CN112165473A - 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质 - Google Patents

一种任意账号密码重置逻辑漏洞的检测方法、装置及介质 Download PDF

Info

Publication number
CN112165473A
CN112165473A CN202011002902.0A CN202011002902A CN112165473A CN 112165473 A CN112165473 A CN 112165473A CN 202011002902 A CN202011002902 A CN 202011002902A CN 112165473 A CN112165473 A CN 112165473A
Authority
CN
China
Prior art keywords
verification code
password resetting
account password
detected
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011002902.0A
Other languages
English (en)
Other versions
CN112165473B (zh
Inventor
娄宇
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011002902.0A priority Critical patent/CN112165473B/zh
Publication of CN112165473A publication Critical patent/CN112165473A/zh
Priority to PCT/CN2021/098852 priority patent/WO2022062478A1/zh
Priority to US18/027,913 priority patent/US20230370846A1/en
Application granted granted Critical
Publication of CN112165473B publication Critical patent/CN112165473B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种任意账号密码重置逻辑漏洞的检测方法、装置及计算机可读存储介质,方法包括:调用预设的识别程序判断待检测网页中是否发起验证码发送请求;如果是,则从前端页面获取与验证码发送请求对应的响应包,并判断响应包中是否存在短信验证码;若存在,则确定出待检测网页存在任意账号密码重置逻辑漏洞。可见,本方法不仅避免技术人员手动进行检测操作,节省大量的人力资源,而且任意账号密码重置逻辑漏洞将会对待检测网页中执行业务逻辑的过程造成影响,因此依据前端页面的响应包中是否存在对应的短信验证码来确定待检测网页中是否存在任意账号密码重置逻辑漏洞,能够使得检测结果更加全面准确。

Description

一种任意账号密码重置逻辑漏洞的检测方法、装置及介质
技术领域
本发明涉及网页检测领域,特别涉及一种任意账号密码重置逻辑漏洞的检测方法、装置及计算机可读存储介质。
背景技术
随着计算机技术的快速发展以及业务逻辑的复杂化,使得网站网页中存在任意账号密码重置逻辑漏洞的可能性越来越大。任意账号密码重置逻辑漏洞是指由于网页中的请求表单的程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能够正常处理请求或请求处理错误。任意账号密码重置是一种高危害的业务逻辑漏洞,若网页中存在任意账号密码重置逻辑漏洞,攻击者便可以利用网页中的任意账号密码重置逻辑漏洞,伪造其他用户重置该用户的登录密码,通过修改用户的账号密码,从而进一步实现盗取、篡改用户的用户信息等目的,从而给用户的信息安全带来严重的安全隐患。例如,如果手机验证码接口将短信验证码发送到前端页面,那么攻击者可以在不通过手机查看短信验证码情况下获取到对应的短信验证码,进而实现重置密码的操作,即表示当前的网页存在任意账号密码重置逻辑漏洞。
现有技术中,一般是通过技术人员来手动检查待检测网页的源代码,结合自身技术经验来确定待检测网页是否存在任意账号密码重置逻辑漏洞。但是,现有技术的方法,不仅需要消耗大量的人力资源,而且各技术人员的技术水平参差不齐,难以全面准确地检测出任意账号密码重置逻辑漏洞。
因此,如何在减少对人力资源的消耗的基础上,全面准确地检测出任意账号密码重置逻辑漏洞,是本领域技术人员目前需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种任意账号密码重置逻辑漏洞的检测方法,能够在减少对人力资源的消耗的基础上,全面准确地检测出任意账号密码重置逻辑漏洞;本发明的另一目的是提供一种任意账号密码重置逻辑漏洞的检测装置及计算机可读存储介质,均具有上述有益效果。
为解决上述技术问题,本发明提供一种任意账号密码重置逻辑漏洞的检测方法,包括:
调用预设的识别程序判断待检测网页中是否发起验证码发送请求;
如果是,则从前端页面获取与所述验证码发送请求对应的响应包,并判断所述响应包中是否存在短信验证码;
若存在,则确定出所述待检测网页存在任意账号密码重置逻辑漏洞。
优选地,在所述从前端页面获取与所述验证码发送请求对应的响应包,并判断所述响应包中是否存在短信验证码之后,进一步包括:
若不存在,判断所述待检测网页是否发起重置密码请求;
若是,则利用第二预设用户信息替换所述重置密码请求中的第一预设用户信息,并更新所述重置密码请求;
根据更新后的所述重置密码请求是否得到对应的第一响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。
优选地,进一步包括:
若未得到所述第一响应信息,利用随机生成的随机验证码替换所述重置密码请求中的所述短信验证码,并更新所述重置密码请求;
根据更新后的所述重置密码请求是否得到对应的第二响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。
优选地,进一步包括:
判断确定出所述第二响应信息的时间是否在预设时长范围内;
若否,则确定出所述待检测网页存在所述任意账号密码重置逻辑漏洞。
优选地,在所述预设时长范围内得出所述第二响应信息之后,进一步包括:
确定出与所述第二响应信息对应的目标随机验证码;
利用所述目标随机验证码对应的所述重置密码请求执行多次重置密码的操作,并分别得到对应的第三响应信息;
根据各所述第三响应信息判断所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。
优选地,生成所述短信验证码和所述第一预设用户信息和所述第二预设用户信息的过程具体包括:
利用接码平台生成所述短信验证码和/或所述第一预设用户信息和所述第二预设用户信息。
优选地,进一步包括:
记录确定出所述待检测页面存在所述任意账号密码重置逻辑漏洞的检测时间。
为解决上述技术问题,本发明还提供一种任意账号密码重置逻辑漏洞的检测装置,包括:
第一判断模块,用于调用预设的识别程序判断待检测网页中是否发起验证码发送请求;如果是,则调用第二判断模块;
所述第二判断模块,用于从前端页面获取与所述验证码发送请求对应的响应包,并判断所述响应包中是否存在短信验证码;若存在,则调用第一确定模块;
所述第一确定模块,用于确定出所述待检测网页存在任意账号密码重置逻辑漏洞。
为解决上述技术问题,本发明还提供另一种任意账号密码重置逻辑漏洞的检测装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一种任意账号密码重置逻辑漏洞的检测方法的步骤。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种任意账号密码重置逻辑漏洞的检测方法的步骤。
本发明提供的一种任意账号密码重置逻辑漏洞的检测方法,通过调用预设的识别程序,识别待检测网页是否发起验证码发送请求以及前端页面的响应包中是否存在对应的短信验证码的方式确定出待检测网页是否存在任意账号密码重置逻辑漏洞;不仅避免技术人员手动进行检测操作,节省大量的人力资源,而且任意账号密码重置逻辑漏洞将会对待检测网页中执行业务逻辑的过程造成影响,因此依据前端页面的响应包中是否存在对应的短信验证码来确定待检测网页中是否存在任意账号密码重置逻辑漏洞,能够使得检测结果更加全面准确。
为解决上述技术问题,本发明还提供了一种任意账号密码重置逻辑漏洞的检测装置及计算机可读存储介质,均具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种任意账号密码重置逻辑漏洞的检测方法的流程图;
图2为本发明实施例提供的一种任意账号密码重置逻辑漏洞的检测装置的结构图;
图3为本发明实施例提供的另一种任意账号密码重置逻辑漏洞的检测装置的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的核心是提供一种任意账号密码重置逻辑漏洞的检测方法,能够在减少对人力资源的消耗的基础上,全面准确地检测出任意账号密码重置逻辑漏洞;本发明的另一核心是提供一种任意账号密码重置逻辑漏洞的检测装置及计算机可读存储介质,均具有上述有益效果。
为了使本领域技术人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
图1为本发明实施例提供的一种任意账号密码重置逻辑漏洞的检测方法的流程图。如图1所示,一种任意账号密码重置逻辑漏洞的检测方法包括:
S10:调用预设的识别程序判断待检测网页中是否发起验证码发送请求;
S20:如果是,则从前端页面获取与验证码发送请求对应的响应包,并判断响应包中是否存在短信验证码;
S30:若存在,则确定出待检测网页存在任意账号密码重置逻辑漏洞。
具体的,在本实施例中,预先设置识别程序,识别程序包括验证码发送请求识别程序和短信验证码识别程序,然后利用验证码发送请求识别程序判断待检测网页中是否发起验证码发送请求,具体过程如下:
判断请求表单所在的待检测网页的URL(Uniform Resource Locator,统一资源定位符)的文件名中是否同时包含“send”和“sms”字符串;
若是,则判断是否存在第一请求参数;
若存在,则判断第一请求参数中是否存在第一预设用户信息;其中,第一预设用户信息包括手机号等信息,本实施例对此不做限定;
若存在,则判断与验证码发送请求对应的响应信息中是否为文本或者json信息;
若是,则判断响应信息中是否包含单独的字符串“1”、“true”、“ok”,“scuess”之一;若包含,则确定出该请求是验证码发送请求;若不包含,则确定出该请求不是验证码发送请求。
具体的,若确定出待检测网页中发起验证码发送请求,则从前端页面获取与验证码发送请求对应的响应包,并判断响应包中是否存在短信验证码。
具体的,判断响应包中是否存在验证码的过程,具体包括:
首先定义count=0,index=1,maxCount=0,checkCode=“”;其中,count为连续数字字符的数量,index为指向的字符,maxCount为最大连续数字字符的数量,checkCode为最终确定出的短信验证码;从index指向的字符开始识别,每访问一次index=index+1;当该字符为数字字符时,count=count+1;当该字符为非数字字符时,判断count>maxCount是否成立;若成立,则maxCount=count,记录这串连续数字字符记录到checkCode,并将count设置为0。根据重置密码的短信验证码一般都是5至6位纯数字字符串,因此判断maxCount是否为5或者6,如果是,那么短信验证码为checkCode指向的字符串。
具体的,若确定出响应包中存在短信验证码,则表示可以从前端页面获取对应的短信验证码,而不需要通过手机获取对应的短信验证码,因此确定出待检测网页存在任意账号密码重置逻辑漏洞。
本发明实施例提供的一种任意账号密码重置逻辑漏洞的检测方法,通过调用预设的识别程序,识别待检测网页是否发起验证码发送请求以及前端页面的响应包中是否存在对应的短信验证码的方式确定出待检测网页是否存在任意账号密码重置逻辑漏洞;不仅避免技术人员手动进行检测操作,节省大量的人力资源,而且任意账号密码重置逻辑漏洞将会对待检测网页中执行业务逻辑的过程造成影响,因此依据前端页面的响应包中是否存在对应的短信验证码来确定待检测网页中是否存在任意账号密码重置逻辑漏洞,能够使得检测结果更加全面准确。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例在从前端页面获取与验证码发送请求对应的响应包,并判断响应包中是否存在短信验证码之后,进一步包括:
若不存在,判断待检测网页是否发起重置密码请求;
若是,则利用第二预设用户信息替换重置密码请求中的第一预设用户信息,并更新重置密码请求;
根据更新后的重置密码请求是否得到对应的第一响应信息确定待检测网页是否存在任意账号密码重置逻辑漏洞。
在本实施例中,是在从前端页面获取与验证码发送请求对应的响应包,判断响应包中不存在短信验证码之后,进一步判断待检测网页是否发起重置密码请求。
具体的,识别重置密码请求的过程包括:
判断是否存在第二请求参数;
若存在,则判断该第二请求参数中是否存在预先输入的短信验证码;
若存在,则表示待检测网页发起重置密码请求,该重置密码请求中包含短信验证码;
若不存在,表示待检测网页发起的请求不是重置密码请求。
需要说明的是,若确定出待检测网页发起重置密码请求,则利用第二预设用户信息替换重置密码请求中的第一预设用户信息,并更新重置密码请求;然后将更新后的重置密码请求发送给系统,并得到系统反馈的第一响应信息;判断该第一响应信息中是否独立出现“1”、“ok”、“success”,“true”之一的字符串;如果出现,则表示即使更换了重置密码请求中的用户信息,该重置密码请求仍然会被成功响应,因此确定出待检测网页存在任意账号密码重置逻辑漏洞;如果没有出现,则表示该重置密码请求没有被成功响应,因此确定出待检测网页不存在任意账号密码重置逻辑漏洞。
可见,本发明实施例通过进一步修改重置密码请求中的用户信息,重新构造重置密码请求,能够进一步全面准确地检测出待检测网页存在的任意账号密码重置逻辑漏洞。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例进一步包括:
若未得到第一响应信息,利用随机生成的随机验证码替换重置密码请求中的短信验证码,并更新重置密码请求;
根据更新后的重置密码请求是否得到对应的第二响应信息确定待检测网页是否存在任意账号密码重置逻辑漏洞。
具体的,在本实施例中,预先生成随机验证码,并构造包含随机验证码的穷举词典,然后利用穷举词典中的各随机验证码替换重置密码请求中的短信验证码,更新重置密码请求;然后将更新后的重置密码请求发送给系统,并得到系统反馈的第二响应信息;判断该第二响应信息中是否独立出现“1”、“ok”、“success”,“true”之一的字符串;如果出现,则表示即使更换了重置密码请求中的短信验证码,该重置密码请求会被成功响应,因此确定出待检测网页存在任意账号密码重置逻辑漏洞;如果没有出现,则表示该重置密码请求没有被成功响应,因此确定出待检测网页不存在任意账号密码重置逻辑漏洞。
可见,本发明实施例通过进一步修改重置密码请求中的短信验证码,重新构造重置密码请求,能够进一步全面准确地检测出待检测网页存在的任意账号密码重置逻辑漏洞。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例进一步包括:
判断确定出第二响应信息的时间是否在预设时长范围内;
若否,则确定出待检测网页存在任意账号密码重置逻辑漏洞。
可以理解的是,在实际操作中,可以进一步为短信验证码设置有效时长,即在超过该有效时长之后再输入短信验证码时,该短信验证码应该失效,即重置密码请求应该请求失败。具体的,在本实施例中,在发送短信验证码时开始计时,在获取到第二响应信息时停止计时,得出确定出第二响应信息的时间,并判断确定出第二响应信息的时间是否在预设时长范围内,即检测待检测网页是否能够在预设时长范围内通过穷举的方式得出能够让系统成功响应的随机验证码,若穷举成功的时间超过预设时长范围,则表示短信验证码并没有设置对应的有效时长,因此确定出待检测网页存在任意账号密码重置逻辑漏洞。
可见,本发明实施例通过进一步验证是否为短信验证码设置对应的有效时长,能够进一步全面准确地检测出待检测网页存在的任意账号密码重置逻辑漏洞。
作为优选的实施方式,在预设时长范围内得出第二响应信息之后,进一步包括:
确定出与第二响应信息对应的目标随机验证码;
利用目标随机验证码对应的重置密码请求执行多次重置密码的操作,并分别得到对应的第三响应信息;
根据各第三响应信息判断待检测网页是否存在任意账号密码重置逻辑漏洞。
具体的,在本实施例中,是在预设时长范围内得出与第二响应信息之后,即利用随机验证码穷举的方式更新重置密码请求中的短信验证码,并在响应成功之后,进一步根据该响应成功的第二响应信息确定出对应的目标随机验证码;基于该目标随机验证码对应的重置密码请求执行多次重置密码的操作,并分别得到对应的第三响应信息;判断各第三响应信息是否为表示重置密码请求响应成功的第三响应信息,若两个以上重置密码请求响应成功,则表示可以利用包括同一目标随机验证码的重置密码请求多次进行密码重置操作;而实际上,一个验证码在被使用之后就应该使其失效,因此按照本实施例的方法,能够进一步全面地检测出待检测网页中的任意账号密码重置逻辑漏洞。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例中,生成短信验证码和第一预设用户信息和第二预设用户信息的过程具体包括:
利用接码平台生成短信验证码和/或第一预设用户信息和第二预设用户信息。
具体的,在本实施例中,具体是利用接码平台生成短信验证码,通过自动接码的方式向待检测网页中的请求表单中输入对应的短信验证码,因此能够避免用户手动输入操作,进一步减少人工的介入,节省人力资源。
另外,也可以利用接码平台生成第一预设用户信息和第二预设用户信息,并通过自动接码的方式输入第一预设用户信息和第二预设用户信息,使得利用第一预设用户信息生成重置密码请求,以及利用第二预设用户信息替换重置密码请求中的第一预设用户信息的过程均能够减少人工的介入,节省人力资源。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例进一步包括:
记录确定出待检测页面存在任意账号密码重置逻辑漏洞的检测时间。
具体的,在本实施例中,是在确定出待检测网页存在任意账号密码重置逻辑漏洞时,进一步获取该检测时间,然后记录该检测时间以及检测出的对应的任意账号密码重置逻辑漏洞的详细信息。
需要说明的是,本实施例通过进一步记录确定出待检测页面存在任意账号密码重置逻辑漏洞的检测时间,因此后续可以通过查看记录的信息,获取对待检测网页的任意账号密码重置逻辑漏洞的检测情况,从而能够进一步提升用户的使用体验。
上文对于本发明提供的一种任意账号密码重置逻辑漏洞的检测方法的实施例进行了详细的描述,本发明还提供了一种与该方法对应的任意账号密码重置逻辑漏洞的检测装置及计算机可读存储介质,由于装置及计算机可读存储介质部分的实施例与方法部分的实施例相互照应,因此装置及计算机可读存储介质部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
图2为本发明实施例提供的一种任意账号密码重置逻辑漏洞的检测装置的结构图,如图2所示,一种任意账号密码重置逻辑漏洞的检测装置包括:
第一判断模块21,用于调用预设的识别程序判断待检测网页中是否发起验证码发送请求;如果是,则调用第二判断模块22;
第二判断模块22,用于从前端页面获取与验证码发送请求对应的响应包,并判断响应包中是否存在短信验证码;若存在,则调用第一确定模块23;
第一确定模块23,用于确定出待检测网页存在任意账号密码重置逻辑漏洞。
本发明实施例提供的任意账号密码重置逻辑漏洞的检测装置,具有上述任意账号密码重置逻辑漏洞的检测方法的有益效果。
作为优选的实施方式,另一种任意账号密码重置逻辑漏洞的检测装置进一步包括:
第三判断模块,用于在响应包中不存在短信验证码时,判断待检测网页是否发起重置密码请求;若是,则调用第一更新模块;
第一更新模块,用于利用第二预设用户信息替换重置密码请求中的第一预设用户信息,并更新重置密码请求;
第二确定模块,用于根据更新后的重置密码请求是否得到对应的第一响应信息确定待检测网页是否存在任意账号密码重置逻辑漏洞。
作为优选的实施方式,另一种任意账号密码重置逻辑漏洞的检测装置进一步包括:
第二更新模块,用于若未得到第一响应信息,利用随机生成的随机验证码替换重置密码请求中的短信验证码,并更新重置密码请求;
第三确定模块,用于根据更新后的重置密码请求是否得到对应的第二响应信息确定待检测网页是否存在任意账号密码重置逻辑漏洞。
作为优选的实施方式,另一种任意账号密码重置逻辑漏洞的检测装置进一步包括:
第四判断模块,用于判断确定出第二响应信息的时间是否在预设时长范围内;若否,则调用第四确定模块;
第四确定模块,用于确定出待检测网页存在任意账号密码重置逻辑漏洞。
作为优选的实施方式,另一种任意账号密码重置逻辑漏洞的检测装置进一步包括:
设置模块,用于在预设时长范围内得出第二响应信息之后,确定出与第二响应信息对应的目标随机验证码;
更新模块,用于利用目标随机验证码对应的重置密码请求执行多次重置密码的操作,并分别得到对应的第三响应信息;
第五确定模块,用于根据各第三响应信息判断待检测网页是否存在任意账号密码重置逻辑漏洞。
作为优选的实施方式,另一种任意账号密码重置逻辑漏洞的检测装置进一步包括:
记录模块,用于记录确定出待检测页面存在任意账号密码重置逻辑漏洞的检测时间。
图3为本发明实施例提供的另一种任意账号密码重置逻辑漏洞的检测装置的结构图,如图3所示,一种任意账号密码重置逻辑漏洞的检测装置包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序时实现如上述任意账号密码重置逻辑漏洞的检测方法的步骤。
本发明实施例提供的任意账号密码重置逻辑漏洞的检测装置,具有上述任意账号密码重置逻辑漏洞的检测方法的有益效果。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述任意账号密码重置逻辑漏洞的检测方法的步骤。
本发明实施例提供的计算机可读存储介质,具有上述任意账号密码重置逻辑漏洞的检测方法的有益效果。
以上对本发明所提供的任意账号密码重置逻辑漏洞的检测方法、装置及计算机可读存储介质进行了详细介绍。本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。

Claims (10)

1.一种任意账号密码重置逻辑漏洞的检测方法,其特征在于,包括:
调用预设的识别程序判断待检测网页中是否发起验证码发送请求;
如果是,则从前端页面获取与所述验证码发送请求对应的响应包,并判断所述响应包中是否存在短信验证码;
若存在,则确定出所述待检测网页存在任意账号密码重置逻辑漏洞。
2.根据权利要求1所述的方法,其特征在于,在所述从前端页面获取与所述验证码发送请求对应的响应包,并判断所述响应包中是否存在短信验证码之后,进一步包括:
若不存在,判断所述待检测网页是否发起重置密码请求;
若是,则利用第二预设用户信息替换所述重置密码请求中的第一预设用户信息,并更新所述重置密码请求;
根据更新后的所述重置密码请求是否得到对应的第一响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。
3.根据权利要求2所述的方法,其特征在于,进一步包括:
若未得到所述第一响应信息,利用随机生成的随机验证码替换所述重置密码请求中的所述短信验证码,并更新所述重置密码请求;
根据更新后的所述重置密码请求是否得到对应的第二响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。
4.根据权利要求3所述的方法,其特征在于,进一步包括:
判断确定出所述第二响应信息的时间是否在预设时长范围内;
若否,则确定出所述待检测网页存在所述任意账号密码重置逻辑漏洞。
5.根据权利要求4所述的方法,其特征在于,在所述预设时长范围内得出所述第二响应信息之后,进一步包括:
确定出与所述第二响应信息对应的目标随机验证码;
利用所述目标随机验证码对应的所述重置密码请求执行多次重置密码的操作,并分别得到对应的第三响应信息;
根据各所述第三响应信息判断所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。
6.根据权利要求3所述的方法,其特征在于,生成所述短信验证码和所述第一预设用户信息和所述第二预设用户信息的过程具体包括:
利用接码平台生成所述短信验证码和/或所述第一预设用户信息和所述第二预设用户信息。
7.根据权利要求1至6任一项所述的方法,其特征在于,进一步包括:
记录确定出所述待检测页面存在所述任意账号密码重置逻辑漏洞的检测时间。
8.一种任意账号密码重置逻辑漏洞的检测装置,其特征在于,包括:
第一判断模块,用于调用预设的识别程序判断待检测网页中是否发起验证码发送请求;如果是,则调用第二判断模块;
所述第二判断模块,用于从前端页面获取与所述验证码发送请求对应的响应包,并判断所述响应包中是否存在短信验证码;若存在,则调用第一确定模块;
所述第一确定模块,用于确定出所述待检测网页存在任意账号密码重置逻辑漏洞。
9.一种任意账号密码重置逻辑漏洞的检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的任意账号密码重置逻辑漏洞的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的任意账号密码重置逻辑漏洞的检测方法的步骤。
CN202011002902.0A 2020-09-22 2020-09-22 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质 Active CN112165473B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202011002902.0A CN112165473B (zh) 2020-09-22 2020-09-22 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质
PCT/CN2021/098852 WO2022062478A1 (zh) 2020-09-22 2021-06-08 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质
US18/027,913 US20230370846A1 (en) 2020-09-22 2021-06-08 Method and apparatus for detecting arbitrary account password reset logic vulnerability, and medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011002902.0A CN112165473B (zh) 2020-09-22 2020-09-22 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

Publications (2)

Publication Number Publication Date
CN112165473A true CN112165473A (zh) 2021-01-01
CN112165473B CN112165473B (zh) 2022-08-16

Family

ID=73862673

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011002902.0A Active CN112165473B (zh) 2020-09-22 2020-09-22 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

Country Status (3)

Country Link
US (1) US20230370846A1 (zh)
CN (1) CN112165473B (zh)
WO (1) WO2022062478A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022062478A1 (zh) * 2020-09-22 2022-03-31 杭州安恒信息技术股份有限公司 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115758374B (zh) * 2022-11-04 2023-08-04 杭州孝道科技有限公司 一种账号枚举漏洞检测方法、系统及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200167A (zh) * 2014-08-05 2014-12-10 杭州安恒信息技术有限公司 自动化渗透测试方法及系统
WO2015031014A1 (en) * 2013-08-29 2015-03-05 Aol Inc. Systems and methods for managing resetting of user online identities or accounts
CN107896218A (zh) * 2017-11-29 2018-04-10 郑州云海信息技术有限公司 一种自动化检测验证码回传逻辑漏洞的方法及系统
US20180227288A1 (en) * 2017-02-09 2018-08-09 Microsoft Technology Licensing, Llc Password security
CN109460661A (zh) * 2018-09-17 2019-03-12 平安科技(深圳)有限公司 一种逻辑安全漏洞检测方法、装置及终端设备
WO2019114784A1 (zh) * 2017-12-13 2019-06-20 华为技术有限公司 密码重置的方法、请求端和校验端
CN109922035A (zh) * 2017-12-13 2019-06-21 华为技术有限公司 密码重置的方法、请求端和校验端

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9112834B1 (en) * 2014-01-02 2015-08-18 Juniper Networks, Inc. Protecting sensitive web transactions using a communication channel associated with a user
CN109246094B (zh) * 2018-08-27 2021-03-19 中国联合网络通信集团有限公司 用户终端的验证方法、装置及存储介质
CN112165473B (zh) * 2020-09-22 2022-08-16 杭州安恒信息技术股份有限公司 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015031014A1 (en) * 2013-08-29 2015-03-05 Aol Inc. Systems and methods for managing resetting of user online identities or accounts
CN104200167A (zh) * 2014-08-05 2014-12-10 杭州安恒信息技术有限公司 自动化渗透测试方法及系统
US20180227288A1 (en) * 2017-02-09 2018-08-09 Microsoft Technology Licensing, Llc Password security
CN107896218A (zh) * 2017-11-29 2018-04-10 郑州云海信息技术有限公司 一种自动化检测验证码回传逻辑漏洞的方法及系统
WO2019114784A1 (zh) * 2017-12-13 2019-06-20 华为技术有限公司 密码重置的方法、请求端和校验端
CN109922035A (zh) * 2017-12-13 2019-06-21 华为技术有限公司 密码重置的方法、请求端和校验端
CN109460661A (zh) * 2018-09-17 2019-03-12 平安科技(深圳)有限公司 一种逻辑安全漏洞检测方法、装置及终端设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FLY_鹏程万里,CSDN: "任意用户密码重置(三):用户混淆", 《HTTPS://WWW.FREEBUF.COM/ARTICLES/WEB/162152.HTML》 *
FLY_鹏程万里,CSDN: "任意用户密码重置(六):应答中存在影响后续逻辑的状态参数", 《HTTPS://WWW.FREEBUF.COM/ARTICLES/WEB/166667.HTML》 *
陈艺夫: "基于PHP的代码安全审计方法研究与实践", 《通信技术》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022062478A1 (zh) * 2020-09-22 2022-03-31 杭州安恒信息技术股份有限公司 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

Also Published As

Publication number Publication date
CN112165473B (zh) 2022-08-16
WO2022062478A1 (zh) 2022-03-31
US20230370846A1 (en) 2023-11-16

Similar Documents

Publication Publication Date Title
CN104468249B (zh) 一种账号异常的检测方法及装置
US10423958B2 (en) Method, apparatus and system for voice verification
CN110392054B (zh) 登录校验方法、装置、系统、设备和可读存储介质
CN106453209B (zh) 一种身份验证方法和装置
CN112165473B (zh) 一种任意账号密码重置逻辑漏洞的检测方法、装置及介质
CN110266737B (zh) 一种跨域资源共享的漏洞检测方法、装置、设备及介质
CN106130998A (zh) 一种验证码传输方法及装置
CN107888446B (zh) 一种协议健壮性测试方法及装置
CN105989485B (zh) 一种业务管理方法和装置
CN111131235B (zh) 一种业务系统的安全维护方法、装置、设备及存储介质
EP3618379A1 (en) Identity verification method and apparatus, and electronic device
CN105391860A (zh) 用于处理通信请求的方法和装置
CN111817999A (zh) 用户登录的方法及装置
CN108234441B (zh) 确定伪造访问请求的方法、装置、电子设备和存储介质
CN106789973B (zh) 页面的安全性检测方法及终端设备
CN109688109B (zh) 基于客户端信息识别的验证码的验证方法及装置
CN104184730B (zh) 访问处理方法和装置、电子设备
CN110620788B (zh) 一种信息交互方法、相关产品及计算机可读存储介质
CN112365267A (zh) 一种基于操作行为的反爬虫方法及装置
CN110752933A (zh) 一种验证码输入方法、装置、电子设备及存储介质
CN105577621B (zh) 一种业务操作验证方法、装置以及系统
CN111131629A (zh) 骚扰电话的处理方法、装置、存储介质以及终端
CN104660480B (zh) 一种帐号异常处理的方法、装置及系统
CN108989298A (zh) 一种设备安全监控方法和装置
CN105119801B (zh) 一种社交消息管理方法、系统、用户终端及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant