本发明专利技术提供一种登录认证配置装置及方法,所述装置包括:登录录制模块,用于录制用户在web页面登录成功时的第一认证信息,所述第一认证信息包括第一请求数据、第一响应数据及该会话对应的第一会话标识;认证控制模块,用于在web扫描工具登录认证时判断所述第一会话标识是否有效,若有效,则使用所述第一认证信息进行登录认证配置;否则,通过所述第一认证信息获取第二认证信息,并利用所述第二认证信息进行登录认证配置。本发明专利技术通过录制认证信息并在会话标识失效的时候可以利用录制的认证信息获取新的认证信息,因此实现web扫描工具的登录认证配置,从而对web应用进行有效的安全防护。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及。
技术介绍
随着互联网技术飞速发展,网络应用日益复杂和多元化,网络应用已经从原来的军事、科技和商业渗透到当今社会的各个领域。由于大多数的web应用不仅仅是静态的网页浏览,更涉及到服务端的动态处理。若网站的开发人员安全意识不足,对程序参数输入等检查不严格,将会导致web应用安全问题层出不穷。为了发现web应用的漏洞,靠手动排查是不太现实的,因此,web扫描技术在保障网络安全方面将会起到越发重要的作用。通常web扫描工具在漏洞探测前,会利用爬虫技术对目标网站的链接进行抓取,然后根据这些链接的特征进行一系列的漏洞探测。但是,如今在许多政府机构、教学科研单位和企业中,会有各种各样的内部信息管理平台系统。这些系统一般都会要求用户进行身份认证,只有通过认证的才能获得相应的服务。这种情况下,自动化的web扫描工具就很难对网站进行安全评估。因此,如何需要登录认证的管理平台上实现web扫描的登录认证配置成为亟待解决的问题。
技术实现思路
有鉴于此,本专利技术提供来在web页面上完成web扫描工具的登录认证配置,从而对web应用进行有效的安全防护。为了实现上述目的,本专利技术具体方案如下:一种登录认证配置装置,所述装置包括:登录录制模块,用于录制用户在web页面登录成功时的第一认证信息,所述第一认证信息包括第一请求数据、第一响应数据及该会话对应的第一会话标识;认证控制模块,用于在web扫描工具登录认证时判断所述第一会话标识是否有效,若有效,则使用所述第一认证信息进行登录认证配置;否则,通过所述第一认证信息获取第二认证信息,并利用所述第二认证信息进行登录认证配置。进一步的,所述登录录制模块录制用户在web页面登录成功时的第一认证信息的录制过程具体为:所述登录录制模块通过代理服务程序监控用户登录认证的配置过程,并录制第一请求报文、第一响应报文及该会话对应的第一会话标识。进一步的,所述认证控制模块通过所述第一认证信息获取第二认证信息具体为:认证控制模块向web页面重发所述第一请求数据,获取到所述web页面反馈的第二响应数据后,将所述第二响应数据与所述第一响应数据对比,若相同则使用所述第二认证信息进行登录认证配置进一步的,所述认证控制模块还用于,若所述第二响应数据与所述第一响应数据不同,则通知用户重新进行登录认证配置。进一步的,所述第一会话标识具体为Cookie标识。基于同样的构思,本专利技术还提供一种登录认证配置方法,所述方法包括:录制用户在web页面登录成功时的第一认证信息,所述第一认证信息包括第一请求数据、第一响应数据及该会话对应的第一会话标识;在web扫描工具登录认证时判断所述第一会话标识是否有效,若有效,则使用所述第一认证信息进行登录认证配置;否则,通过所述第一认证信息获取第二认证信息,并利用所述第二认证信息进行登录认证配置进一步的,所述录制用户在web页面登录成功时的第一认证信息的录制过程具体为:通过代理服务程序监控用户登录认证的配置过程,并录制第一请求报文、第一响应报文及该会话对应的第一会话标识。进一步的,所述通过第一认证信息获取第二认证信息具体为:向web页面重发所述第一请求数据,获取到所述web页面反馈的第二响应数据后,将所述第二响应数据与所述第一响应数据对比,若相同则使用所述第二认证信息进行登录认证配置进一步的,所述方法还包括:若所述第二响应数据与所述第一响应数据不同,则通知用户重新进行登录认证配置。进一步的,所述第一会话标识具体为Cookie标识。相对与现有技术,本专利技术通过录制认证信息并在会话标识失效的时候可以利用录制的认证信息获取新的认证信息,因此实现web扫描工具的登录认证配置,从而对web应用进行有效的安全防护。【附图说明】图1是本专利技术提供的一种登录认证配置装置的结构示意图;图2是本专利技术实施例中一种登录认证配置方法的处理流程图。【具体实施方式】在现有技术方案中,针对web扫描工具登录过程的认证配置主要有自动表单填充和登录录制两种。其中一种方案为自动表单填充,就是在web扫描前手动配置目标网站的登陆系统中的用户名与密码,而后在web扫描的过程中,将这两个参数填充到请求表单的相应键值中,从而实现登录认证。但自动表单填充所要求的条件比较苛刻,既要要求目标网站的登录过程不能有验证码,又要满足其用户名与密码没有经过加密处理。一旦这两个条件中的任何一个没有得到满足,则web扫描工具在登录页面进行登录认证时,就会导致所构造的http请求包不能成功认证。另外一种方案为登录录制,就是在web扫描进行前对目标网站进行一次认证登录,扫描工具会在登录时录制登录过程,从而记录下本次登录认证的会话标识和http请求响应对以及站点管理系统内部的链接。相比之下,登录录制没有自动表单填充方案中所要求的那些苛刻条件,只需用户模拟一次正常的认证登录过程。由于登录过程中的储存在用户本地终端上的数据(Cookie)标识可以保持登录信息到用户下次与服务器的会话,换句话说,下次访问同一网站时,用户不必输入用户名和密码就已经登录了。但Cookie标识在生成时就会被指定一个生存周期,在这个周期内Cookie标识有效,超出周期Cookie标识就会被清除。有些页面将Cookie标识的生存周期设置为“O”或负值,这样在关闭浏览器时,就马上清除Cookie标识,不会记录用户信息,更加安全。几乎所有的web扫描工具在进行登录录制时,仅能记录本次登录会话的cookie标识,当下次再进行扫描的时候,很有可能由于该会话标识已经失效,从而导致认证不成功。为了解决上述问题,本专利技术一种登录认证配置装置,如图1所示。其中,所述装置基本运行环境包括CPU,非易失性存储器、内存以及其他硬件,从逻辑层面上来看,所述装置包括:登录录制模块录制用户在web页面登录成功时的第一认证信息,所述第一认证信息包括第一请求数据、第一响应数据及该会话对应的第一会话标识;由于所述第一会话标识可以保持登录信息到用户下次与服务器的会话,那么web扫描工具访问同一网站时,不必输入用户名和密码就已经登录了。认证控制模块在web扫描工具登录认证时判断所述第一会话标识是否有效,若有效,则使用所述第一认证信息进行登录认证配置;否则,说明第一认证信息中的第一会话标识已经失效,那么就可以通过以保存的所述第一认证信息模拟用户登录的方式去获取第二认证信息,并利用所述第二认证信息进行登录认证配置。由此可见,本专利技术通过录制认证信息并在会话标识失效的时候可以利用录制的认证信息获取新的认证信息,因此实现web扫描工具的登录认证配置,从而对web应用进行有效的安全防护。需要说明的是,本专利技术中的登录录制模块处理过程不同于现有技术中的登录录制,所述登录录制模块的实现录制的方式具体为:所述登录录制当前第1页1 2 本文档来自技高网...
【技术保护点】
一种登录认证配置装置,其特征在于,所述装置包括: 登录录制模块,用于录制用户在web页面登录成功时的第一认证信息,所述第一认证信息包括第一请求数据、第一响应数据及该会话对应的第一会话标识; 认证控制模块,用于在web扫描工具登录认证时判断所述第一会话标识是否有效,若有效,则使用所述第一认证信息进行登录认证配置;否则,通过所述第一认证信息获取第二认证信息,并利用所述第二认证信息进行登录认证配置。
【技术特征摘要】
【专利技术属性】
技术研发人员:黄崇代,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。