本公开的实施例提供了后台爆破方法、装置、设备和计算机可读存储介质。所述方法包括获取后台网页的所有页面元素;对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有输入框信息;基于所述输入框信息,获取所述输入框的id值和/或name值;将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破。以此方式,提高了后台网页的爆破成功率。成功率。成功率。
【技术实现步骤摘要】
后台爆破方法、装置、设备和计算机可读存储介质
[0001]本公开的实施例一般涉及网络安全
,并且更具体地,涉及后台爆破方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]网站后台管理系统(后台网页)主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理。简单来说就是对网站数据库和文件的快速操作和管理系统,以使得前台内容能够得到及时更新和调整。
[0003]在对网站进行渗透测试时,通常需要先对后台网页进行爆破,然后进行后续的渗透测试。
[0004]现有的爆破方案基本上通过构造post请求,然后对登陆接口包进行账号密码等参数的填充,但是当请求的参数值(用户名密码)不体现在网页中时(例如JS文件中),则通过post请求的方式进行后台网页破解的成功率非常有限。
技术实现思路
[0005]根据本公开的实施例,提供了一种后台爆破方案。
[0006]在本公开的第一方面,提供了一种后台爆破方法。该方法包括:获取后台网页的所有页面元素;对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有输入框信息;基于所述输入框信息,获取所述输入框的id值和/或name值;将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破;所述字典中存有与所述id值和/或name值对应的账号密码,以及每一组账号密码是否完成过爆破的标识。
[0007]进一步地,所述获取后台网页的所有页面元素包括:通过Pypeeter爬虫框架进行模拟点击登录,hook后台网页的所有页面元素。
[0008]进一步地,所述对所述页面元素进行分析,获取所述后台网页中所有输入框的id值和name值包括:通过页面分析的方法对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有的输入框标签;基于所述输入框标签,确定每一个输入框的id值和name值;通过所述输入框的name值,进行输入框过滤,去除隐藏输入框。
[0009]进一步地,所述将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破包括:
将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并通过按键模拟的方式输入到所述输入框中;输入所述账号密码后,若页面的title值与输入所述账号密码前不同,则爆破成功,反之则爆破失败。
[0010]进一步地,所述方法还包括:若爆破失败,则调用预设的JS代码,清除当前输入框中的值,重新进行后台网页爆破。
[0011]进一步地,若爆破失败,触发了页面的验证码保护,则通过预设的方法对所述验证码进行爆破。
[0012]进一步地,还包括:若爆破成功,则通过预设的文本比对公式,将爆破成功的账号和所述字典中的账号进行文本比对,搜寻在所述字典中与爆破成功的账号相似度大于预设阈值的账号;所述与爆破成功的账号相似度大于预设阈值的账号,均为已成功爆破过后台网页的账号;基于所述爆破成功的账号和所述与爆破成功的账号相似度大于预设阈值的账号,生成新的账号;基于所述爆破成功的账号的密码和所述与爆破成功的账号相似度大于预设阈值的账号的密码,生成与所述新的账号对应的新的密码;将所述新生成的账号密码写入所述字典,进行样本扩充。
[0013]在本公开的第二方面,提供了一种后台爆破装置。该装置包括:获取模块,用于获取后台网页的所有页面元素;分析模块,用于对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有输入框信息;基于所述输入框信息,获取所述输入框的id值和/或name值;爆破模块,用于将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破;所述字典中存有与所述id值和/或name值对应的账号密码,以及每一组账号密码是否完成过爆破的标识。
[0014]在本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0015]在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面的方法。
[0016]本申请实施例提供的后台爆破方法,通过获取后台网页的所有页面元素;对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有输入框信息;基于所述输入框信息,获取所述输入框的id值和/或name值;将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破;所述字典中存有与所述id值和/或name值对应的账号密码,以及每一组账号密码是否完成过爆破的标识,提高了后台网页的爆破(破解)成功率。
[0017]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或
重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0018]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:图1示出了根据本公开的实施例的后台爆破方法的流程图;图2示出了根据本公开的实施例的后台爆破装置的方框图;图3示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
[0019]为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
[0020]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0021]图1示出了根据本公开实施例的后台爆破方法100的流程图。方法100包括:S110,获取后台网页的所有页面元素;在一些实施例中,可通过Pypeeter爬虫框架(web自动化测试工具)进行模拟点击登录,hook后台网页的所有页面元素。
[0022]其中,通过所述Pypeeter框架,hook页面元素,省去了多余的配置环节,如,相对于selenium框架(当前最热门的Web自动化测试框架之一)省去了driver本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种后台爆破方法,其特征在于,包括:获取后台网页的所有页面元素;对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有输入框信息;基于所述输入框信息,获取所述输入框的id值和/或name值;将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破;所述字典中存有与所述id值和/或name值对应的账号密码,以及每一组账号密码是否完成过爆破的标识。2.根据权利要求1所述的方法,其特征在于,所述获取后台网页的所有页面元素包括:通过Pypeeter爬虫框架进行模拟点击登录,hook后台网页的所有页面元素。3.根据权利要求2所述的方法,其特征在于,所述对所述页面元素进行分析,获取所述后台网页中所有输入框的id值和name值包括:通过页面分析的方法对所述页面元素进行分析,若所述页面中不包含验证码,则获取所述后台网页中所有的输入框标签;基于所述输入框标签,确定每一个输入框的id值和name值;通过所述输入框的name值,进行输入框过滤,去除隐藏输入框。4.根据权利要求3所述的方法,其特征在于,所述将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并输入到所述输入框中,完成所述后台网页的爆破包括:将所述输入框的id值和/或name值与预设字典中的账号密码进行匹配,得到与所述输入框对应的账号密码,并通过按键模拟的方式输入到所述输入框中;输入所述账号密码后,若页面的title值与输入所述账号密码前不同,则爆破成功,反之则爆破失败。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:若爆破失败,则调用预设的JS代码...
【专利技术属性】
技术研发人员:厍军国,任耀祖,刘加勇,白兴伟,
申请(专利权)人:北京华云安信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。