令。
在本发明实施例中,采用生成与目标网站相适应的密码字典,根据生成的密码字典对目标网站进行登录的方式,通过提取目标网站的目标特征,并根据目标特征、目标用户名和公开密码生成与目标网站相适应的密码字典,达到了利用与目标网站相适应的密码字典对目标网站的弱口令进行检测的目的,从而实现了提高弱口令检测效率的技术效果,进而解决了检测弱口令的效率较低的技术问题。
可选地,目标特征包括多个子特征,生成单元包括:第一组合模块,用于获取公开密码与一个或多个子特征的所有组合,得到多个第一组合,其中,每个第一组合包括公开密码、一个或者多个子特征和预设连接符,或者,第一组合包括公开密码和一个或者多个子特征;第一密码模块,用于将每一个第一组合作为目标用户名对应的一个破解密码;第一字典模块,用于根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
在本发明实施例中,从目标网站提取的目标特征可以包括多个子特征,如:将目标网站的域名作为一个子特征,将目标网站的邮箱后缀作为一个子特征,将目标网站的一个关键字作为一个子特征等,从目标网站提取的多个子特征都是目标网站的显著特征,并且都有可能作为密码的一部分。在生成密码子典时,可以将目标用户名对应的公开密码与目标特征进行各种组合,具体地,可以将目标用户名对应的公开密码与一个子特征按照不同的排列顺序进行组合,或者将公开密码与多个子特征按照不同排列顺序进行组合,可选地,在进行排列组合时,可以按照常用的设置密码的习惯,在公开密码与每一个子特征之间添加预设连接符。对公开密码和目标特征进行排列组合得到的多个第一组合,每一个第一组合都作为目标用户名对应的一个破解密码。
例如:目标用户名为:abc,从数据库查找到的对应公开密码为123456,从目标网站中提取到的目标特征为:bai,对公开密码和目标特征进行组合得到的第一组合为123456bai和bai123456,还可以在公开密码与目标特征之间添加预设连接符,得到第一组合123456@bai和bai@123456,则根据上述公开密码和目标特征得到123456bai、bai123456、123456@bai和bai@123456共四个组合,其中每一个组合都作为目标用户名abc的一个破解密码。同样的,在目标特征为包括多个子特征时,对公开密码和多个子特征进行组合,从而得到多个第一组合。
可选地,公开密码包括多个子密码,第一组合模块包括:第一组合子模块,用于获取多个子密码中每个子密码与多个子特征的所有组合,得到多个第二组合,其中,每个第二组合包括子密码、一个或者多个子特征和/或一个预设连接符;第二组合子模块,用于将每个第二组合作为第一组合。
作为本发明实施例的一种可选的实施方式,从数据库中查找到的目标用户名对应的公开密码可以有多个子密码,对公开密码和目标特征进行组合得到第一组合时,将多个子密码分别与目标特征进行组合,得到多个第二组合,而每一个第二组合都是一个第一组合,也即每一个第二组合都是目标用户名对应的一个破解密码。例如:目标用户名abc对应的公开密码可以为:123456和000000,其中,子密码123456和子密码000000都是目标用户名的一个公开密码,目标特征为bai,对公开密码和目标特征进行组合得到的第二组合包括:123456bai、bai123456、000000bai和bai000000,可选地,还可以在公开密码和目标特征之间添加预设连接符,得到的第二组合包括:123456@bai、bai@123456、000000@bai和bai@000000,则根据公开密码123456和000000以及目标特征bai一个可以得到8个第二组合,其中,每一个第二组合都作为目标用户名abc的一个破解密码。同样的,在目标特征为包括多个子特征时,分别对每一个公开密码和多个子特征进行组合,从而得到多个第二组合。
可选地,目标特征包括多个子特征,生成单元包括:第二组合模块,用于获取目标用户名与一个或多个子特征的所有组合,得到多个第二组合,其中,每个第二组合包括公开密码、一个或者多个子特征和预设连接符,或者,第二组合包括公开密码和一个或者多个子特征;第二密码模块,用于将每一个第二组合作为目标用户名对应的一个破解密码;第二字典模块,用于根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
在本发明实施例中,目标用户名的破解密码还包括对目标用户名和目标特征进行组合得到的第三组合。具体地,可以将目标用户名与一个或者多个子特征按照不同的排列顺序进行组合,得到多个第三组合,将得到的每一个第三组合作为目标用户名对应的一个破解密码。
例如:目标用户名为:abc,目标特征为bai,对目标用户和目标特征进行组合得到的第三组合包括:abcbai,baiabc,abc@bai和bai@abc,其中,每一个第三组合都作为目标用户名对应的一个破解密码。同样的,在目标特征为包括多个子特征时,可以对目标用户名和多个子特征进行组合,从而得到多个第三组合。
可选地,登录单元包括:第一登录模块,用于利用密码字典记录的目标用户名和破解密码通过目标网页应用对目标网站进行登录;和/或第二登录模块,用于利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录。
在本发明实例中,对目标网站进行登录可以包括对目标网站的目标网页应用进行登录,以及通过目标服务端口对目标网站进行登录。具体地,当目标网站上包括目标网页应用时,可以利用密码字典中记录的目标用户名和目标用户名对应的破解密码对目标网页应用进行登录,如果目标网站上开放有目标服务端口时,还可以利用目标用户名和目标用户名对应的破解密码通过目标服务端口对目标网站进行登录。
可选地,第一登录模块包括:识别子模块,用于识别目标网页应用中的用户名输入框、密码输入框和提交按钮;填入子模块,用于将目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中;提交子模块,用于通过触发提交按钮向服务器提交第一登录请求,其中,第一登录请求用于请求利用目标用户名和破解密码登录目标网站。
在利用密码字典中记录的目标用户名和目标用户名对应的破解密码对目标网页应用进行登录时,可以通过浏览器引擎,如:webkit引擎识别出目标网页应用的用户名输入框、密码输入框和提交按钮,然后利用密码字典中记录的目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中,最后触发提交按钮,以请求利用目标用户名和破解密码登录目标网页应用。触发提交按钮之后,目标网站根据填入到输入框中的目标用户名和破解密码生成第一登录请求,并将生成的第一登录请求发送给目标网站的服务器。
可选地,第二登录模块包括:生成子模块,用于根据目标用户名和目标用户名对应的破解密码生成第二登录请求,第二登录请求用于请求利用目标用户名和破解密码通过目标服务端口与服务器建立连接;发送子模块,用于将第二登录请求发送给目标服务端口。
在利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录时,根据目标用户名和目标用户名对应的破解密码生成第二登录请求,并将第二登录请求发送给目标网站服务器的目标服务端口,以请求利用目标用户名和破解密码通过目标服务端口与服务器建立联接。
可选地,装置还包括:接收单元,用于在利用密码字典记录的目标用户名和破解密码对目标网站进行登录之前,接收登录参数,其中,登录参数用于指示对目标网站进行登录的频率;第二登录单元,按照登录参数所指示的频率对目标网站进行登录。
在本发明实例中,还可以根据目标网站的服务器承受能力以及检测需要,调节对目标网站进行登录的频率。具体地,在对目标网站进行登录之前,接收用户设置的登录参数,该登录参数指示出了对目标网站进行登录的频率,按照登录参数所指示的频率对目标网站进行登录。
可选地,第一登录单元包括:登录模块,用于采用多个线程同时利用密码字典记录的目标用户名和破解密码对目标网站进行登录。
在本发明实例中,可以通过多个线程同时对目标网站进行登录,以提高检测效率。具体地,在识别出目标网页应用的用户名输入框、密码输入框和提交按钮之后,通过多个线程将密码字典中记录的目标用户名和破解密码填入对应的输入框中,并触发提交按钮以登录目标网页应用;也可以通过多个线程根据密码字典中的目标用户名和破解密码生成登录请求,并发送给目标网站服务器的目标服务端口,以通过目标服务端口与目标网站服务器建立连接。可选地,可以基于异步库实现多个线程同时对目标网站进行登录。
实施例3
根据本发明实施例,还提供了一种用于实施上述弱口令的检测方法的终端,如图6所示,该终端主要包括处理器601、显示器602、数据接口603、存储器604和网络接口605,其中:
数据接口603则主要通过数据传输的方式将目标用户名以及数据库中记录的目标用户名及目标用户名对应的公开密码传输给处理器601。
存储器604主要用于存储根据目标用户名、公开密码和目标特征生成的密码字典。
网络接口605主要用于与服务器进行网络通信,以提取目标网站的目标特征,以及向服务器发送对目标网站进行登录的登录请求。
显示器602主要用于显示目标网站。
处理器601主要用于执行如下操作:
提取目标网站的目标特征和用于登录目标网站的目标用户名;在数据库中查找目标用户名对应的公开密码,其中,数据库中记录了目标用户名与公开密码的对应关系,公开密码为已经公开的密码;根据目标用户名、公开密码和目标特征生成密码字典,其中,密码字典用于记录目标用户名与破解密码的对应关系,破解密码根据公开密码和目标特征生成,和/或根据目标用户名和目标特征生成;利用密码字典记录的目标用户名和破解密码对目标网站进行登录;在成功登录目标网站时确定目标用户名的密码为弱口令。
处理器601还用于获取公开密码与一个或多个子特征的所有组合,得到多个第一组合,其中,每个第一组合包括公开密码、一个或者多个子特征和预设连接符,或者,第一组合包括公开密码和一个或者多个子特征;将每一个第一组合作为目标用户名对应的一个破解密码;根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
处理器601还用于获取多个子密码中每个子密码与多个子特征的所有组合,得到多个第二组合,其中,每个第二组合包括子密码、一个或者多个子特征和一个预设连接符,或者,每个第二组合包括子密码和一个或者多个子特征;将每个第二组合作为第一组合。
处理器601还用于获取目标用户名与一个或多个子特征的所有组合,得到多个第三组合,其中,每个第三组合包括目标用户名、一个或者多个子特征和预设连接符,或者,第三组合包括目标用户名和一个或者多个子特征;将每一个第三组合作为目标用户名对应的一个破解密码;根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
处理器601还用于利用密码字典记录的目标用户名和破解密码通过目标网页应用对目标网站进行登录;和/或利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录。
处理器601还用于识别目标网页应用中的用户名输入框、密码输入框和提交按钮;将目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中;通过触发提交按钮向服务器提交第一登录请求,其中,第一登录请求用于请求利用目标用户名和破解密码登录目标网站。
处理器601还用于根据目标用户名和目标用户名对应的破解密码生成第二登录请求,第二登录请求用于请求利用目标用户名和破解密码通过目标服务端口与服务器建立连接;将第二登录请求发送给目标服务端口。
处理器601还用于接收登录参数,其中,登录参数用于指示对目标网站进行登录的频率;按照登录参数所指示的频率对目标网站进行登录。
处理器601还用于采用多个线程同时利用密码字典记录的目标用户名和破解密码对目标网站进行登录。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于存储本发明实施例的弱口令的检测方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于移动通信网络、广域网、城域网或局域网的网络中的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,提取目标网站的目标特征和用于登录目标网站的目标用户名;
S2,在数据库中查找目标用户名对应的公开密码,其中,数据库中记录了目标用户名与公开密码的对应关系,公开密码为已经公开的密码;
S3,根据目标用户名、公开密码和目标特征生成密码字典,其中,密码字典用于记录目标用户名与破解密码的对应关系,破解密码根据公开密码和目标特征生成,和/或根据目标用户名和目标特征生成;
S4,利用密码字典记录的目标用户名和破解密码对目标网站进行登录;
S5,在成功登录目标网站时确定目标用户名的密码为弱口令。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取公开密码与一个或多个子特征的所有组合,得到多个第一组合,其中,每个第一组合包括公开密码、一个或者多个子特征和预设连接符,或者,第一组合包括公开密码和一个或者多个子特征;将每一个第一组合作为目标用户名对应的一个破解密码;根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取多个子密码中每个子密码与多个子特征的所有组合,得到多个第二组合,其中,每个第二组合包括子密码、一个或者多个子特征和一个预设连接符,或者,每个第二组合包括子密码和一个或者多个子特征;将每个第二组合作为第一组合。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行获取目标用户名与一个或多个子特征的所有组合,得到多个第三组合,其中,每个第三组合包括目标用户名、一个或者多个子特征和预设连接符,或者,第三组合包括目标用户名和一个或者多个子特征;将每一个第三组合作为目标用户名对应的一个破解密码;根据目标用户名和目标用户名对应的所有破解密码生成密码字典。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行利用密码字典记录的目标用户名和破解密码通过目标网页应用对目标网站进行登录;和/或利用密码字典记录的目标用户名和破解密码通过目标服务端口对目标网站进行登录。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行识别目标网页应用中的用户名输入框、密码输入框和提交按钮;将目标用户名填入用户名输入框中,将目标用户名对应的破解密码填入密码输入框中;通过触发提交按钮向服务器提交第一登录请求,其中,第一登录请求用于请求利用目标用户名和破解密码登录目标网站。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行根据目标用户名和目标用户名对应的破解密码生成第二登录请求,第二登录请求用于请求利用目标用户名和破解密码通过目标服务端口与服务器建立连接;将第二登录请求发送给目标服务端口。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行接收登录参数,其中,登录参数用于指示对目标网站进行登录的频率;按照登录参数所指示的频率对目标网站进行登录。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行采用多个线程同时利用密码字典记录的目标用户名和破解密码对目标网站进行登录。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (15)
1.一种弱口令的检测方法,其特征在于,包括:
提取目标网站的目标特征和用于登录所述目标网站的目标用户名;
在数据库中查找所述目标用户名对应的公开密码,其中,所述数据库中记录了所述目标用户名与所述公开密码的对应关系,所述公开密码为已经公开的密码;
根据所述目标用户名、所述公开密码和所述目标特征生成密码字典,其中,所述密码字典用于记录所述目标用户名与破解密码的对应关系,所述破解密码根据所述公开密码和所述目标特征生成,和/或根据所述目标用户名和所述目标特征生成;
利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录;
在成功登录所述目标网站时确定所述目标用户名的密码为弱口令。
2.根据权利要求1所述的方法,其特征在于,所述目标特征包括多个子特征,根据所述目标用户名、所述公开密码和所述目标特征生成密码字典包括:
获取所述公开密码与一个或多个所述子特征的所有组合,得到多个第一组合,其中,每个所述第一组合包括所述公开密码、一个或者多个所述子特征和预设连接符,或者,所述第一组合包括所述公开密码和一个或者多个所述子特征;
将每一个所述第一组合作为所述目标用户名对应的一个所述破解密码;
根据所述目标用户名和所述目标用户名对应的所有所述破解密码生成所述密码字典。
3.根据权利要求2所述的方法,其特征在于,所述公开密码包括多个子密码,获取所述公开密码与多个所述子特征的所有组合,得到第一组合包括:
获取所述多个子密码中每个子密码与所述多个所述子特征的所有组合,得到多个第二组合,其中,每个所述第二组合包括所述子密码、一个或者多个所述子特征和一个所述预设连接符,或者,每个所述第二组合包括所述子密码和一个或者多个所述子特征;
将每个所述第二组合作为所述第一组合。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述目标特征包括多个子特征,根据所述目标用户名、所述公开密码和所述目标特征生成密码字典包括:
获取所述目标用户名与一个或多个所述子特征的所有组合,得到多个第三组合,其中,每个所述第三组合包括所述目标用户名、一个或者多个所述子特征和预设连接符,或者,所述第三组合包括所述目标用户名和一个或者多个所述子特征;
将每一个所述第三组合作为所述目标用户名对应的一个所述破解密码;
根据所述目标用户名和所述目标用户名对应的所有所述破解密码生成所述密码字典。
5.根据权利要求1所述的方法,其特征在于,利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录包括:
利用所述密码字典记录的所述目标用户名和所述破解密码通过目标网页应用对所述目标网站进行登录;和/或
利用所述密码字典记录的所述目标用户名和所述破解密码通过目标服务端口对所述目标网站进行登录。
6.根据权利要求5所述的方法,其特征在于,利用所述密码字典记录的所述目标用户名和所述破解密码通过目标网页应用对所述目标网站进行登录包括:
识别所述目标网页应用中的用户名输入框、密码输入框和提交按钮;
将所述目标用户名填入所述用户名输入框中,将所述目标用户名对应的所述破解密码填入所述密码输入框中;
通过触发所述提交按钮向服务器提交第一登录请求,其中,所述第一登录请求用于请求利用所述目标用户名和所述破解密码登录所述目标网站。
7.根据权利要求5所述的方法,其特征在于,利用所述密码字典记录的所述目标用户名和所述破解密码通过目标服务端口对所述目标网站进行登录包括:
根据所述目标用户名和所述目标用户名对应的所述破解密码生成第二登录请求,所述第二登录请求用于请求利用所述目标用户名和所述破解密码通过所述目标服务端口与服务器建立连接;
将所述第二登录请求发送给所述目标服务端口。
8.根据权利要求1所述的方法,其特征在于,在利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录之前,所述方法还包括:
接收登录参数,其中,所述登录参数用于指示对所述目标网站进行登录的频率;
按照所述登录参数所指示的所述频率对所述目标网站进行登录。
9.根据权利要求1所述的方法,其特征在于,利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录包括:
采用多个线程同时利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录。
10.一种弱口令的检测装置,其特征在于,包括:
提取单元,用于提取目标网站的目标特征和用于登录所述目标网站的目标用户名;
查找单元,用于在数据库中查找所述目标用户名对应的公开密码,其中,所述数据库中记录了所述目标用户名与所述公开密码的对应关系,所述公开密码为已经公开的密码;
生成单元,用于根据所述目标用户名、所述公开密码和所述目标特征生成密码字典,其中,所述密码字典用于记录所述目标用户名与破解密码的对应关系,所述破解密码根据所述公开密码和所述目标特征生成,和/或根据所述目标用户名和所述目标特征生成;
第一登录单元,用于利用所述密码字典记录的所述目标用户名和所述破解密码对所述目标网站进行登录;
确定单元,用于在成功登录所述目标网站时确定所述目标用户名的密码为弱口令。
11.根据权利要求10所述的装置,其特征在于,所述目标特征包括多个子特征,所述生成单元包括:
第一组合模块,用于获取所述公开密码与一个或多个所述子特征的所有组合,得到多个第一组合,其中,每个所述第一组合包括所述公开密码、一个或者多个所述子特征和预设连接符,或者,所述第一组合包括所述公开密码和一个或者多个所述子特征;
第一密码模块,用于将每一个所述第一组合作为所述目标用户名对应的一个所述破解密码;
第一字典模块,用于根据所述目标用户名和所述目标用户名对应的所有所述破解密码生成所述密码字典。
12.根据权利要求11所述的装置,其特征在于,所述公开密码包括多个子密码,所述第一组合模块包括:
第一组合子模块,用于获取所述多个子密码中每个子密码与所述多个所述子特征的所有组合,得到多个第二组合,其中,每个所述第二组合包括所述子密码、一个或者多个所述子特征和/或一个所述预设连接符;
第二组合子模块,用于将每个所述第二组合作为所述第一组合。
13.根据权利要求10至12中任一项所述的装置,其特征在于,所述目标特征包括多个子特征,所述生成单元包括:
第二组合模块,用于获取所述目标用户名与一个或多个所述子特征的所有组合,得到多个第二组合,其中,每个所述第二组合包括所述公开密码、一个或者多个所述子特征和预设连接符,或者,所述第二组合包括所述公开密码和一个或者多个所述子特征;
第二密码模块,用于将每一个所述第二组合作为所述目标用户名对应的一个所述破解密码;
第二字典模块,用于根据所述目标用户名和所述目标用户名对应的所有所述破解密码生成所述密码字典。
14.根据权利要求10所述的装置,其特征在于,所述登录单元包括:
第一登录模块,用于利用所述密码字典记录的所述目标用户名和所述破解密码通过目标网页应用对所述目标网站进行登录;和/或
第二登录模块,用于利用所述密码字典记录的所述目标用户名和所述破解密码通过目标服务端口对所述目标网站进行登录。
15.根据权利要求14所述的装置,其特征在于,
所述第一登录模块包括:识别子模块,用于识别所述目标网页应用中的用户名输入框、密码输入框和提交按钮;填入子模块,用于将所述目标用户名填入所述用户名输入框中,将所述目标用户名对应的所述破解密码填入所述密码输入框中;提交子模块,用于通过触发所述提交按钮向服务器提交第一登录请求,其中,所述第一登录请求用于请求利用所述目标用户名和所述破解密码登录所述目标网站,
所述第二登录模块包括:生成子模块,用于根据所述目标用户名和所述目标用户名对应的所述破解密码生成第二登录请求,所述第二登录请求用于请求利用所述目标用户名和所述破解密码通过所述目标服务端口与服务器建立连接;发送子模块,用于将所述第二登录请求发送给所述目标服务端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710288929.2A CN108809895B (zh) | 2017-04-27 | 2017-04-27 | 弱口令的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710288929.2A CN108809895B (zh) | 2017-04-27 | 2017-04-27 | 弱口令的检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108809895A true CN108809895A (zh) | 2018-11-13 |
| CN108809895B CN108809895B (zh) | 2021-07-30 |
Family
ID=64069442
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710288929.2A Active CN108809895B (zh) | 2017-04-27 | 2017-04-27 | 弱口令的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108809895B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110489962A (zh) * | 2019-07-19 | 2019-11-22 | 苏州浪潮智能科技有限公司 | 一种提高操作系统下用户密码复杂度的方法及系统 |
| CN110807190A (zh) * | 2019-10-10 | 2020-02-18 | 连连银通电子支付有限公司 | 一种弱口令检测方法及装置 |
| CN111385272A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 弱口令的检测方法及装置 |
| CN111488581A (zh) * | 2020-03-26 | 2020-08-04 | 杭州迪普科技股份有限公司 | 弱口令漏洞检测方法、装置、电子设备及计算机可读介质 |
| CN111859368A (zh) * | 2020-07-28 | 2020-10-30 | 深圳竹云科技有限公司 | 弱密码生成方法、密码检测方法、装置及电子设备 |
| CN112989360A (zh) * | 2021-03-26 | 2021-06-18 | 湖南大学 | 一种基于并行二叉树的弱口令漏洞自动检测方法及系统 |
| CN114024760A (zh) * | 2021-11-10 | 2022-02-08 | 中国银行股份有限公司 | 渗透测试方法、装置、设备及存储介质 |
| CN114553561A (zh) * | 2022-02-25 | 2022-05-27 | 北京华云安信息技术有限公司 | 一种弱口令高效检测方法、装置、电子设备及存储介质 |
| US11556631B2 (en) * | 2019-06-01 | 2023-01-17 | Apple Inc. | User interfaces for managing user account passwords |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701629A (zh) * | 2013-11-27 | 2014-04-02 | 北京神州泰岳软件股份有限公司 | 一种弱口令分析方法和系统 |
| CN103973651A (zh) * | 2013-02-01 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 基于加盐密码库的账户密码标识设置、查询方法及装置 |
| KR20150113521A (ko) * | 2014-03-31 | 2015-10-08 | (주)모빌랩 | 모바일 PaaS 클라우드 시스템에서 위치정보를 이용한 사용자 인증 제공 방법 |
-
2017
- 2017-04-27 CN CN201710288929.2A patent/CN108809895B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973651A (zh) * | 2013-02-01 | 2014-08-06 | 腾讯科技(深圳)有限公司 | 基于加盐密码库的账户密码标识设置、查询方法及装置 |
| CN103701629A (zh) * | 2013-11-27 | 2014-04-02 | 北京神州泰岳软件股份有限公司 | 一种弱口令分析方法和系统 |
| KR20150113521A (ko) * | 2014-03-31 | 2015-10-08 | (주)모빌랩 | 모바일 PaaS 클라우드 시스템에서 위치정보를 이용한 사용자 인증 제공 방법 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385272A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 弱口令的检测方法及装置 |
| US11556631B2 (en) * | 2019-06-01 | 2023-01-17 | Apple Inc. | User interfaces for managing user account passwords |
| CN110489962B (zh) * | 2019-07-19 | 2022-05-03 | 苏州浪潮智能科技有限公司 | 一种提高操作系统下用户密码复杂度的方法及系统 |
| CN110489962A (zh) * | 2019-07-19 | 2019-11-22 | 苏州浪潮智能科技有限公司 | 一种提高操作系统下用户密码复杂度的方法及系统 |
| CN110807190A (zh) * | 2019-10-10 | 2020-02-18 | 连连银通电子支付有限公司 | 一种弱口令检测方法及装置 |
| CN111488581A (zh) * | 2020-03-26 | 2020-08-04 | 杭州迪普科技股份有限公司 | 弱口令漏洞检测方法、装置、电子设备及计算机可读介质 |
| CN111859368A (zh) * | 2020-07-28 | 2020-10-30 | 深圳竹云科技有限公司 | 弱密码生成方法、密码检测方法、装置及电子设备 |
| CN112989360B (zh) * | 2021-03-26 | 2022-07-15 | 湖南匡安网络技术有限公司 | 一种基于并行二叉树的弱口令漏洞自动检测方法及系统 |
| CN112989360A (zh) * | 2021-03-26 | 2021-06-18 | 湖南大学 | 一种基于并行二叉树的弱口令漏洞自动检测方法及系统 |
| CN114024760A (zh) * | 2021-11-10 | 2022-02-08 | 中国银行股份有限公司 | 渗透测试方法、装置、设备及存储介质 |
| CN114024760B (zh) * | 2021-11-10 | 2023-12-19 | 中国银行股份有限公司 | 渗透测试方法、装置、设备及存储介质 |
| CN114553561A (zh) * | 2022-02-25 | 2022-05-27 | 北京华云安信息技术有限公司 | 一种弱口令高效检测方法、装置、电子设备及存储介质 |
| CN114553561B (zh) * | 2022-02-25 | 2023-12-15 | 北京华云安信息技术有限公司 | 一种弱口令高效检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108809895B (zh) | 2021-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108809895A (zh) | 弱口令的检测方法和装置 | |
| US9497216B2 (en) | Detecting fraudulent activity by analysis of information requests | |
| CN109766700A (zh) | 访问文件的控制方法及装置、存储介质、电子装置 | |
| CN103795545B (zh) | 一种安全通信的方法和系统 | |
| CN104184713B (zh) | 终端识别方法、机器识别码注册方法及相应系统、设备 | |
| CN105262748B (zh) | 广域网中对用户终端进行身份认证的方法和系统 | |
| CN106878265A (zh) | 一种数据处理方法及装置 | |
| CN108009825A (zh) | 一种基于区块链技术的身份管理系统及方法 | |
| CN107864115A (zh) | 一种利用便携式终端进行用户账号登录验证的方法 | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 | |
| CN103929411B (zh) | 信息显示方法、终端、安全服务器及系统 | |
| CN108322461A (zh) | 应用程序自动登录的方法、系统、装置、设备和介质 | |
| CN106130733B (zh) | 更新配置的方法、装置和系统 | |
| CN105472052A (zh) | 一种跨域服务器的登录方法和系统 | |
| CN111563243A (zh) | 一种基于微信小程序的可信身份认证平台 | |
| CN107066882A (zh) | 信息泄露检测方法及装置 | |
| US10298401B1 (en) | Network content search system and method | |
| CN105743905A (zh) | 一种实现安全登录的方法、设备、装置及系统 | |
| CN107317807A (zh) | 一种设备绑定方法、装置及系统 | |
| CN109614789A (zh) | 一种终端设备的验证方法及设备 | |
| CN108156270A (zh) | 域名请求处理方法和装置 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN106559386A (zh) | 一种认证方法及装置 | |
| CN113918977A (zh) | 基于物联网和大数据分析的用户信息传输装置 | |
| CN106657074A (zh) | 一种url伪装及参数隐藏传递的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |