账号锁定绕过逻辑漏洞检测方法、系统以及存储介质技术方案

本申请公开了一种账号锁定绕过逻辑漏洞检测方法、系统以及存储介质，所述方法包括：获取第一请求数据和第一响应信息；根据第一请求数据请求登陆，并获取第二响应信息，结合第一响应信息，判断是否存在验证码验证；将第一请求数据中的账号信息进行置错形成第二请求数据，根据第二请求数据，依次进行预设次数的请求登陆以获取账号锁定响应信息和第三请求数据；根据第三请求数据请求登陆，并获取第三响应信息，结合账号锁定响应信息，判断是否存在账号锁定绕过逻辑漏洞。该检测方法能够适应于验证码防护场景，并且避开对被测代码强依赖的类IAST检测模式，转而以渗透测试的方式直击该类漏洞本质，提高了账号锁定绕过逻辑漏洞检测的普适性。的普适性。的普适性。

【技术实现步骤摘要】
账号锁定绕过逻辑漏洞检测方法、系统以及存储介质


[0001]本申请涉及计算机
，尤其涉及一种账号锁定绕过逻辑漏洞检测方法、系统以及存储介质。

技术介绍

[0002]账号锁定是系统的一项防护措施，当用户登录的错误次数达到设定的阈值时，会将账号进行锁定，当存在账号锁定绕过漏洞时，黑客一般通过撞库攻击和弱密码遍历等手段，仍然可以获取到成功登录的账户，从而实现非法登录，因此为了保障系统的实时安全，需要一种可靠的检测方式来进行检测是否存在账号锁定绕过逻辑漏洞。
[0003]现有的对于账号锁定绕过逻辑漏洞检测方法主要分为两类，一类为传统依托爬虫、流量代理和重放技术实现的账号锁定绕过检测方法，由于现有的很多应用程序含有安全验证等防护措施，网络爬虫无法获取请求数据而进行重放攻击，也就不能对账号锁定绕过进行检测，所以这种方式无法适用于具有验证码验证的测试环境；第二类为插桩模式，在保证目标程序原有逻辑完整的情况下，在特定的位置插入探针，在应用程序运行时，通过探针获取请求、代码数据流、代码控制流等，基于请求、代码、数据流、控制流综合分析来进行漏洞检测，这种检测方式因为要从源代码上进行分析检测，因此需要区分不同的开发语言，并且在代码层面上进行配置部署也增加了整体检测的时间，不适用于需要产品快速迭代上线的客户场景。上述两种检测方式仅能够在有限场景下检测账号锁定绕过逻辑漏洞，缺乏普适性。

技术实现思路

[0004]本申请的目的是提供一种账号锁定绕过逻辑漏洞检测方法、系统以及存储介质，能够适应于验证码防护场景，并且避开对被测代码强依赖的类IAST检测模式，提高账号锁定绕过逻辑漏洞检测的普适性。
[0005]第一方面，本申请提供一种账号锁定绕过逻辑漏洞检测方法，采用如下的技术方案：一种账号锁定绕过逻辑漏洞检测方法，包括以下步骤：获取第一请求数据和第一响应信息，所述第一请求数据包括账号信息、请求地址，所述第一响应信息为成功登陆响应信息；根据所述第一请求数据请求登陆，并获取相应的第二响应信息，判断所述第二响应信息和所述第一响应信息是否相同，若所述第二响应信息和所述第一响应信息不相同，输出第一提示信息，所述第一提示信息用于表达存在验证码验证；若所述第二响应信息和所述第一响应信息相同，将所述第一请求数据中的账号信息进行置错以形成第二请求数据，根据所述第二请求数据，依次进行预设次数的请求登陆，并分别获取第一次请求登陆和最后一次请求登陆对应的响应信息；记所述最后一次请求登陆的响应信息为账号锁定响应信息，并将账号锁定规避字
段添加进最后一次请求数据中以形成第三请求数据；根据所述第三请求数据请求登陆，并获取相应的第三响应信息，判断所述第三响应信息与所述账号锁定响应信息是否相同，若所述第三响应信息与所述账号锁定响应信息相同，输出第二提示信息，所述第二提示信息用于表达不存在账号锁定绕过漏洞；若第三响应信息与账号锁定响应信息不相同，输出第三提示信息，所述第三提示信息用于表达存在账号锁定绕过漏洞。
[0006]通过上述技术方案，在进行账号锁定绕过漏洞检测时，首先可以检测出是否存在验证码验证，并可进一步检测是否存在验证码绕过漏洞，使得该检测方法能够适应于验证码防护场景，并且避开了对被测代码强依赖的类IAST检测模式，转而以渗透测试的方式直击该类漏洞本质，提高了账号锁定绕过逻辑漏洞检测的普适性。
[0007]可选的，所述根据所述第一请求数据请求登陆，并获取第二响应信息，包括：根据所述第一请求数据请求登陆，通过预设的监听程序捕获登陆请求，并获取与登录请求数据相匹配的登录响应信息。
[0008]可选的，所述第一请求数据中还包括验证码对应字段；在所述输出第一提示信息之后，还包括以下步骤：将所述第一请求数据中验证码对应字段进行修改以形成第四请求数据；根据所述第四请求数据请求登陆，并获取相应的第四响应信息；判断所述第四响应信息和所述第一响应信息是否相同，若所述第四响应信息和所述第一响应信息不同，输出第四提示信息，所述第四提示信息用于表达不存在验证码绕过漏洞；若所述第四响应信息和所述第一响应信息相同，输出第五提示信息，所述第五提示信息用于表达存在验证码绕过漏洞。
[0009]可选的，所述将所述第一请求数据中验证码对应字段进行修改，包括：将第一请求数据中验证码对应字段中参数对应的值置空或对验证码对应字段进行删除。
[0010]可选的，在所述输出存在验证码绕过漏洞提示之后，将所述第一请求数据中的账号信息进行置错以形成第二请求数据，根据所述第二请求数据，依次进行预设次数的请求登陆，并分别获取第一次请求登陆和最后一次请求登陆对应的响应信息。
[0011]可选的，所述根据第二请求数据，依次进行预设次数的请求登陆，并分别获取第一次请求登陆和最后一次请求登陆对应的响应信息，包括：将请求登陆次数记为1，根据第二请求数据请求登陆，并获取第一次响应信息；将请求登陆次数累加1，并判断请求登陆次数是否大于预设的阈值，若请求登陆次数不大于预设的阈值，则再次请求登陆，获取本次响应信息，并判断本次响应信息和第一次响应信息是否相同，若本次响应信息和第一次响应信息相同，则将请求登陆次数累加1，再次判断请求登陆次数是否大于预设的阈值；若本次响应信息和第一次响应信息不相同，记本次响应信息为最后一次响应信
息；若请求登陆次数大于预设的阈值，记最后一次获取的响应信息为最后一次响应信息。
[0012]可选的，在所述分别获取第一次请求登陆和最后一次请求登陆对应的响应信息之前，还包括以下步骤：判断第一次请求登陆和最后一次请求登陆对应的响应信息是否相同，若第一次请求登陆和最后一次请求登陆对应的响应信息相同，输出第六提示信息，所述第六提示信息用于表达不存在账号锁定机制；若第一次请求登陆和最后一次请求登陆对应的响应信息不同，记最后一次请求登陆的响应信息为账号锁定响应信息，并将账号锁定规避字段添加进最后一次请求数据中以形成第三请求数据；根据所述第三请求数据请求登陆，并获取相应的第三响应信息，判断所述第三响应信息与所述账号锁定响应信息是否相同，若所述第三响应信息与所述账号锁定响应信息相同，输出第二提示信息，所述第二提示信息用于表达不存在账号锁定绕过漏洞；若所述第三响应信息与所述账号锁定响应信息不相同，输出第三提示信息，所述第三提示信息用于表达存在账号锁定绕过漏洞。
[0013]可选的，所述最后一次请求数据中还包括有账号锁定相关字段，所述将账号锁定规避字段添加进最后一次请求数据中以形成第三请求数据，包括：获取最后一次请求数据中账号锁定相关字段数据；对最后一次请求数据的账号锁定相关字段数据进行修改，形成账号锁定规避字段；将账号锁定规避字段添加进最后一次请求数据中，以替换原先的账号锁定相关字段。
[0014]第二方面，本申请提供一种账号锁定绕过逻辑漏洞检测系统，包括：获取模块，用于获取第一请求数据和第一响应信息，所述第一请求数据包括账号信息、请求地址，所述第一响应信息为成功登陆响应信息；第一判断模块，用于根据所述第一请求数据请求登陆，并获取相应的第二响应信息本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种账号锁定绕过逻辑漏洞检测方法，其特征在于，包括以下步骤：获取第一请求数据和第一响应信息，所述第一请求数据包括账号信息、请求地址，所述第一响应信息为成功登陆响应信息；根据所述第一请求数据请求登陆，并获取相应的第二响应信息，判断所述第二响应信息和所述第一响应信息是否相同，若所述第二响应信息和所述第一响应信息不相同，输出第一提示信息，所述第一提示信息用于表达存在验证码验证；若所述第二响应信息和所述第一响应信息相同，将所述第一请求数据中的账号信息进行置错以形成第二请求数据，根据所述第二请求数据，依次进行预设次数的请求登陆，并分别获取第一次请求登陆和最后一次请求登陆对应的响应信息；记所述最后一次请求登陆的响应信息为账号锁定响应信息，并将账号锁定规避字段添加进最后一次请求数据中以形成第三请求数据；根据所述第三请求数据请求登陆，并获取相应的第三响应信息，判断所述第三响应信息与所述账号锁定响应信息是否相同，若所述第三响应信息与所述账号锁定响应信息相同，输出第二提示信息，所述第二提示信息用于表达不存在账号锁定绕过漏洞；若第三响应信息与账号锁定响应信息不相同，输出第三提示信息，所述第三提示信息用于表达存在账号锁定绕过漏洞。2.根据权利要求1所述的一种账号锁定绕过逻辑漏洞检测方法，其特征在于，所述根据所述第一请求数据请求登陆，并获取第二响应信息，包括：根据所述第一请求数据请求登陆，通过预设的监听程序捕获登陆请求，并获取与登录请求数据相匹配的登录响应信息。3.根据权利要求1所述的一种账号锁定绕过逻辑漏洞检测方法，其特征在于，所述第一请求数据中还包括验证码对应字段；在所述输出第一提示信息之后，还包括以下步骤：将所述第一请求数据中验证码对应字段进行修改以形成第四请求数据；根据所述第四请求数据请求登陆，并获取相应的第四响应信息；判断所述第四响应信息和所述第一响应信息是否相同，若所述第四响应信息和所述第一响应信息不同，输出第四提示信息，所述第四提示信息用于表达不存在验证码绕过漏洞；若所述第四响应信息和所述第一响应信息相同，输出第五提示信息，所述第五提示信息用于表达存在验证码绕过漏洞。4.根据权利要求3所述的一种账号锁定绕过逻辑漏洞检测方法，其特征在于，所述将所述第一请求数据中验证码对应字段进行修改，包括：将第一请求数据中验证码对应字段中参数对应的值置空或对验证码对应字段进行删除。5.根据权利要求3所述的一种账号锁定绕过逻辑漏洞检测方法，其特征在于，在所述输出存在验证码绕过漏洞提示之后，将所述第一请求数据中的账号信息进行置错以形成第二请求数据，根据所述第二请求数据，依次进行预设次数的请求登陆，并分别获取第一次请求登陆和最后一次请求登陆对
应的响应信息。6.根据权利要求1所述的一种账号锁定绕过逻辑漏洞检测方法，其特征在于，所述根据第二请求数据，依次进行预设次数的请求登陆，并分别获取第一次请求登陆和最后一次请求登陆对应的响应信息，包括：将请求登陆次数记为1，根据第二请求数据请求登陆，并获取第一次响应信息；将请求登陆次数累加1，并判断请求登陆次数是否大于预设的阈值，若请求登陆次数不大于预设的阈值，则再次请求登陆，获取本次响应信息，并判断本次响应信息和第一次响应信息是否...

【专利技术属性】
技术研发人员：范丙华，徐锋，应勇，王凯翔，
申请(专利权)人：杭州孝道科技有限公司，
类型：发明
国别省市：