CN109241460A - 一种解决网页弱口令探测繁琐配置的方法和系统 - Google Patents
一种解决网页弱口令探测繁琐配置的方法和系统 Download PDFInfo
- Publication number
- CN109241460A CN109241460A CN201810864237.2A CN201810864237A CN109241460A CN 109241460 A CN109241460 A CN 109241460A CN 201810864237 A CN201810864237 A CN 201810864237A CN 109241460 A CN109241460 A CN 109241460A
- Authority
- CN
- China
- Prior art keywords
- webpage
- weak passwurd
- request
- http
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及网络安全防护技术,旨在提供一种解决网页弱口令探测繁琐配置的方法和系统。包括:对目标网页登录的表单进行识别与分析,获取关键登录信息进行自动提取,形成网页登录特征后与本地保存的网页登录特征库进行匹配,生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板;然后执行自动化探测、识别目标网站的登录模式从而采用预设值的弱口令库执行有效的尝试登录操作。本发明能扩大网页弱口令探测的适用范围,提高网页弱口令检测效率,降低使用者技术门槛。在后期运用中只需一次弱口令探测逻辑,实际应用中可使用不同用户名、密码扩展至多次。本发明的系统是实现该方法的最简系统组成,可通过添加功能实现其他功能模块。
Description
技术领域
本发明涉及网络安全防护技术,特别涉及一种解决网页弱口令探测繁琐配置的方法和系统。
背景技术
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。目前针对弱口令的探测方法有很多,通用方法是针对不同的协议构造响应的登录请求数据包。构造请求数据包的过程中,需要用到常见账号/密码元组形成的弱口令字典去填充请求数据包中的账号、密码对应的位置以供发送。然后将这些数据包发送至对应协议运行的服务器,将服务器返回的数据进行解析判断登录成功与否。
网页弱口令的探测是弱口令探测中的特殊存在,由于网页由于开发者的设计的高度自由,每个网页的登录请求页地址、账号字段名、密码字段名、登录请求方法等均存在或多或少的区别。目前在网页弱口令的探测上采用较多的常规解决方案分为两个步骤,第一个步骤是设置弱口令探测相关参数,比如登录请求页地址、账号字段名、密码字段名、登录请求方法等。这些信息需要手动查看目标登录网页源代码获取。第二个步骤是使用程序完成HTTP请求构造,将需要尝试登录的账号/密码,填充进HTTP请求中的相应位置中,并发送至目标服务器,然后分析判断登录成功与否。
常规通用网页弱口令探测方法,需要手动查看网页源代码并将账号|密码输入框对应字段名称、登录请求方法、登录请求页地址添加至探测器。在执行时需要经过大量的人工配置环节,如需要手动查看网页源代码并将账号|密码输入框对应字段名称、登录请求方法、登录请求页地址添加至探测器。采用这种方法对探测执行人员存在一定的技术要求门槛,还会浪费大量的时间在网页弱口令的探测执行的前期配置工作上。
中国发明专利申请“一种网站弱口令的检测方法”(专利号:201410136385.4)提出了一种解决方案:基于调度任务对网站进行自动扫描,获得所述网站的用户信息;基于所述加密方式,对弱口令字典中的弱口令进行加密,获得加密后的弱口令;将加密后的弱口令与所述密码进行匹配,获得弱口令密码和正常密码;基于所述弱口令密码和所述弱口令密码对应的用户名进行验证模拟登陆。但是该方法无法识别网页登录特征,也没有整理网站登录特征库,只能针对特定的网站进行检测,限制了在其他网站的弱口令检测应用;且该技术只能用弱口令字典中与密码对应的用户名进行检测,无法检测其他的用户名是否存在弱口令。
发明内容
本发明要解决的技术问题是,克服现有技术中的不足,提供一种解决网页弱口令探测繁琐配置的方法和系统。
为解决上述技术问题,本发明采用的解决方案是:
提供一种解决网页弱口令探测繁琐配置的方法,包括以下步骤:
(1)对目标网页登录的表单进行识别与分析,获取关键登录信息;
(2)根据获取到的关键登录信息进行自动提取,形成网页登录特征;
(3)将得到的网页登录特征与本地保存的网页登录特征库进行匹配,生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板;
(4)使用弱口令字典中的账号和密码去替换HTTP请求构造模板中的账号与密码信息位,形成可发送的HTTP请求;
(5)将可发送的HTTP请求发送至目标服务器;
(6)解析收到的HTTP响应信息,判断是否登录成功;若登录成功则存在弱口令且弱口令为构造可发送的HTTP请求时所使用的账号、密码;
(7)若登录不成功,则继续使用弱口令字典中的下一组账号与密码,用于构造可发送的HTTP请求以进行下一轮测试。
本发明中,所述步骤(1)具体包括:
(1.1)输入需探测网页弱口令的URL以访问登录网页,获取返回的登录网页源代码内容;
(1.2)分解网页源代码内容,获取表单列表;
(1.3)对获取到的表单列表进行识别,判断登录表单位置;
(1.4)分解登录表单属性,得到账号和密码输入框对应字段名称、登录请求方法、登录请求页地址这些关键登录信息。
本发明中,所述步骤(2)具体是指:将账号和密码输入框对应的字段名称、登录请求方法、登录请求页地址进行组合形成唯一特征,作为登录模式的一种标记。
本发明中,所述本地网页登录特征库的构建方式是:通过事先采集足够数量等级的登录网页获取其网页登录特征,并构造相应的HTTP登录请求模板与网页登录特征一一对应,形成网页登录特征与HTTP登录请求模板的二元组集合。
本发明进一步提供了用于实现前述方法的系统,包括:用于输入需探测网页弱口令的URL和展示弱口令检测过程与结果的人机交互界面、用于解析网页登录信息形成网页登录特征的登录识别模块、用于构造弱口令HTTP探测请求的请求数据构造模块、用于发送HTTP弱口令探测请求的请求数据发送模块,以及用于分析HTTP响应数据的响应数据分析模块;所述人机交互界面、登录识别模块、请求数据构造模块、请求数据发送模块、响应数据分析模块业务依次实现连接。
与现有技术相比,本发明的技术效果是:
1、本发明可自动化的识别账号|密码输入框对应字段名称、登录请求方法、登录请求页地址,形成登录特征执行自动登录。扩大网页弱口令探测的适用范围,提高网页弱口令检测效率,降低使用者技术门槛。
2、本发明通过分析目标URL中的网页源代码,形成网页登录特征;本地保存网页登录特征、HTTP登录请求模板二元组集合形成的网页登录特征库;在后期运用中只需一次弱口令探测逻辑,实际应用中可使用不同用户名、密码扩展至多次。
3、本发明的系统是实现该方法的最简系统组成,可通过添加功能实现其他功能模块。
附图说明
图1为本发明所述系统的连接关系示意图。
图2为本发明具体实施例的操作流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述。
首先需要说明的是,本发明涉及数据库技术,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。前述软件功能模块包括但不限于:登录识别模块、请求数据构造模块、请求数据发送模块、响应数据分析模块等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
如图1所示,本发明提供了用于解决网页弱口令探测繁琐配置的系统,包括用于输入需探测网页弱口令的URL和展示弱口令检测过程与结果的人机交互界面、用于解析网页登录信息形成网页登录特征的登录识别模块、用于构造弱口令HTTP探测请求的请求数据构造模块、用于发送HTTP弱口令探测请求的请求数据发送模块,以及用于分析HTTP响应数据的响应数据分析模块;所述人机交互界面、登录识别模块、请求数据构造模块、请求数据发送模块、响应数据分析模块业务依次实现连接。
如图2所示,本发明中解决网页弱口令探测繁琐配置的方法,包括以下步骤:
(1)对目标网页登录的表单进行识别与分析,获取关键登录信息;
该步骤具体包括:
(1.1)输入需探测网页弱口令的URL以访问登录网页,获取返回的登录网页源代码内容;
(1.2)分解网页源代码内容,获取表单列表;
(1.3)对获取到的表单列表进行识别,判断登录表单位置;
(1.4)分解登录表单属性,得到账号和密码输入框对应字段名称、登录请求方法、登录请求页地址这些关键登录信息。
(2)根据获取到的关键登录信息进行自动提取,形成网页登录特征;
该步骤具体是指:将账号和密码输入框对应的字段名称、登录请求方法、登录请求页地址进行组合形成唯一特征,作为登录模式的一种标记。
(3)将得到的网页登录特征与本地保存的网页登录特征库进行匹配,生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板;
本地网页登录特征库的构建方式是:通过事先采集足够数量等级的登录网页获取其网页登录特征,并构造相应的HTTP登录请求模板与网页登录特征一一对应,形成网页登录特征与HTTP登录请求模板的二元组集合。
(4)使用弱口令字典中的账号和密码去替换HTTP请求构造模板中的账号与密码信息位,形成可发送的HTTP请求;
(5)将可发送的HTTP请求发送至目标服务器;
(6)解析收到的HTTP响应信息,判断是否登录成功;若登录成功则存在弱口令且弱口令为构造可发送的HTTP请求时所使用的账号、密码;
(7)若登录不成功,则继续使用弱口令字典中的下一组账号与密码,用于构造可发送的HTTP请求以进行下一轮测试。
上述步骤(1.1)中的输入和步骤(6)中登录成功的探测结果显示,均由人机交互界面完成;步骤(1.2)-(1.4),以及步骤(2)是由登录识别模块完成的;步骤(3)、(4)、(7)是由请求数据构造模块完成的;步骤(5)是由请求数据发送模块完成的,步骤(6)是由响应数据分析模块完成的。
下面结合一个具体的实例,对本发明的具体操作进行说明:
如现需对http://192.168.24.190执行弱口令探测,执行过程如下
(1)对目标网页登录的表单http://192.168.24.190进行识别与分析,获取关键登录信息<form name=”userlogin”method=”post”action="User_Checklogin.asp"</form>;
(2)根据获取到的关键登录信息进行自动提取,形成网页登录特征[action=action="User_Checklogin.asp"|method=”post”|username=”username”|passwd=”userpassword”];
(3)将得到的网页登录特征与本地保存的网页登录特征库进行匹配,生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板;
(4)使用弱口令字典中的账号和密码去替换HTTP请求构造模板中的账号与密码信息位,形成可发送的HTTP请求;
请求头构造如下:
Host:192.168.24.190
User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64;rv:61.0)Gecko/20100101Firefox/61.0
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding:gzip,deflate
Referer:http://192.168.24.190/
Content-Type:application/x-www-form-urlencoded
Content-Length:91
Connection:keep-alive
Upgrade-Insecure-Requests:1
请求主体构造如下:
username=ameiyue8888&userpassword=123123123
(5)将可发送的HTTP请求发送至目标服务器;
(6)解析收到的HTTP响应信息,判断是否登录成功;若登录成功则存在弱口令且弱口令为构造可发送的HTTP请求时所使用的账号、密码;
(7)若登录不成功,则继续使用弱口令字典中的下一组账号与密码替换请求主体中的username与userpassword,用于构造可发送的HTTP请求以进行下一轮测试。
Claims (5)
1.一种解决网页弱口令探测繁琐配置的方法,其特征在于,包括以下步骤:
(1)对目标网页登录的表单进行识别与分析,获取关键登录信息;
(2)根据获取到的关键登录信息进行自动提取,形成网页登录特征;
(3)将得到的网页登录特征与本地保存的网页登录特征库进行匹配,生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板;
(4)使用弱口令字典中的账号和密码去替换HTTP请求构造模板中的账号与密码信息位,形成可发送的HTTP请求;
(5)将可发送的HTTP请求发送至目标服务器;
(6)解析收到的HTTP响应信息,判断是否登录成功;若登录成功则存在弱口令且弱口令为构造可发送的HTTP请求时所使用的账号、密码;
(7)若登录不成功,则继续使用弱口令字典中的下一组账号与密码,用于构造可发送的HTTP请求以进行下一轮测试。
2.根据权利要求1所述的方法,其特征在于,所述步骤(1)具体包括:
(1.1)输入需探测网页弱口令的URL以访问登录网页,获取返回的登录网页源代码内容;
(1.2)分解网页源代码内容,获取表单列表;
(1.3)对获取到的表单列表进行识别,判断登录表单位置;
(1.4)分解登录表单属性,得到账号和密码输入框对应字段名称、登录请求方法、登录请求页地址这些关键登录信息。
3.根据权利要求1所述的方法,其特征在于,所述步骤(2)具体是指:将账号和密码输入框对应的字段名称、登录请求方法、登录请求页地址进行组合形成唯一特征,作为登录模式的一种标记。
4.根据权利要求1所述的方法,其特征在于,所述本地网页登录特征库的构建方式是:通过事先采集足够数量等级的登录网页获取其网页登录特征,并构造相应的HTTP登录请求模板与网页登录特征一一对应,形成网页登录特征与HTTP登录请求模板的二元组集合。
5.一种用于实现权利要求1所述方法的系统,其特征在于,该系统包括:用于输入需探测网页弱口令的URL和展示弱口令检测过程与结果的人机交互界面、用于解析网页登录信息形成网页登录特征的登录识别模块、用于构造弱口令HTTP探测请求的请求数据构造模块、用于发送HTTP弱口令探测请求的请求数据发送模块,以及用于分析HTTP响应数据的响应数据分析模块;所述人机交互界面、登录识别模块、请求数据构造模块、请求数据发送模块、响应数据分析模块业务依次实现连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810864237.2A CN109241460A (zh) | 2018-08-01 | 2018-08-01 | 一种解决网页弱口令探测繁琐配置的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810864237.2A CN109241460A (zh) | 2018-08-01 | 2018-08-01 | 一种解决网页弱口令探测繁琐配置的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109241460A true CN109241460A (zh) | 2019-01-18 |
Family
ID=65073426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810864237.2A Pending CN109241460A (zh) | 2018-08-01 | 2018-08-01 | 一种解决网页弱口令探测繁琐配置的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109241460A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768947A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 渗透测试的口令发送方法及装置、存储介质、电子装置 |
| CN112738006A (zh) * | 2019-10-28 | 2021-04-30 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN113709193A (zh) * | 2021-11-01 | 2021-11-26 | 江苏开博科技有限公司 | 基于流量与动态页面特征的web弱口令检测方法 |
| CN114978752A (zh) * | 2022-06-17 | 2022-08-30 | 北京安博通金安科技有限公司 | 弱密码检测方法、装置、电子设备及计算机可读存储介质 |
| CN115580494A (zh) * | 2022-12-08 | 2023-01-06 | 北京长亭未来科技有限公司 | 一种弱口令的检测方法、装置和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9501636B1 (en) * | 2015-06-04 | 2016-11-22 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| CN108121909A (zh) * | 2017-12-12 | 2018-06-05 | 深圳中琛源科技股份有限公司 | 一种弱口令的检测方法、终端设备及存储介质 |
| CN108234525A (zh) * | 2018-03-30 | 2018-06-29 | 阜阳职业技术学院 | 一种计算机网络安全中的信息防泄漏防盗窃管理系统 |
-
2018
- 2018-08-01 CN CN201810864237.2A patent/CN109241460A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9501636B1 (en) * | 2015-06-04 | 2016-11-22 | International Business Machines Corporation | Automatically altering and encrypting passwords in systems |
| CN108121909A (zh) * | 2017-12-12 | 2018-06-05 | 深圳中琛源科技股份有限公司 | 一种弱口令的检测方法、终端设备及存储介质 |
| CN108234525A (zh) * | 2018-03-30 | 2018-06-29 | 阜阳职业技术学院 | 一种计算机网络安全中的信息防泄漏防盗窃管理系统 |
Non-Patent Citations (1)
| Title |
|---|
| 田峥等: "基于网页静态分析的Web应用系统弱口令检测方法", 《湖南电力》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768947A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 渗透测试的口令发送方法及装置、存储介质、电子装置 |
| CN112738006A (zh) * | 2019-10-28 | 2021-04-30 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN112738006B (zh) * | 2019-10-28 | 2023-11-07 | 深信服科技股份有限公司 | 识别方法、设备及存储介质 |
| CN113709193A (zh) * | 2021-11-01 | 2021-11-26 | 江苏开博科技有限公司 | 基于流量与动态页面特征的web弱口令检测方法 |
| CN114978752A (zh) * | 2022-06-17 | 2022-08-30 | 北京安博通金安科技有限公司 | 弱密码检测方法、装置、电子设备及计算机可读存储介质 |
| CN115580494A (zh) * | 2022-12-08 | 2023-01-06 | 北京长亭未来科技有限公司 | 一种弱口令的检测方法、装置和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109241460A (zh) | 一种解决网页弱口令探测繁琐配置的方法和系统 | |
| CN105871838B (zh) | 一种第三方账号的登录控制方法及用户中心平台 | |
| Büchler et al. | Semi-automatic security testing of web applications from a secure model | |
| CN103701805A (zh) | 检测网络中弱口令的方法及装置 | |
| JP4467256B2 (ja) | 代理認証プログラム、代理認証方法、および代理認証装置 | |
| CN102065147A (zh) | 一种基于企业应用系统获取用户登录信息的方法及装置 | |
| CN103001856A (zh) | 一种信息分享方法及系统、即时通讯客户端及服务器 | |
| CN101242279A (zh) | 用于web系统的自动化渗透性测试系统和方法 | |
| CN103490896B (zh) | 多用户网站自动登录器及其实现方法 | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
| CN112383535B (zh) | 哈希传递攻击行为的检测方法、装置和计算机设备 | |
| CN107835160A (zh) | 基于二维码的第三方用户认证方法 | |
| CN104852916A (zh) | 一种基于社会工程学的网页验证码识别方法及系统 | |
| CN107196936A (zh) | 接口转发方法、系统、计算机设备和存储介质 | |
| CN103095663B (zh) | 一种非登录用户间的信息交互方法和装置 | |
| CN105959278B (zh) | 一种调用vpn的方法、设备和系统 | |
| WO2020072794A1 (en) | Digitized test management center | |
| CN103139178B (zh) | 互联网开放平台数据请求接口的验证方法和装置 | |
| Abrahams et al. | Compliance at velocity within a devops environment | |
| Ziauddin et al. | Formal analysis of ISO/IEC 9798-2 authentication standard using AVISPA | |
| Walz et al. | Maximizing and leveraging behavioral discrepancies in TLS implementations using response-guided differential fuzzing | |
| CN111400027A (zh) | 一种分布式任务处理方法、装置及系统 | |
| Pan et al. | Model‐Based Grey‐Box Fuzzing of Network Protocols | |
| KR100432892B1 (ko) | 웹사이트 접속통계 산출시스템 및 그 방법 | |
| CN108810032A (zh) | 一种基于代理的Web跨站安全处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190118 |