CN111431935B - 一种识别网站登录口令数据传输安全性的方法 - Google Patents
一种识别网站登录口令数据传输安全性的方法 Download PDFInfo
- Publication number
- CN111431935B CN111431935B CN202010300138.9A CN202010300138A CN111431935B CN 111431935 B CN111431935 B CN 111431935B CN 202010300138 A CN202010300138 A CN 202010300138A CN 111431935 B CN111431935 B CN 111431935B
- Authority
- CN
- China
- Prior art keywords
- password
- transmission
- website
- login
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明的识别网站登录口令数据传输安全性的方法,通过以下步骤来实现:a).获取包含用户名和口令的Request请求;b).分析口令生成类型;c).分析登录网站属于HTTP还是HTTPS协议。本发明的识别网站登录口令数据传输安全性的方法,通过判断登录网站的口令是采用明文传输、某编码或加密传输还是基于某变量的口令生成算法传输方式,并结合网站的传输协议来综合判定用户输入的口令在数据传输时的安全性,可以帮助用户获得非常直观易懂的获知网站口令在数据传输层面的安全性能,对网站可能存在的安全隐患了解更深入,提醒用户在登录时存在哪些安全等级非常差的网站,提高用户账号的安全性。
Description
技术领域
本发明涉及一种识别网站登录口令数据传输安全性的方法,更具体的说,尤其涉及一种能分析判断出登录口令生成方式及网站数据传输协议类型的识别网站登录口令数据传输安全性的方法。
背景技术
随着互联网的繁荣发展,越来越多的服务商采用CS架构(服务器-客户机,即Client-Server结构),将功能模块放置在自己的服务器上,而客户端访问软件只需要浏览器就足够使用,这种架构使得服务提供商维护和更新变得更加简单和高效。基于浏览器访问服务模块最简单也最普遍的就是采用网站注册和登录的方式,通过对用户登录凭据的认证决定是否是可信用户以及何种级别权限的用户。
用户的这种登录认证方式,通常都会提供一个账号登录界面,允许用户输入账号和口令,与后台数据库匹配来进行登录验证。对于大部分用户来说,只需要记住账号和口令就可以,登录输入的口令部分也是采用type=”password”格式进行了字符隐藏,然而用户对整个登录的验证过程是未知的,对可能的安全威胁也没有概念。
目前的登录保护方案中,大部分都是采用复杂度更高的加密算法生成口令密文的方式来增强安全性,以此增加破解难度和提高功耗。已经有一些密码安全性相关的专利,如“密码信息提示方法及装置”(申请号:201310109062.1),用于提示用户的密码文本是否有较高的密码强度;如用于确定密码强度的方法、装置和计算机程序产品(申请号:201280073367.5),设计了一种图像密码强度的分析方法。以上的种种专利都主要着力于对密码本身的防护,其他相似专利中也是强调采用高强度的密码来进行保护。
然而,在实际的应用中,登录的网站千差万别,很多网站依然采用安全性不是很高的加密方式,甚至对登录口令不加密或只进行简单的编码处理,使用这些站点进行登录时,即便生成强度再高再复杂的口令,在口令的数据传输过程中也是很容易被捕获到的,从而得到用户的登录凭证,造成账号信息泄露,进而危害用户的个人隐私甚至财产安全等。
发明内容
本发明为了克服上述技术问题的缺点,提供了一种识别网站登录口令数据传输安全性的方法。
本发明的识别网站登录口令数据传输安全性的方法,通过以下步骤来实现:
a).获取登录请求信息,在用户输入账号和口令进行账户登录时,获取包含用户名和口令的Request请求;
b).分析口令生成类型,通过获取的用户名和口令内容,分析判断口令的生成方式,并给出相应的安全性提示;
c).分析网站协议类型,分析判断出账户登录网站属于HTTP协议还是HTTPS协议,并给出相应安全性提示。
本发明的识别网站登录口令数据传输安全性的方法,步骤a)所述的获取登录请求信息通过以下步骤来实现:
a-1).页面监控,用户访问网络站点,当访问登录页面进行账户登录或者访问后台管理页面进行后台登录时,对页面进行监控;
a-2).登录过程抓包,监控用户的账号及口令登录操作,当输入完账号、口令和验证码,并点击登录按钮操作时,对登录过程进行抓包,获取Request请求;
a-3).判断请求是GET型Request包还是POST型Request包,如果是GET型Request包,则记录其URL中的属性值,并查找是否有登录用户名和口令信息,如果存在则查找出口令的传输值;如果不存在则执行步骤a-2),继续抓包监控登录过程中,直至在请求数据中找到提交的用户名和口令信息;如果是POST型Request包,则执行步骤a-4);
a-4).如果是POST型Request包,则分析抓取的POST包中提交的数据内容,查看Form Data,搜索是否包含输入的用户名和口令值,如果包含,则查找出用户名和口令值,如果不包含,则执行步骤a-2) 继续抓包。
本发明的识别网站登录口令数据传输安全性的方法,步骤b)所述的分析口令数据内容生成类型通过以下步骤来实现:
b-1).判断是否为明文传输,判断用户的口令输入值与抓包获取的口令传输值是否相等,如果相等,则表明登录网站口令未采用任何编码和加密,使用明文传输,安全性最低,给出“网站采用口令明文保存传输,安全性最低”的提示;如果不相等,表示不是明文传输,执行步骤b-2);
b-2).如果口令不是明文传输,则将口令传输值与口令输入值经规则数据库中各种已知编码和加密方式生成的密文进行比较匹配,如果匹配成功,则表明网站采用的是规则数据库中某编码或加密方式进行保存传输,并给出“网站采用某种已知编码或加密方式保存传输,易遭受重放和暴力猜解攻击,可能泄露明文”的提示;如果匹配不成功,则执行步骤b-3);
b-3).如果规则数据库中无法匹配,则再次提交相同的用户名和口令,抓包查看此次口令传输值与第一次获取的传输值是否相同,如果相同,则认为是一种规则数据库中暂未加入的新的编码或加密方式,将口令输入值和对应的口令传输值保存并添加到规则数据库中,并命名为一种新的加密规则,给出“网站采用某新编码或加密方式保存传输,易受到重放攻击和暴力猜解攻击”的提示;如果两次抓包的口令传输值不同,则执行步骤b-4);
b-4).如果两次抓包的口令传输值不同,则判定传输值生成算法基于某变量,存在一个变化的种子参数,将此网站标记为口令生成安全,给出“网站口令生成具有抗重放性和抗爆破性,口令生成安全”的用户提示。
本发明的识别网站登录口令数据传输安全性的方法,步骤c)所述的分析网站协议类型通过以下步骤来实现:
c-1).判断网站采用的是HTTP传输协议还是HTTPS传输协议,如果采用的是HTTP传输协议,则提示用户“网站采用HTTP协议传输,明文传输,容易被嗅探,安全等级低”;
c-2).如果网站采用的是HTTPS传输协议,则提示用户“网站采用HTTPS协议传输,密文传输,不易被攻击,安全等级高”。
本发明的有益效果是:本发明的识别网站登录口令数据传输安全性的方法,首先通过抓包的方式获取用户登录时的请求信息,并分析查找出用户名(即账号)和口令值,通过分析口令传输值与口令输入值、口令输入经规则数据库中编码或加密方式生成的口令传输值或者两次抓包获取的口令传输值之间的关系,判断出登录网站的口令是采用明文传输、某编码或加密传输还是基于某变量的口令生成算法传输方式,并结合网站的传输协议来综合判定用户输入的口令在传输时的安全性,并在用户登录时给出安全性提醒。这样,可以帮助用户获得非常直观易懂的获知网站口令在数据传输层面的安全性能,对网站可能存在的安全隐患了解更深入,提醒用户在登录时存在哪些安全等级非常差的网站,有利于用户对当前登录网站的口令安全性做出评估,提高用户账号的安全性。
附图说明
图1为本发明的识别网站登录口令数据传输安全性的方法的流程图;
图2为本发明中获取Request请求参数中包含用户名和口令传输值的方法流程图;
图3为本发明中根据获取的口令传输值以及现有规则数据库进行编码或加密算法识别并输出用户提示的方法流程图;
图4为本发明中识别网站协议并输出用户提示的方法流程图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
如图1所示,给出了本发明的识别网站登录口令数据传输安全性的方法的流程图,利用抓包得到的用户名和口令,对口令生成方式和网络协议进行分析来判断网站口令在数据传输上的安全性,它包括以下三个过程:(1)获取网站中带用户名和口令参数的请求,(2)根据口令传输值和规则数据库匹配分析判断口令的生成方式,并输出提示信息,(3)根据网络协议分析传输的安全性,并输出提示信息。
如图2所示,给出了本发明中获取Request请求参数中包含用户名和口令传输值的方法流程图,在网站的用户登录界面,选择测试使用的用户名、口令对,要求用户名输入值需满足网站登录要求的格式,如邮箱地址、手机号、用户名、姓名、学号等,要求口令输入值选择随机性强无序且满足网站登录口令强度需求的排列,例如B3r5Si92作为测试口令输入值。本发明所述获取Request请求参数中包含用户名和口令传输值的方法包括如下步骤:
步骤101:在网站的登录页面,设置好本地代理和端口,如使用代理工具BurpSuite,设置本地代理为127.0.0.1:8080,在登录框填写用户名和口令的测试输入用例,比如用户名(即账号)为aaaaaaa@test.com,口令输入值为B3r5Si92,如果有验证码,输入正确的验证码并点击登录;
步骤102:点击后在BurpSuite工具中抓到Request包,查看请求的Method,若为GET型,则搜索在URL参数中是否包含输入的用户名aaaaaaa@test.com,若不存在,则Forward包之后继续抓取;若请求类型为POST,则搜素在Form Data中是否有参数包含输入的用户名aaaaaaa@test.com,若不存在则Forward包之后继续抓包;
步骤103:若抓取的数据包参数中含有用户名aaaaaaa@test.com,则在此包中继续查找口令关键字,可以结合登录页面的HTML源码,查看口令属性的定义,结合name来确定口令的密文值,例如页面源码中有<input name="pass" type="password">,则抓取的包中属性pass=***就很可能是口令的传输值。此时获取了网站登录的用户名和口令传输值对。
如图3所示,给出了本发明中根据获取的口令传输值以及现有规则数据库进行口令生成的编码或加密算法识别并输出用户提示的方法流程图,其包括以下步骤:
步骤201:获取的用户名和口令传输对,查看口令传输值是否等于初始的口令输入值B3r5Si92,如果等于,则跳转到步骤202;如果不相等,则跳转到步骤203;
步骤202:口令传输值等于口令输入值的测试用例,口令在此网站登录时是明文传输的,提示用户网站口令采用明文传输,安全性很差;
步骤203:口令传输值不等于口令输入值,取口令传输值与规则数据库中每一个此测试口令输入值B3r5Si92在已知各种编码和加密下的生成值进行比较匹配,如果匹配成功,则跳转到步骤204,否则跳转到步骤205;
步骤204:规则数据库匹配成功,记录匹配成功的数据中此编码或加密方法,提示用户网站口令采用XX编码(加密),容易被解码(解密),可能受到重放和爆破攻击;
步骤205:规则数据库匹配失败,则再次提交相同的用户名和口令输入值进行第二次抓包,得到第二次的用户名和口令传输值,并比较第二次口令传输值是否与第一次抓包的口令传输值相同,如果相同则跳转到步骤206,否则跳转到步骤207;
步骤206:第二次与第一次口令传输值相同,则表明这是一种规则定义的编码或加密方式,且目前在规则数据库中未成功匹配,将口令输入值及对应的口令传输值对添加到规则数据库中,并命名为口令生成算法i,其中i的值从1开始,且每当跳转执行到此步骤时,i的值累加1,,最后提示用户这是一种新增编码或加密方式,可能受到重放攻击;
步骤207:第二次与第一次口令传输值不同,则表明口令传输值的生成与某个变量有关,如时间种子或某个服务器返回key值等,提示用户口令生成基于某种变量,安全系数高,不容易破解。
经过以上步骤,得到口令的生成方式,并给出用户友好的网站安全性提示。
如图4所示,给出了本发明中识别网站协议并输出用户提示的方法流程图,包括以下步骤:
步骤301:根据抓包的内容,查看含有用户名和口令的页面Request包中,Referer或Origin属性中,网站属于HTTP协议还是HTTPS协议,若是HTTP协议,则跳转到步骤302,否则跳转到步骤303;
步骤302:网站是HTTP协议,则提示用户数据进行明文传输,容易被嗅探,安全等级低;
步骤303:网站是HTTPS协议,则提示用户数据进行密文传输,不易被攻击,安全等级高。
经过以上各模块步骤,最终输出提示用户该网站登录口令数据传输的安全性。
上述实例中,在网站登录时,用户名设置为aaaaaaa@test.com,口令输入值设置为B3r5Si92,在本申请中不将其保护范围仅限于此,对用户名和口令的适当调整也可以实现网站登录口令的数据传输安全性分析,同样也应视为本申请的保护范围。部分网站对用户名部分也进行加密或编码,与上述实例中口令部分分析方法相同,也可以得到针对用户名部分的传输安全性分析,同样也应视为本申请的保护范围。
本发明首先设定了网站登录的用户名和口令作为测试用例,然后通过网络抓包和分析提取出网站传输的实际用户名和口令传输值,通过与规则数据库中的编码和加密结果进行比较,分析得出口令传输值的生成方式,并提示用户此生成方式的安全性,然后分析网站登录时的协议类型,根据协议不同提示用户此协议下的安全性。最终用户可以对网站登录口令有非常清晰和完整的了解,以便对账户进行安全的管理。
Claims (3)
1.一种识别网站登录口令数据传输安全性的方法,其特征在于,通过以下步骤来实现:
a).获取登录请求信息,在用户输入账号和口令进行账户登录时,获取包含用户名和口令的Request请求;
b).分析口令生成类型,通过获取的用户名和口令内容,分析判断口令的生成方式,并给出相应的安全性提示;
c).分析网站协议类型,分析判断出账户登录网站属于HTTP协议还是HTTPS协议,并给出相应安全性提示;
步骤b)所述的分析口令数据内容生成类型通过以下步骤来实现:
b-1).判断是否为明文传输,判断用户的口令输入值与抓包获取的口令传输值是否相等,如果相等,则表明登录网站口令未采用任何编码和加密,使用明文传输,安全性最低,给出“网站采用口令明文保存传输,安全性最低”的提示;如果不相等,表示不是明文传输,执行步骤b-2);
b-2).如果口令不是明文传输,则将口令传输值与口令输入值经规则数据库中各种已知编码和加密方式生成的密文进行比较匹配,如果匹配成功,则表明网站采用的是规则数据库中某编码或加密方式进行保存传输,并给出“网站采用某种已知编码或加密方式保存传输,易遭受重放和暴力猜解攻击,可能泄露明文”的提示;如果匹配不成功,则执行步骤b-3);
b-3).如果规则数据库中无法匹配,则再次提交相同的用户名和口令,抓包查看此次口令传输值与第一次获取的传输值是否相同,如果相同,则认为是一种规则数据库中暂未加入的新的编码或加密方式,将口令输入值和对应的口令传输值保存并添加到规则数据库中,并命名为一种新的加密规则,给出“网站采用某种编码或加密方式保存传输,易受到重放攻击和暴力猜解攻击”的提示;如果两次抓包的口令传输值不同,则执行步骤b-4);
b-4).如果两次抓包的口令传输值不同,则判定传输值生成算法基于某变量,存在一个变化的种子参数,将此网站标记为口令生成安全,给出“网站口令生成具有抗重放性和抗爆破性,口令生成安全”的用户提示。
2.根据权利要求1所述的识别网站登录口令数据传输安全性的方法,其特征在于,步骤a)所述的获取登录请求信息通过以下步骤来实现:
a-1).页面监控,用户访问网络站点,当访问登录页面进行账户登录或者访问后台管理页面进行后台登录时,对页面进行监控;
a-2).登录过程抓包,监控用户的账号及口令登录操作,当输入完账号、口令和验证码,并点击登录按钮操作时,对登录过程进行抓包,获取Request请求;
a-3).判断请求是GET型Request包还是POST型Request包,如果是GET型Request包,则记录其URL中的属性值,并查找是否有登录用户名和口令信息,如果存在则查找出口令的传输值;如果不存在则执行步骤a-2),继续抓包监控登录过程中,直至在请求数据中找到提交的用户名和口令信息;如果是POST型Request包,则执行步骤a-4);
a-4).如果是POST型Request包,则分析抓取的POST包中提交的数据内容,查看FormData,搜索是否包含输入的用户名和口令值,如果包含,则查找出用户名和口令值,如果不包含,则执行步骤a-2) 继续抓包。
3.根据权利要求2所述的识别网站登录口令数据传输安全性的方法,其特征在于,步骤c)所述的分析网站协议类型通过以下步骤来实现:
c-1).判断网站采用的是HTTP传输协议还是HTTPS传输协议,如果采用的是HTTP传输协议,则提示用户“网站采用HTTP协议传输,明文传输,容易被嗅探,安全等级低”;
c-2).如果网站采用的是HTTPS传输协议,则提示用户“网站采用HTTPS协议传输,密文传输,不易被攻击,安全等级高”。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010300138.9A CN111431935B (zh) | 2020-04-16 | 2020-04-16 | 一种识别网站登录口令数据传输安全性的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010300138.9A CN111431935B (zh) | 2020-04-16 | 2020-04-16 | 一种识别网站登录口令数据传输安全性的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111431935A CN111431935A (zh) | 2020-07-17 |
CN111431935B true CN111431935B (zh) | 2021-04-30 |
Family
ID=71557980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010300138.9A Active CN111431935B (zh) | 2020-04-16 | 2020-04-16 | 一种识别网站登录口令数据传输安全性的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111431935B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111988301A (zh) * | 2020-08-14 | 2020-11-24 | 武汉气吞云梦科技有限公司 | 一种客户端防黑客暴力攻击的安全通讯方法 |
CN114257442A (zh) * | 2021-12-20 | 2022-03-29 | 山石网科通信技术股份有限公司 | 一种传输漏洞的检测方法及装置、存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103812958A (zh) * | 2012-11-14 | 2014-05-21 | 中兴通讯股份有限公司 | 网络地址转换技术的处理方法、nat设备及bng设备 |
CN104135467A (zh) * | 2014-05-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 识别恶意网站的方法及装置 |
CN107770112A (zh) * | 2016-08-15 | 2018-03-06 | 娄奥林 | 一种防止账号被盗用的方法和服务器 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10231122B2 (en) * | 2015-04-27 | 2019-03-12 | International Business Machines Corporation | Challenge-response authentication based on internet of things information |
CN110290133A (zh) * | 2019-06-25 | 2019-09-27 | 常熟市飞梦信息技术有限公司 | 一种网站云防护方法及装置 |
-
2020
- 2020-04-16 CN CN202010300138.9A patent/CN111431935B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103812958A (zh) * | 2012-11-14 | 2014-05-21 | 中兴通讯股份有限公司 | 网络地址转换技术的处理方法、nat设备及bng设备 |
CN104135467A (zh) * | 2014-05-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 识别恶意网站的方法及装置 |
CN107770112A (zh) * | 2016-08-15 | 2018-03-06 | 娄奥林 | 一种防止账号被盗用的方法和服务器 |
Non-Patent Citations (2)
Title |
---|
《从网络安全法看http协议中的明文传输》;胡越;《探索与观察》;20180829;全文 * |
《敏感信息明文传输相关问题小结》;白帽梦想家;《CCSDN网站》;20181224;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111431935A (zh) | 2020-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Alaca et al. | Device fingerprinting for augmenting web authentication: classification and analysis of methods | |
Dyer et al. | Protocol misidentification made easy with format-transforming encryption | |
CN107209830B (zh) | 用于识别并抵抗网络攻击的方法 | |
CA2679967C (en) | System and method for providing application penetration testing | |
CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
WO2015062378A1 (zh) | 一种客户端应用程序的用户注册方法、移动终端及服务器 | |
Miculan et al. | Formal analysis of Facebook Connect single sign-on authentication protocol | |
CN107347076B (zh) | Ssrf漏洞的检测方法及装置 | |
CN101572608A (zh) | 一次登录参数的获取方法及装置 | |
US11792221B2 (en) | Rest API scanning for security testing | |
CN103118022B (zh) | 一种无密码异端登陆验证方法 | |
CA2762706A1 (en) | Method and system for securing communication sessions | |
CN111431935B (zh) | 一种识别网站登录口令数据传输安全性的方法 | |
CN105743905A (zh) | 一种实现安全登录的方法、设备、装置及系统 | |
CN112131564A (zh) | 加密数据通信方法、装置、设备以及介质 | |
CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 | |
Danezis | Traffic Analysis of the HTTP Protocol over TLS | |
KR101005866B1 (ko) | 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템 | |
CN103647652B (zh) | 一种实现数据传输的方法、装置和服务器 | |
CN103095663B (zh) | 一种非登录用户间的信息交互方法和装置 | |
CN104618356B (zh) | 身份验证方法及装置 | |
CN113783867B (zh) | 一种请求认证方法及终端 | |
CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
CN105071993B (zh) | 加密状态检测方法和系统 | |
CN104063779B (zh) | 邮箱附件下载方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |