本发明专利技术提供了一种应用程序登录时逻辑漏洞的检测方法、装置及存储介质,其中,方法包括:获取待检测应用程序的原始登录请求信息;在原始登录请求信息中设置与待检测应用程序的安全相关的特定变量值信息;多次基于特定变量值信息形成随机值信息,利用随机值信息替换特定变量值信息,生成新特定变量值信息及新登录请求信息;基于新登录请求信息,模拟与待检测应用程序的安全相关的场景进行请求重发,得到与新登录请求信息对应的新请求响应结果;分析新请求响应结果,得到待检测应用程序的逻辑漏洞。本发明专利技术能够实现对待检测应用程序的各种安全情况的全面覆盖,极大地提升了应用程序的使用安全性。
【技术实现步骤摘要】
应用程序登录时逻辑漏洞的检测方法、装置及存储介质
本专利技术涉及应用程序检测
,尤其是指一种应用程序登录时逻辑漏洞的检测方法、装置及存储介质。
技术介绍
应用程序,指为完成某项或多项特定工作的计算机程序,其运行于用户模式,能够和用户进行交互,且具有可视的用户界面。以腾讯qq为例,诸如qq音乐、qq农场、qq斗地主等均属于应用程序。目前,大部分应用程序均包括登录这一行为操作,当用户登录某一应用程序时,应用程序通常会展现出一些逻辑漏洞,比如:用户通过安全性较弱的口令登录应用程序时,若用户的账号信息未进行加密操作,则其他人可通过尝试一些简单的口令以破解用户的账号信息;在用户输入错误的密码信息时,若相关平台未对账号进行锁定操作,则其他人可频繁地使用不同的密码信息进行登录操作,以破解用户账号;应用程序针对用户输入的错误账号或密码,展现针对性的提示信息,使得其他用户可根据这些针对性的提示信息对用户账号或密码进行逐一破解等。上述这些应用程序的逻辑漏洞对于用户而言,无法保证用户的账号、密码及用户信息的安全,进而导致应用程序的使用安全性较低。而现有的一些应用程序登录时逻辑漏洞的检测方法提升应用程序使用安全性的效果也不明显。因此,有必要对上述应用程序登录时逻辑漏洞的检测方法进行改进。
技术实现思路
本专利技术所要解决的技术问题是:提供一种应用程序登录时逻辑漏洞的检测方法、装置、检测设备及存储介质,旨在解决应用程序使用安全性较低的问题。为了解决上述技术问题,本专利技术采用的技术方案为:r>本专利技术实施例第一方面提供一种应用程序登录时逻辑漏洞的检测方法,包括:获取待检测应用程序的原始登录请求信息;在所述原始登录请求信息中设置与待检测应用程序的安全相关的特定变量值信息;多次基于所述特定变量值信息形成随机值信息,利用所述随机值信息替换特定变量值信息,生成新特定变量值信息及新登录请求信息;基于所述新登录请求信息,模拟与所述待检测应用程序的安全相关的场景进行请求重发,得到与所述新登录请求信息对应的新请求响应结果;分析所述新请求响应结果,得到所述待检测应用程序的逻辑漏洞。在一些实施方案中,所述分析所述新请求响应结果,得到所述待检测应用程序的逻辑漏洞,具体包括:获取与所述原始登录请求信息对应的原始请求响应结果;对比所述新请求响应结果与原始请求响应结果,得到所述待检测应用程序的逻辑漏洞。在一些实施方案中,所述获取与所述原始登录请求信息对应的原始请求响应结果,具体包括:利用互联网探针技术,获取与所述原始登录请求信息对应的原始请求响应结果。在一些实施方案中,所述利用互联网探针技术,获取与所述原始登录请求信息对应的原始请求响应结果之后,还包括:存储所述原始请求响应结果。在一些实施方案中,所述获取待检测应用程序的原始登录请求信息,具体包括:利用互联网探针技术,获取待检测应用程序的原始登录请求信息。在一些实施方案中,所述利用互联网探针技术,获取待检测应用程序的原始登录请求信息之后,还包括:存储所述原始登录请求信息。在一些实施方案中,所述特定变量值信息至少包括:用户名信息、密码信息及允许登录失败次数。本专利技术实施例第二方面提供一种应用程序登录时逻辑漏洞的检测装置,包括:获取模块,用于获取待检测应用程序的原始登录请求信息;设置模块,用于在所述原始登录请求信息中设置与待检测应用程序的安全相关的特定变量值信息;生成模块,用于多次基于所述特定变量值信息形成随机值信息,利用所述随机值信息替换特定变量值信息,生成新特定变量值信息及新登录请求信息;重发模块,用于基于所述新登录请求信息,模拟与所述待检测应用程序的安全相关的场景进行请求重发,得到与所述新登录请求信息对应的新请求响应结果;分析模块,用于分析所述新请求响应结果,得到所述待检测应用程序的逻辑漏洞。本专利技术实施例第三方面提供一种应用程序登录时逻辑漏洞的检测设备,包括:存储装置及一个或多个处理器,所述存储装置用于存储一个或多个程序,其中,当一个或多个所述程序被一个或多个处理器执行时,使得一个或多个所述处理器执行。本专利技术实施例第四方面提供一种计算机可读存储介质,所述计算机可读存储介质上存储有可执行指令,所述可执行指令被执行时执行如本专利技术实施例第一方面所述的方法。从上述描述可知,与现有技术相比,本专利技术的有益效果在于:在待检测应用程序的原始登录请求信息中设置与待检测应用程序的安全相关的特定变量值信息,并多次利用基于特定变量值信息形成的随机值信息替换特定变量值信息,以得到多个不同的新登录请求信息,从而实现对待检测应用程序的各种安全情况的全面覆盖。再利用多个新登录请求信息进行请求重发,得到多个新请求响应结果,最后通过分析多个新请求响应结果,得出待检测应用程序的逻辑漏洞,极大地提升了应用程序的使用安全性。由于多个特定变量值信息均与待检测应用程序的安全相关(不同的特定变量值信息对应待检测应用程序的不同或相同安全情况),所以通过针对不同的特定变量值信息,能够更加精确、高效地检测出相应的逻辑问题。此外,本专利技术基于几个简单的步骤,还具备简易性特点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本专利技术实施例提供的应用程序登录时逻辑漏洞的检测方法的流程示意图;图2为本专利技术实施例提供的图1中步骤S5的流程示意图;图3为本专利技术实施例提供的应用程序登录时逻辑漏洞的检测装置的模块方框图;图4为本专利技术实施例提供的应用程序登录时逻辑漏洞的检测设备的模块方框图;图5为本专利技术实施例提供的计算机可读存储介质的模块方框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。此外,下面所描述的本专利技术的各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。实施例1请参阅图1,图1为本专利技术实施例提供的应用程序登录时逻辑漏洞的检测方法的流程示意图。如图1所示,本专利技术第一实施例提供一种应用程序登录时逻辑漏洞的检测方法,包括如下步骤S1至S5。S1、获取待检测应用程序的原始登录请求信息;此处,利用互联网探针技术,获取待检测应用程序的原始登录请求信息,并在获取到原始登录请求信息之后,对原始登录请求信息进行存储,方便检测人员日后进行查看。S2、在原始登录请求信息中设置与待检测应用程序的安全相关的特定变量本文档来自技高网...
【技术保护点】
1.一种应用程序登录时逻辑漏洞的检测方法,其特征在于,包括:/n获取待检测应用程序的原始登录请求信息;/n在所述原始登录请求信息中设置与待检测应用程序的安全相关的特定变量值信息;/n多次基于所述特定变量值信息形成随机值信息,利用所述随机值信息替换特定变量值信息,生成新特定变量值信息及新登录请求信息;/n基于所述新登录请求信息,模拟与所述待检测应用程序的安全相关的场景进行请求重发,得到与所述新登录请求信息对应的新请求响应结果;/n分析所述新请求响应结果,得到所述待检测应用程序的逻辑漏洞。/n
【技术特征摘要】
1.一种应用程序登录时逻辑漏洞的检测方法,其特征在于,包括:
获取待检测应用程序的原始登录请求信息;
在所述原始登录请求信息中设置与待检测应用程序的安全相关的特定变量值信息;
多次基于所述特定变量值信息形成随机值信息,利用所述随机值信息替换特定变量值信息,生成新特定变量值信息及新登录请求信息;
基于所述新登录请求信息,模拟与所述待检测应用程序的安全相关的场景进行请求重发,得到与所述新登录请求信息对应的新请求响应结果;
分析所述新请求响应结果,得到所述待检测应用程序的逻辑漏洞。
2.如权利要求1所述的应用程序登录时逻辑漏洞的检测方法,其特征在于,所述分析所述新请求响应结果,得到所述待检测应用程序的逻辑漏洞,具体包括:
获取与所述原始登录请求信息对应的原始请求响应结果;
对比所述新请求响应结果与原始请求响应结果,得到所述待检测应用程序的逻辑漏洞。
3.如权利要求2所述的应用程序登录时逻辑漏洞的检测方法,其特征在于,所述获取与所述原始登录请求信息对应的原始请求响应结果,具体包括:利用互联网探针技术,获取与所述原始登录请求信息对应的原始请求响应结果。
4.如权利要求3所述的应用程序登录时逻辑漏洞的检测方法,其特征在于,所述利用互联网探针技术,获取与所述原始登录请求信息对应的原始请求响应结果之后,还包括:存储所述原始请求响应结果。
5.如权利要求1所述的应用程序登录时逻辑漏洞的检测方法,其特征在于,所述获取待检测应用程序的原始登录请求信息,具体包括:利用互联网探针技术,获取待...
【专利技术属性】
技术研发人员:张兵,万振华,王颉,董燕,李华,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。