【技术实现步骤摘要】
登陆场景下漏洞测试方法及系统
本专利技术涉及软件
,尤其涉及一种登陆场景下漏洞测试方法及系统。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。登录场景作为一个web应用的用户入口,起到至关紧要的作用,主要面临登陆身份冒用和资源控制不足风险。若网站的登录功能存在漏洞,那么网站所有用户的账号密码以及个人身份信息都将面临巨大的风险。登陆身份冒用主要通过登陆重放漏洞这种攻击手段实现,攻击者通过网络监听、植入木马等方式截获到被害者发送到认证服务器的登陆请求报文,将报文进行一定的处理后,再把它重新发给认证服务器,从而达到欺骗认证服务器的目的,进而伪装成被害者登陆应用系统并代替被害者做出一些操作。此种攻击手段会不断恶意或欺诈性的重复一个有效的数据传输,在应用服务器的身份认证过程中,破坏认证的安全性。
技术实现思路
为了解决上述问题的至少一个,本专利技术实施例提供了一种登陆场景下漏洞测试方法及系统。本专利技术实施例提...
【技术保护点】
1.一种登陆场景下漏洞测试方法,其特征在于,包括:/n接收测试终端发送的请求报文,所述请求报文的类型包括验证码请求报文和登陆场景请求报文;/n转发所述登陆场景请求报文和所述验证码请求报文至目标服务器,以获得第一响应报文和对应的包括登陆验证码的验证文件;/n解析所述验证文件,并将所述登陆场景请求报文和解析得到的所述登陆验证码组合重构得到重构请求报文,并发送至目标服务器,以获得对应的第二响应报文;/n比对所述第一响应报文和所述第二响应报文,若比对不通过,则该测试终端的重放漏洞测试通过。/n
【技术特征摘要】
1.一种登陆场景下漏洞测试方法,其特征在于,包括:
接收测试终端发送的请求报文,所述请求报文的类型包括验证码请求报文和登陆场景请求报文;
转发所述登陆场景请求报文和所述验证码请求报文至目标服务器,以获得第一响应报文和对应的包括登陆验证码的验证文件;
解析所述验证文件,并将所述登陆场景请求报文和解析得到的所述登陆验证码组合重构得到重构请求报文,并发送至目标服务器,以获得对应的第二响应报文;
比对所述第一响应报文和所述第二响应报文,若比对不通过,则该测试终端的重放漏洞测试通过。
2.根据权利要求1所述的登陆场景下漏洞测试方法,其特征在于,还包括:
根据所述请求报文的分词特征和登陆行为分布特征,确定每个所述请求报文的场景类型,所述场景类型包括登陆场景和非登陆场景。
3.根据权利要求2所述的登陆场景下漏洞测试方法,其特征在于,所述根据所述请求报文的分词特征和登陆行为分布特征,确定每个所述请求报文的类型,包括:
将所述请求报文的请求头和请求体以字符为分词的最小单位进行分词,得到分词集合;
通过设定算法计算分词集合得到请求的分词特征和登陆类型分布特征;
对已标记分词特征和登陆类型分布特征的所述请求报文进行分词特征和登陆类型分布特征的特征向量映射,得到映射特征向量集;
将所述映射特征向量输入到预设的机器学习分类模型,输出请求报文的场景类型标识。
4.根据权利要求3所述的登陆场景下漏洞测试方法,其特征在于,还包括:
建立所述机器学习分类模型;
利用多个已标定场景类型标识的映射特征向量集组成的训练集训练所述机器学习分类模型。
5.根据权利要求1所述的登陆场景下漏洞测试方法,其特征在于,所述验证文件为图像,所述解析所述验证文件,包括:
对所述验证文件进行切割,得到所述登陆验证码的多个字符图片;
将每个所述字符图片输入至预设的深度卷积神经网络,得到识别出的登陆验证码。
6.根据权利要求5所述的...
【专利技术属性】
技术研发人员:范鑫禹,吕博良,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。