检测应用程序中用户身份验证漏洞的方法及系统技术方案

本发明专利技术公开了一种检测应用程序中用户身份验证漏洞的方法及系统，该方法包括：模拟用户对应用程序发送访问请求；通过探针获取与访问请求相对应的原始请求信息；对原始请求信息进行解析，以获得其中的与用户身份相对应的特征变量集；随机改变特征变量集中至少一个特征变量的值，且保留特征变量集中至少一个特征变量的值不变，以生成若干条验证请求；分别将若干条验证请求发送到应用程序的访问端口，并查看响应结果；分析响应结果，判断应用程序是否对验证请求的执行进行相应地限制操作，如果否，则应用程序存在用户身份验证漏洞；通过上述方法，可代替人工快速、准确地查找应用程序中的身份验证漏洞，工作效率高，结果准确。结果准确。结果准确。

【技术实现步骤摘要】
检测应用程序中用户身份验证漏洞的方法及系统


[0001]本专利技术涉及应用程序漏洞检测
，尤其涉及一种检测应用程序中用户身份验证漏洞的方法及系统。

技术介绍

[0002]出于网络安全的考虑，大多应用程序都会存在账户注册和账号登录这一行为操作。而应用程序在处理请求传递响应的过程中，可能出现如下情况：在用户注册时未检验用户输入账号信息内容，不同用户以同样的账号信息和身份标识注册账号；用户注册时连续输入不同身份信息进行账号注册，平台未进行IP以及请求的限制；应用程序针对用户登录时只做了纯粹的账户密码以及验证码等校验，未做关联关系校验，如手机号和身份号校验。而当应用程序出现上述情况时可能会存在如下漏洞：1、同一账号信息和身份信息可以同时注册多个账户，导致在先账号信息被覆盖甚者可能出现账号关联信息丢失等情况；2、同一用户可以不同的身份信息进行注册操作，使得平台产生大量请求信息和账号内容，给服务器带来非必要的负担；3、用户一以用户二的身份信息(身份证、手机号等)进行登录操作，平台只验证账号名称验证码等信息，导致登录请求仍然可以成功，从而出现非法登录。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测应用程序中用户身份验证漏洞的方法，其特征在于，包括：模拟用户对所述应用程序发送访问请求；通过探针获取与所述访问请求相对应的原始请求信息；对所述原始请求信息进行解析，以获得其中的与用户身份相对应的特征变量集；随机改变所述特征变量集中至少一个特征变量的值，且保留所述特征变量集中至少一个特征变量的值不变，以生成若干条验证请求；分别将若干条所述验证请求发送到所述应用程序的访问端口，并查看响应结果；分析所述响应结果，判断所述应用程序是否对所述验证请求的执行进行相应地限制操作，如果否，则所述应用程序存在用户身份验证漏洞。2.根据权利要求1所述的检测应用程序中用户身份验证漏洞的方法，其特征在于，所述原始请求信息为注册请求信息，所述特征变量集包括用户名、密码、验证码、身份证号以及手机号，所述验证请求的生成方法为：随机变更所述原始请求中的验证码、身份号和手机号，用户名和密码不变；通过随机生成的验证请求重新发送注册申请时，判断是否注册成功，如果是，则构建漏洞描述，并上报漏洞。3.根据权利要求1所述的检测应用程序中用户身份验证漏洞的方法，其特征在于，所述访问请求为登录请求，所述特征变量集包括用户名、密码、验证码、身份证号以及手机号，所述验证请求的生成方法为：随机变更所述原始请求中的验证码、身份号和手机号，用户名和密码不变；通过随机生成的验证请求重新发送登录申请时，判断是否登录成功，如果是，则构建漏洞描述，并上报漏洞。4.根据权利要求3所述的检测应用程序中用户身份验证漏洞的方法，其特征在于，通过随机生成的验证请求重新发送登录申请时，如果登录失败，则记录失败次数，并判断失败次数是否超过预设值，如果是，则构建漏洞描述，并上报漏洞。5.一种检测应用程序中用户身份验证漏洞的系统，其特征在于，包括请求信息采集模块、解析模块、请求生成模块、请求重发模块和判断模块；所述请求信息采集模块，用于模拟用户对所述应用程序发送访问请求，并通过探针获取与所述访问请求相对应的原始请求信息；所述解析模块，用于对所述原始请求信息进行解析，以获得其中的与用户身份相对应的特征变量集；所述请求生成模块...

【专利技术属性】
技术研发人员：张兵，万振华，王颉，李华，董燕，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：