CN113301019B - 验证码漏洞检测方法、装置、电子装置和存储介质 - Google Patents
验证码漏洞检测方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN113301019B CN113301019B CN202110439143.2A CN202110439143A CN113301019B CN 113301019 B CN113301019 B CN 113301019B CN 202110439143 A CN202110439143 A CN 202110439143A CN 113301019 B CN113301019 B CN 113301019B
- Authority
- CN
- China
- Prior art keywords
- verification code
- test
- verification
- bypass
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种验证码漏洞检测方法,其中,该方法包括:获取验证码测试请求,验证码测试请求至少包括目标验证码信息;基于验证码测试请求获取测试验证码;对测试验证码进行绕过测试,绕过测试包括至少两种绕过方式;基于绕过测试的结果生成测试报告。通过本申请,解决了当前现有针对检测验证码漏洞的方法过于单一,且对验证码进行重发操作很容易出现漏洞漏检以及效率低下的问题,实现了可以通过多种方式高效且覆盖面广的查找验证码绕过漏洞。
Description
技术领域
本申请涉及漏洞检测领域,特别是涉及验证码漏洞检测方法、装置、电子装置和存储介质。
背景技术
在登录网站时,为了防止账号爆破、重发攻击、恶意灌水等恶意手段,网站管理员或开发者会增加或启用验证码功能,验证码是一种区分用户是人还是计算机的公共全自动程序,可以通过验证码的启动,防止恶意破解密码、刷票、论坛灌水,还可以有效防止某个黑客对某一个特定注册用户使用恶意程序通过不断的登录尝试暴力破解。但由于开发者的安全意识问题或程序错误,时常会造成验证码绕过漏洞的产生,从而导致攻击者可以绕过验证码进行数据重发或者爆破账号等攻击。
目前常用判断网站是否存在验证码绕过漏洞的方法为使用抓包工具,获取测试站点对于验证码的请求数据包或验证码,并基于该数据包或验证码进行重发测试,重新发送一遍以判断该数据包验证码是否可以校验通过,从而判断是否存在验证码绕过的漏洞。可以理解的,该方法检测效率低下,且检测方式单一,容易出现漏报的情况。
针对相关技术中存在检测效率低下,且检测方式单一,容易出现漏报的情况,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种验证码漏洞检测方法、装置、电子装置和存储介质,以解决相关技术中对验证码绕过漏洞检测效率低下,检测方式单一,容易出现漏报的问题。
第一个方面,在本实施例中提供了一种验证码漏洞检测方法,其特征在于,包括:获取验证码测试请求,所述验证码测试请求至少包括目标验证码信息;基于所述验证码测试请求获取测试验证码;对所述测试验证码进行绕过测试,所述绕过测试包括至少两种绕过方式;基于所述绕过测试的结果生成测试报告。
在另一个实施例中,所述获取验证码测试请求之前还包括:获取验证码生成请求;基于所述验证码生成请求生成目标验证码,使用户基于所述目标验证码进行验证;获取所述目标验证码的验证结果;基于所述验证结果生成所述验证码测试请求;若所述验证结果为验证失败,则标记所述目标验证码为安全验证码;若所述验证结果为验证成功,则基于所述目标验证码生成所述验证码测试请求。
在其中一些实施例中,所述绕过方式包括万能验证码绕过、重复验证码绕过、图像识别绕过。
在其中一些个实施例中,所述万能验证码绕过包括:基于预设数据库获取万能验证数据,所述万能验证数据为通用的万能验证码;基于所述万能验证数据对所述测试验证码进行绕过测试。
在另一个实施例中,所述重复验证码绕过包括:基于历史验证数据库获取重复验证数据,所述历史验证数据库根据历史验证记录建立,所述重复验证数据为历史验证记录中验证成功的数据;基于所述重复验证数据对所述测试验证码进行绕过测试。
在其中一些实施例中,所述对所图像识别绕过包括:对所述测试验证码进行图像识别,得到识别数据;基于所述识别数据对所述测试验证码进行绕过测试。
在其中一些实施例中,所述基于绕过测试结果生成测试报告包括:若所述绕过结果为绕过成功,则生成测试报告和/或进行报警;若所述绕过结果为绕过失败,则标记所述测试验证码为安全验证码。
第二个方面,在本实施例中提供了一种验证码漏洞检测装置,其特征在于,包括:请求获取模块:用于获取验证码生成请求,所述验证码测试请求至少包括目标验证码信息;测试验证码获取模块:用于基于所述验证码测试请求获取测试验证码绕过测试模块:用于对所述测试验证码进行绕过测试,所述绕过测试包括至少两种绕过方式;报告生成模块:用于基于绕过测试结果生成测试报告。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的验证码漏洞检测方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的验证码漏洞检测方法。
与相关技术相比,在本实施例中提供的验证码漏洞检测方法,通过获取验证码测试请求,所述验证码测试请求至少包括目标验证码信息;基于所述验证码测试请求获取测试验证码;对所述测试验证码进行绕过测试,所述绕过测试包括万能验证码测试、重复验证码测试以及图像识别测试中的至少两种;基于所述绕过测试的结果生成测试报告,解决了当前对于验证码绕过漏洞检测的方法存在效率低下,检测方式单一且容易漏报的问题,实现了可以实时高效对验证码绕过漏洞进行检测,并且检测方式多样,不易漏报,检测准确率高。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本发明一实施例的验证码漏洞检测方法的终端的硬件结构框图;
图2是本发明一实施例中验证码漏洞检测方法的流程示意图;
图3是本发明另一个实施例的验证码漏洞检测方法的流程示意图;
图4是本发明一实施例的验证码漏洞检测装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的验证码漏洞检测方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的验证码漏洞检测方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(NetworkInterface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种验证码漏洞检测方法,图2是本实施例的验证码漏洞检测方法的流程示意图,如图2所示,该流程包括如下步骤:
步骤S201,获取验证码测试请求,验证码测试请求至少包括目标验证码信息。
本实施例中,首先获取验证码测试请求,可以理解的,本申请的目的是对验证码的绕过漏洞进行检测,检测是否存在验证码绕过漏洞。因此,当存在对验证码绕过漏洞进行检测的需求时,会获取到验证码测试请求,而验证码测试请求至少包括目标验证码信息,即需要进行检测的验证码的信息,可以理解的,目标验证码信息是用于生成目标验证码的信息。
步骤S202,基于验证码测试请求获取测试验证码。
可以理解的,本实施例中,获取验证码测试请求后,即开始进行漏洞检测。在本实施例中,不直接对目标验证码进行漏洞检测,而是生成一个新的测试验证码,并对其进行漏洞检测,检测是否存在可以被验证码绕过的漏洞,测试验证码基于验证码测试请求中的目标验证码信息生成,与目标验证码具有相同的性质,因此测试验证码的漏洞测试结果即为目标验证码的漏洞测试结果。验证码绕过,即利用任意一个非当前验证码匹配的验证码数据,或向后台发送一个非当前验证码匹配的验证码的数据代码以通过当前验证,即不进行正常验证,达到验证成功的目的。本申请的目的是检测验证码绕过的漏洞,因此基于当前的测试验证码,对其进行下述步骤的验证码绕过测试。
步骤S203,对测试验证码进行绕过测试,绕过测试包括至少两种绕过方式;
本实施例中,对测试验证码进行绕过测试,即通过验证码绕过方法对当前验证码进行绕过测试,常用的绕过方式有万能验证码绕过、重复验证码绕过、图像识别绕过等,本实施例中不做特殊限定,只需要保证能够覆盖当前常用绕过手段即可,但在本实施例中需要保证测试方法至少两种,以保证不会漏判,以及不会出现验证码绕过漏洞判断的理由单一的情况。另外,在其他实施例中,还包括置空、爆破等方式,置空是一种尝试不输入验证数据直接通过验证的方式,爆破即大量、多次触发验证,利用验证码模块卡顿等负面反馈通过验证的方式。可以根据用户需求或实际情况进行设置更多种方式,此处不做具体限定。
S204,基于绕过测试的结果生成测试报告。
可以理解的,通过本实施例对测试验证码进行绕过测试,即进行验证码漏洞检测,需要获取一个测试结果,基于此结果生成一个测试报告,基于此报告可以判断当前验证码模块是否具有漏洞,以及漏洞出现在哪个方面,基于此,可以使维护人员具有一个修复漏洞的方向,使得维护人员对漏洞进行修复,以保证漏洞不会继续被发现以及被利用使得验证码被绕过。
通过上述步骤,提供了一种可以监测验证码绕过漏洞的方法,覆盖了当前常见验证码绕过漏洞方式,基于此,解决了当前现有针对检测验证码漏洞的方法过于单一,且对验证码进行重发操作很容易出现漏洞漏检以及效率低下等问题,保证了验证码模块的安全性。
在其中的一些实施例中,获取验证码测试请求之前还包括:获取验证码生成请求;基于验证码生成请求生成目标验证码,使用户基于目标验证码进行验证;获取目标验证码的验证结果;基于验证结果生成验证码测试请求;若验证结果为验证失败,则标记目标验证码为安全验证码;若验证结果为验证成功,则基于目标验证码生成验证码测试请求。
可以理解的,在用户终端进行登录时,会发送一个登陆请求,验证码模块会基于登录请求生成验证码,接着,在该验证码被用户终端验证成功的情况下,会对该验证码进行验证码测试,可以理解的,若当前验证结果为验证失败,则证明当前的目标验证码存在验证作用,可以标记当前的目标验证码是安全验证码,仍可以投入下次使用。因此,在本实施例中,仅在用户终端验证成功的情况下,对验证码进行验证码测试。因此,在获取验证码测试请求前,首先需要获取一个来自终端的验证码生成请求,验证码生成请求是基于用户终端发送的登陆请求生成的,接着生成一个目标验证码,以对用户终端进行人机验证,可以理解的,基于生成的目标验证码,以及用户终端用于验证的验证数据,获取当前对用户终端验证结果,即判断用户终端是否通过当前验证,然后基于验证结果判断是否需要对当前目标验证码进行验证码绕过测试。在其他实施例中,可以不限制仅在用户终端在登录时才进行验证码测试,或是在用户终端通过验证时才进行验证码测试,只需存在测试需求,即可对验证码进行测试,可以由用户根据实际情况进行设置,此处不作具体限定。
在另一个实施例中,绕过方式包括万能验证码绕过、重复验证码绕过、图像识别绕过。
可以理解的,对于绕过验证码的方式有许多种,包括万能验证码绕过,重复验证码绕过,图像识别绕过,还可以有其他绕过方式,本申请的目的是基于目前主流验证码绕过方式判断当前验证码是否可以被绕过,以查找验证码绕过漏洞,可以理解的,在其他实施例中,可以包括其他方式进行绕过测试,可以根据用户需求或实际情况进行设置,此处不做具体限定。
在其中一个实施例中,万能验证码绕过包括:基于预设数据库获取万能验证数据,万能验证数据为通用的万能验证码;基于万能验证数据对测试验证码进行绕过测试。
容易理解的,本实施例中,万能验证码绕过是对测试验证码进行万能验证码测试,首先需要基于预设数据库获取万能验证数据,在本实施例中,预设数据库中存有常见的万能验证码的测试数据,在进行绕过测试时,会调用该预设数据库里的数据,依次进行验证测试,判断基于测试数据而返回的响应数据与原始请求的预期结果是否一致,若一致则验证码可以被绕过,另外,在利用万能验证码测试数据进行测试的同时,还可以进行验证码为空以及删除验证码两种情况的验证码测试,即输入空白验证码,或不输入验证码,以尝试是否可以通过验证,并基于返回的响应数据判断测试结果。
在另一个实施例中,重复验证码绕过包括:基于历史验证数据库获取重复验证数据,历史验证数据库根据历史验证记录建立,重复验证数据为历史验证记录中验证成功的数据;基于重复验证数据对测试验证码进行绕过测试。
可以理解的,本实施例中,会基于历史验证记录建立一个历史验证数据库,而利用历史验证数据库中的历史验证记录进行验证即重复验证,基于此,对其进行重复验证测试,可以判断验证成功的验证数据是否为绕过验证码的数据或万能验证数据,另外,除了获取验证码数据,还可以获取通过验证的数据包,即通过验证时,由用户终端向网页端发送的数据包,将该数据包进行重发操作,测试是否可以基于此进行验证码绕过,并判断是否存在验证码绕过漏洞。
在其中一个实施例中,对所图像识别绕过包括:对测试验证码进行图像识别,得到识别数据;基于识别数据对测试验证码进行绕过测试。
本实施例中,图像识别绕过即对测试验证码进行图像识别,通过图像识别得到的测试验证码以进行图像识别测试,一般的,图像识别测试采用的是光学字符识别(OCR)模块,通过OCR模块对测试验证码进行测试验证,可以理解的,若通过OCR识别模块识别到的识别数据可以通过验证,则证明该测试验证码容易被识别,且可以被人以外的方式识别,同样可以认为该验证码存在绕过问题,基于此,可以使得验证码生成模块生成一些干扰较强、噪点较多的验证码,避免验证码被图像识别以通过验证。
在另一个实施例中,基于绕过测试结果生成测试报告包括:若绕过结果为绕过成功,则生成测试报告和/或进行报警;若绕过结果为绕过失败,则标记测试验证码为安全验证码。
可以理解的,在对测试验证码进行绕过测试后,还会基于绕过测试结果进行判断,若绕过结果为绕过成功,则证明该测试验证码可以被人为以外的方式通过验证,即存在验证码绕过漏洞,则需要进行报警或生成一个测试报告,以供维护人员进行维护,若绕过结果为绕过失败,则证明该测试验证码不会被绕过,该测试验证码为安全验证码,可以投入下次使用。可以理解的,在其他实施例中,若判断验证码存在绕过漏洞,可以采用其他方式进行修复或提醒,可以根据用户需求或实际情况进行设置,此处不做具体限定。
在本实施例中还提供了一种验证码漏洞检测方法。下面通过优选实施例对本实施例进行描述和说明。
图3是本优选实施例的验证码漏洞检测方法的流程示意图。如图3所示,该流程包括如下步骤:
步骤S301,通过代理端口设置一个当前验证码模块的代理,使得当前验证码模块有关的数据转发到代理程序中。
步骤S302,获取特征模块,特征模块包括验证码参数特征库和验证码生成特征库,其中验证码参数特征为常见的验证码参数字典的集合。
具体的,如verifycode、yanzhengma、yzm等与验证码有关的参数字典,如获取到数据中包含其中一个,则判断存在需要验证码的请求,并把该数据发送到代理程序中进行检测流程。验证码生成特征库用来判断该数据是否是可以生成验证码的数据,包括url,若当前url中包含verifyCodeImage、genverifycode、getverifycode等可以用来判断为生成验证码的数据,且响应结果为图片,则可以判断当前数据是验证码生成url,当判断当前数据是验证码生成url后,可以直接通过S304步骤,对其进行图像识别,判断其验证码是否为易识别的验证码,另外,可以理解的,其中验证码参数特征可以自由增加和删减,本实施例不做特殊限定。
步骤S303,通过预先建立的万能验证码模块(fuzz模块),对万能验证码、验证码值为空和参数为空的三种情况进行测试,校验当前的验证码数据是否可以被绕过,其中fuzz模块中至少包括常用万能验证码,在进行绕过测试后,获取绕过结果值,并与预期值进行对比以判断是否存在漏洞,预期值是一种可以用来比对从而得到判定结果的值,如0和1。
本实施例中,fuzz模块的核心功能是字典,其字典中收集有常见万能验证码的测试数据,在进行测试时,会调用字典里的数据,并通过该数据进行验证或发送数据包的操作。
步骤S304,对验证码数据包进行OCR识别,且在获得识别结果后,设置两个数据包的网络地址(cookie)一致。
示例性地,设置两个数据包的网络地址一直可以避免即使识别正确也无法通过验证的情况,另外,可以理解的,在进行万能验证码模块测试时,也需要保证万能验证码的cookie与验证码数据一致。基于OCR识别,判断当前验证码是否可以被绕过,生成绕过结果。绕过结果可以判断该验证数据是否可以被绕过。
步骤S305,若绕过成功,则输出包含测试数据的请求和响应,以及漏洞修复建议的报告文档。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。在本实施例中还提供了一种验证码漏洞检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本实施例的验证码漏洞检测装置的结构框图,如图4所示,该装置包括:
请求获取模块10:用于获取验证码测试请求,验证码测试请求至少包括目标验证码信息;
请求获取模块10,还用于获取验证码生成请求;基于验证码生成请求生成目标验证码,使用户基于目标验证码进行验证;获取目标验证码的验证结果;基于验证结果生成验证码测试请求;若验证结果为验证失败,则标记目标验证码为安全验证码;若验证结果为验证成功,则基于目标验证码生成验证码测试请求。
测试验证码获取模块20:用于基于验证码测试请求获取测试验证码;
绕过测试模块30:用于对测试验证码进行绕过测试,绕过测试包括至少两种绕过方式;
绕过测试模块30,用于基于预设数据库获取万能验证数据,万能验证数据为通用的万能验证码;基于万能验证数据对测试验证码进行万能验证码绕过测试。
绕过测试模块30,还用于基于历史验证数据库获取重复验证数据,历史验证数据库根据历史验证记录建立,重复验证数据为历史验证记录中验证成功的数据;基于重复验证数据对测试验证码进行重复验证码绕过测试。
绕过测试模块30,还用于对测试验证码进行图像识别,得到识别数据;基于识别数据对测试验证码进行图像识别绕过测试。
报告生成模块40:用于基于绕过测试结果生成测试报告。
报告生成模块40,还用于若绕过结果为绕过成功,则生成测试报告和/或进行报警;若绕过结果为绕过失败,则标记测试验证码为安全验证码。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取验证码测试请求,验证码测试请求至少包括目标验证码信息;
S2,基于验证码测试请求获取测试验证码;
S3,对测试验证码进行绕过测试,绕过测试包括万能验证码测试、重复验证码测试以及图像识别测试中的至少两种;
S4,基于绕过测试的结果生成测试报告。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的验证码漏洞检测方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种验证码漏洞检测方法。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (9)
1.一种验证码漏洞检测方法,其特征在于,包括:
获取验证码测试请求,所述验证码测试请求至少包括目标验证码信息;
基于所述验证码测试请求获取测试验证码;
对所述测试验证码进行绕过测试,所述绕过测试包括至少两种绕过方式;
基于所述绕过测试的结果生成测试报告;
所述获取验证码测试请求之前还包括:
获取验证码生成请求;
基于所述验证码生成请求生成目标验证码,使用户基于所述目标验证码进行验证;
获取所述目标验证码的验证结果;
基于所述验证结果生成所述验证码测试请求;
若所述验证结果为验证失败,则标记所述目标验证码为安全验证码;
若所述验证结果为验证成功,则基于所述目标验证码生成所述验证码测试请求。
2.根据权利要求1所述的方法,其特征在于,所述绕过方式包括万能验证码绕过、重复验证码绕过、图像识别绕过。
3.根据权利要求2所述的方法,其特征在于,所述万能验证码绕过包括:
基于预设数据库获取万能验证数据,所述万能验证数据为通用的万能验证码;
基于所述万能验证数据对所述测试验证码进行绕过测试。
4.根据权利要求2所述的方法,其特征在于,所述重复验证码绕过包括:
基于历史验证数据库获取重复验证数据,所述历史验证数据库根据历史验证记录建立,所述重复验证数据为历史验证记录中验证成功的数据;
基于所述重复验证数据对所述测试验证码进行重复绕过测试。
5.根据权利要求2所述的方法,其特征在于,所述对所图像识别绕过包括:
对所述测试验证码进行图像识别,得到识别数据;
基于所述识别数据对所述测试验证码进行绕过测试。
6.根据权利要求1所述的方法,其特征在于,所述基于绕过测试结果生成测试报告包括:
若所述绕过结果为绕过成功,则生成测试报告和/或进行报警;
若所述绕过结果为绕过失败,则标记所述测试验证码为安全验证码。
7.一种验证码漏洞检测装置,其特征在于,包括:
请求获取模块:用于获取验证码生成请求,所述验证码测试请求至少包括目标验证码信息;
目标验证码获取模块:用于获取验证码测试请求,所述验证码测试请求至少包括目标验证码信息;
测试验证码获取模块:用于基于所述验证码测试请求获取测试验证码;
绕过测试模块:用于对所述测试验证码进行绕过测试,所述绕过测试包括至少两种绕过方式;
报告生成模块:用于基于绕过测试结果生成测试报告;
请求获取模块:还用于获取验证码生成请求;基于验证码生成请求生成目标验证码,使用户基于目标验证码进行验证;获取目标验证码的验证结果;基于验证结果生成验证码测试请求;若验证结果为验证失败,则标记目标验证码为安全验证码;若验证结果为验证成功,则基于目标验证码生成验证码测试请求。
8.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的验证码漏洞检测方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的验证码漏洞检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110439143.2A CN113301019B (zh) | 2021-04-23 | 2021-04-23 | 验证码漏洞检测方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110439143.2A CN113301019B (zh) | 2021-04-23 | 2021-04-23 | 验证码漏洞检测方法、装置、电子装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113301019A CN113301019A (zh) | 2021-08-24 |
| CN113301019B true CN113301019B (zh) | 2023-04-07 |
Family
ID=77320162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110439143.2A Active CN113301019B (zh) | 2021-04-23 | 2021-04-23 | 验证码漏洞检测方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113301019B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN111259403A (zh) * | 2020-01-09 | 2020-06-09 | 深圳壹账通智能科技有限公司 | 渗透测试方法、装置、计算机设备及存储介质 |
| CN111931188A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 登陆场景下漏洞测试方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1845489B (zh) * | 2005-04-06 | 2010-06-02 | 腾讯科技(深圳)有限公司 | 验证信息生成装置及其方法、反自动机验证装置及其方法 |
| CN107896218A (zh) * | 2017-11-29 | 2018-04-10 | 郑州云海信息技术有限公司 | 一种自动化检测验证码回传逻辑漏洞的方法及系统 |
| CN108038484B (zh) * | 2017-12-11 | 2020-05-05 | 中国人民解放军战略支援部队信息工程大学 | 空心验证码快速识别方法 |
| CN109635549A (zh) * | 2018-12-13 | 2019-04-16 | 郑州云海信息技术有限公司 | 一种自动化测试中验证的方法及装置 |
| CN111143213A (zh) * | 2019-12-24 | 2020-05-12 | 北京数衍科技有限公司 | 软件自动化测试方法和装置及电子设备 |
| CN112287324B (zh) * | 2020-11-18 | 2024-02-09 | 深圳源中瑞科技有限公司 | 图片验证方法、服务器、终端设备及存储介质 |
| CN112541179A (zh) * | 2020-11-27 | 2021-03-23 | 国网河南省电力公司电力科学研究院 | 一种Android应用数字证书校验漏洞检测系统及方法 |
| CN112512046B (zh) * | 2020-12-16 | 2023-03-24 | 南京理工大学 | 一种Android应用程序短信验证码认证过程安全性检测方法 |
-
2021
- 2021-04-23 CN CN202110439143.2A patent/CN113301019B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN111259403A (zh) * | 2020-01-09 | 2020-06-09 | 深圳壹账通智能科技有限公司 | 渗透测试方法、装置、计算机设备及存储介质 |
| CN111931188A (zh) * | 2020-08-13 | 2020-11-13 | 中国工商银行股份有限公司 | 登陆场景下漏洞测试方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113301019A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| CN106936835B (zh) | 设备接入的方法及系统 | |
| CN102082659B (zh) | 一种面向网络安全评估的漏洞扫描系统及其处理方法 | |
| WO2015149663A1 (zh) | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 | |
| KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
| JP5926491B2 (ja) | ネットワークにおけるセキュリティ保全のための方法及び、プロセッサにセキュリティ保全のための方法を遂行させるようなコンピュータ・プログラムのコンピュータ読取り可能な命令を有しているコンピュータ読取り可能な媒体 | |
| CN110768951B (zh) | 验证系统漏洞的方法及装置、存储介质、电子装置 | |
| CN111857965A (zh) | 内网威胁检测方法、装置、设备和计算机设备 | |
| CN102882676A (zh) | 物联网设备端安全接入方法及系统 | |
| US11916953B2 (en) | Method and mechanism for detection of pass-the-hash attacks | |
| CN110943840A (zh) | 一种签名验证方法及系统 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| CN113660216B (zh) | 口令攻击检测方法、装置、电子装置和存储介质 | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| CN113301019B (zh) | 验证码漏洞检测方法、装置、电子装置和存储介质 | |
| CN101527636B (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法 | |
| CN112713996A (zh) | 基于区块链的故障验证方法、服务器和终端 | |
| CN115225531B (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
| CN115952515A (zh) | 一种基于大数据的数据安全处理方法及装置 | |
| CN115118504A (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| CN112329021B (zh) | 一种排查应用漏洞的方法、装置、电子装置和存储介质 | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |