一种自动化检测验证码回传逻辑漏洞的方法及系统技术方案

本发明专利技术公开了一种自动化检测验证码回传逻辑漏洞的方法及系统，其实现过程为，首先载入敏感操作对应的URL，然后解析获取敏感操作对应的邮箱地址或者手机号码；然后发送验证码请求，查看响应数据中是否包含验证码的值，如果包含，则说明该操作存在验证码回传逻辑漏洞，如果不包含，则说明不存在。本发明专利技术的一种自动化检测验证码回传逻辑漏洞的方法及系统与现有技术相比，实现了自动化，无需人工操作，可以提升渗透测试工程师的漏洞检测效率，实用性强，适用范围广泛，易于推广。

A method and system for automatic verification code backpass logic loopholes

The invention discloses a method and a system for automatic detection of verification code return logic vulnerabilities, the realization process, first load sensitive operations corresponding to the URL, and then get the corresponding analytical operation sensitive email address or mobile phone number; then send verification code verification code check request, response value, whether the data contains if included. The operation of existing verification code return logic vulnerabilities, if not, that does not exist. Compared with the prior art, a method and a system for automatic detection of the verification code return logic vulnerabilities, automatically, without manual operation, can improve the efficiency of vulnerability detection penetration testing engineer, strong practicability, wide application range, easy popularization.

【技术实现步骤摘要】
一种自动化检测验证码回传逻辑漏洞的方法及系统
本专利技术涉及信息安全
，具体地说是一种实用性强的自动化检测验证码回传逻辑漏洞的方法及系统。
技术介绍
现有技术中，验证码的逻辑漏洞问题严重，亟待解决，逻辑漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误。逻辑漏洞一般出现在账号注册、密码修改、密码找回、提交订单、支付金额等敏感操作处。逻辑漏洞挖掘一直是安全测试中“经久不衰”的话题。相比SQL注入、XSS漏洞等传统安全漏洞，现在的攻击者更倾向于利用业务逻辑层的漏洞，这类漏洞往往危害巨大，可能造成企业的资产损失和名誉受损，并且传统的安全防御设备和措施收效甚微。例如，某在线购物网站存在订单金额任意修改的逻辑漏洞，攻击者能够通过在提交订单的时候抓取数据包或者直接修改前端代码的方式，完成对订单的金额的任意修改，导致攻击者能够以极低的价格购买商品，造成该购物网站的资产损失。并且，该漏洞相对于传统安全漏洞（如SQL注入），更加难以防御，原因是该订单的请求与正常的请求非常相似。验证码（CAPTCHA）是CompletelyAutomatedPublicTuringte本文档来自技高网...

【技术保护点】
一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，其实现过程为，一、首先载入敏感操作对应的URL，然后解析获取敏感操作对应的邮箱地址或者手机号码；二、然后发送验证码请求，查看响应数据中是否包含验证码的值，如果包含，则说明该操作存在验证码回传逻辑漏洞，如果不包含，则说明不存在。

【技术特征摘要】
1.一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，其实现过程为，一、首先载入敏感操作对应的URL，然后解析获取敏感操作对应的邮箱地址或者手机号码；二、然后发送验证码请求，查看响应数据中是否包含验证码的值，如果包含，则说明该操作存在验证码回传逻辑漏洞，如果不包含，则说明不存在。2.根据权利要求1所述的一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，所述步骤一的具体过程为：1）首先载入一个或多个URL，这里的一个URL对应一项敏感操作；2）发送HTTP请求至URL，获取步骤1）中载入的URL的html文件；3）解析步骤二中获取的html文件，完成邮箱地址或者手机号码的填写。3.根据权利要求2所述的一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，上述步骤通过Python语言编写程序自动实现，相对应的，步骤1）中URL载入通过在程序交互时直接输入URL或者导入保存URL的文件实现。4.根据权利要求3所述的一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，所述步骤2）中，使用Python内置的urllib库，发送HTTP请求至URL并返回html文档，所述urllib库的作用是发送请求至服务器端，然后获取该页面的html文档。5.根据权利要求3所述的一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，所述步骤3）中，使用Python的BeautifulSoup库，解析获取的html文档，从网页中抓取希望得到的数据：首先抓取html表单，然后判断是否需要在该html表单中填写邮箱地址或者手机号码；如果需要填写，则由程序自动填写完成；如果不需要填写，则表示html文档中已包含邮箱地址或者手机号码。6.根据权利要求3所述的一种自动化检测验证码回传逻辑漏洞的方法，其特征在于，所述步骤二的具体实现过程为：使用Python内置的urllib库，发送请求至对应敏感操作的URL地址，对应的邮...

【专利技术属性】
技术研发人员：陈栋，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41