本申请提供的登录页面中弱口令的检测方法、装置、设备和存储介质,属于计算机技术领域。所述方法包括:在对登录页面进行弱口令检测时,利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求;将所述模拟登录请求提交给所述登录页面,获取所述登录页面对所述模拟登录请求的处理结果;将所述处理结果与所述预设弱口令字典中的弱口令进行匹配;利用所述处理结果中与所述弱口令相匹配的字段数据,构建所述登录页面的目标弱口令库,其中目标弱口令库用于对所述登录界面接收到的登录请求中的弱口令进行识别。到的登录请求中的弱口令进行识别。到的登录请求中的弱口令进行识别。
【技术实现步骤摘要】
登录页面中弱口令的检测方法、装置、设备和存储介质
[0001]本申请属于计算机领域,特别涉及一种登录页面中弱口令的检测方法、装置、设备和存储介质。
技术介绍
[0002]在针对Web(页面)站点的弱口令检测与防护中,常用的手段是通过前端JS脚本代码对用户输入的口令模式进行匹配,检测用户输入口令框中的字符串是否符合预设的正则表达式。这种方式以提示信息的方式提示用户,或者直接组织点击登录/注册按钮的方式预防用户使用弱口令。但是这种方式有个致命的缺点,就是JS在前端可以被用户绕过。
[0003]在检测弱口令时,通用的技术手段是采用暴力破解的方式,通常的暴力破解需要获取用户登录的请求数据。通过代理抓包分析的方式对用户的登录请求数据包进行分析,然后根据分析出的结果选择需要提更换的口令位置。遍历弱口令字典中的弱口令逐个替换请求中的口令,进行请求的重放。然后再根据请求的返回值信息判断请求是否成功。进而判断该弱口令是否成功登录。这种方法存在很多显而易见的问题。例如,需要测试者知悉口令的具体加密方式、请求中可能带有其他与加密参数有关的数据(使得每次加密后的口令不同)等、以及针对每个站点都需要重新分析其加密算法实现。
[0004]在已有的被动式弱口令检测方式中,大多是通过请求中的关键字“username”、“password”等进行匹配,且匹配时在未知加密方式时仅对明文口令有效,因此,针对登录请求匹配无法做到较高的正确率。如需要匹配加密口令,则需要对每种应用的口令处理方式进行再次实现,费时费力。
[0005]在已有的弱口令服务端检测方法中,有很高正确率的方法是通过获取用户存储在数据库中的口令与弱口令字典库中的口令进行对比。这种方式需要定期进行测试,无法获得持续稳定的检测效果。
技术实现思路
[0006]本申请提供的一种登录页面中弱口令的检测方法、装置、设备和存储介质。
[0007]本申请一些实施例提供一种登录页面中弱口令的检测方法,所述方法包括:
[0008]在对登录页面进行弱口令检测时,利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求;
[0009]将所述模拟登录请求提交给所述登录页面,获取所述登录页面对所述模拟登录请求的处理结果;
[0010]将所述处理结果与所述预设弱口令字典中的弱口令进行匹配;
[0011]利用所述处理结果中与所述弱口令相匹配的字段数据,构建所述登录页面的目标弱口令库,其中目标弱口令库用于对所述登录界面接收到的登录请求中的弱口令进行识别。
[0012]可选地,在所述利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生
成模拟登录请求之前,所述方法包括:
[0013]对所述登录页面中的登录关键字进行检索,识别所述登录页面中的登录输入框;
[0014]在所述登录输入框的周围存在登录输入框控件时,将所述登录输入框中的输入参数作为登录参数。
[0015]可选地,所述利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求,包括:
[0016]利用预设弱口令库中的各个弱口令分别作为所述登录页面的登录参数填充至所述登录输入框;
[0017]向所述登录输入框控件发送触发指令,以使得所述登录页面生成登录请求。
[0018]可选地,在所述利用预设弱口令库中的各个弱口令分别作为所述登录页面的登录参数填充至所述登录输入框之后,所述方法还包括:
[0019]在所述登录页面中存在验证码输入框时,向所述登录码输入框中填充预设验证码。
[0020]可选地,所述在所述登录页面中存在验证码输入框时,向所述登录码输入框中填充预设验证码之前,所述方法还包括:
[0021]在所述登录页面存在验证码输入框时,将输入登录参数后的登录页面与输入登录参数之前的登录页面进行页面元素比对,将识别到的发生变动的页面元素所对应的输入框作为验证码输入框。
[0022]可选地,在所述利用所述处理结果中与所述弱口令相匹配的字段数据,构建所述登录页面的目标弱口令库,其中目标弱口令库用于对所述登录界面接收到的登录请求中的弱口令进行识别之后,所述方法还包括:
[0023]获取用户在所述登录页面输入的用户登录请求;
[0024]将所述用户登录请求中的各字段数据与目标弱口令库中的弱口令进行匹配;其中所述字段数据至少包括:username字段数据、password字段数据、login字段数据中的至少一种;
[0025]在任一所述字段数据与任一所述弱口令匹配的情况下,确定所述登录请求中包含弱口令;
[0026]显示用于提示所述登录请求包含弱口令的提示信息。
[0027]可选地,所述获取所述登录页面对所述模拟登录请求的处理结果,包括:
[0028]在监控到所述登录页面触发登录事件时,拦截所述登录页面向服务器发送的处理结果。
[0029]本申请一些实施例提供一种登录页面中弱口令的检测装置,所述装置包括:
[0030]模拟模块,用于在对登录页面进行弱口令检测时,利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求;
[0031]将所述模拟登录请求提交给所述登录页面,获取所述登录页面对所述模拟登录请求的处理结果;
[0032]匹配模块,用于将所述处理结果与所述预设弱口令字典中的弱口令进行匹配;
[0033]构建模块,用于利用所述处理结果中与所述弱口令相匹配的字段数据,构建所述登录页面的目标弱口令库,其中目标弱口令库用于对所述登录界面接收到的登录请求中的
弱口令进行识别。
[0034]可选地,所述模拟模块,还用于:
[0035]对所述登录页面中的登录关键字进行检索,识别所述登录页面中的登录输入框;
[0036]在所述登录输入框的周围存在登录输入框控件时,将所述登录输入框中的输入参数作为登录参数。
[0037]可选地,所述模拟模块,还用于:
[0038]利用预设弱口令库中的各个弱口令分别作为所述登录页面的登录参数填充至所述登录输入框;
[0039]向所述登录输入框控件发送触发指令,以使得所述登录页面生成登录请求。
[0040]可选地,所述模拟模块,还用于:
[0041]在所述登录页面中存在验证码输入框时,向所述登录码输入框中填充预设验证码。
[0042]可选地,所述模拟模块,还用于:
[0043]在所述登录页面存在验证码输入框时,将输入登录参数后的登录页面与输入登录参数之前的登录页面进行页面元素比对,将识别到的发生变动的页面元素所对应的输入框作为验证码输入框。
[0044]可选地,所述装置还包括:检测模块,用于:
[0045]获取用户在所述登录页面输入的用户登录请求;
[0046]将所述用户登录请求中的各字段数据与目标弱口令库中的弱口令进行匹配;其中所述字段数据至少包括:username字段数据、pass本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种登录页面中弱口令的检测方法,其特征在于,所述方法包括:在对登录页面进行弱口令检测时,利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求;将所述模拟登录请求提交给所述登录页面,获取所述登录页面对所述模拟登录请求的处理结果;将所述处理结果与所述预设弱口令字典中的弱口令进行匹配;利用所述处理结果中与所述弱口令相匹配的字段数据,构建所述登录页面的目标弱口令库,其中目标弱口令库用于对所述登录界面接收到的登录请求中的弱口令进行识别。2.根据权利要求1所述的方法,其特征在于,在所述利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求之前,所述方法包括:对所述登录页面中的登录关键字进行检索,识别所述登录页面中的登录输入框;在所述登录输入框的周围存在登录输入框控件时,将所述登录输入框中的输入参数作为登录参数。3.根据权利要求2所述的方法,其特征在于,所述利用预设弱口令库中的弱口令作为所述登录页面的登录参数,生成模拟登录请求,包括:利用预设弱口令库中的各个弱口令分别作为所述登录页面的登录参数填充至所述登录输入框;向所述登录输入框控件发送触发指令,以使得所述登录页面生成登录请求。4.根据权利要求3所述的方法,其特征在于,在所述利用预设弱口令库中的各个弱口令分别作为所述登录页面的登录参数填充至所述登录输入框之后,所述方法还包括:在所述登录页面中存在验证码输入框时,向所述登录码输入框中填充预设验证码。5.根据权利要求4所述的方法,其特征在于,所述在所述登录页面中存在验证码输入框时,向所述登录码输入框中填充预设验证码之前,所述方法还包括:在所述登录页面存在验证码输入框时,将输入登录参数后的登录页面与输入登录参数之前的登录页面进行页面元素比对,将识别到的发生变动的页面元素所对应的输入框作为验证码输入框。6.根据权利要求1所述的方法,其特征在于,在所述利用所述...
【专利技术属性】
技术研发人员:刘帅甫,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。