本发明专利技术公开了一种用于web应用安全检测中的用户登录请求识别方法及系统,其中该方法包括:通过插桩工具插桩web应用,将跟踪逻辑织入所述web应用中;获取进入所述web应用中的所有请求数据及该请求数据的数据流;判断当前所述请求数据是否位于预置的请求库中,并根据判断结果返回相应的第一特征值;判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用,并根据判断结果返回相应的第二特征值;计算所述第一特征值和所述第二特征值的和,以获得综合特征值;当所述综合特征值越过阈值时,将当前所述请求数据定义为登录请求;上述方法可完成对用户登录请求的快速、准确识别,并达到减少人工操作、识别程序隐藏登录地址的目的。址的目的。址的目的。
【技术实现步骤摘要】
用于web应用安全检测中的用户登录请求识别方法及系统
[0001]本专利技术涉及web应用安全检测
,尤其涉及一种用于web应用安全检测中的用户登录请求识别方法及系统。
技术介绍
[0002]随着应用程序从客户端到浏览器端的不断演进,人们越来越多的习惯在网页端进行数据交互,而在进行数据交互前,一般站点都会要求我们输入用户名、密码进行身份登录验证后才可使用。由此,登录请求能否正常使用,以及web应用是否包含未知的不安全登录入口等问题,是影响web应用业务功能的重要部分。所以登录请求本身存在的安全问题也被凸显的尤为重要。但是由于每个web应用程序的登录请求接口地址与描述都不一样,在通过安全检测工具对web应用进行安全检测过程中,如何能快速并准确地定位登录请求接口是比较困难的问题。目前市面上的安全检测工具一般都是通过请求地址的关键词相似性来判断的,如/login,/singin等,如果开发人员将登录请求地址变成/in、/dl时,一般安全检测工具就很难将其识别为登录请求。另外,一些业务逻辑漏洞(越权,流程绕过)的检测与识别都需要定位当前操作的用户信息,但是在请求的执行过程中,我们一般只能获取到请求的session或token信息,很难逆向到用户的登录用户名。当出现此类业务逻辑漏洞问题后,往往需要受影响的应用程序修改代码添加登录用户信息打印,或者在安全检测工具中手动指定登录请求地址等,相当的不便。并且还会出现应用程序的开发者隐藏了第二登录请求的情况,这会造成留下程序后门的隐患。
技术实现思路
[0003]本专利技术的目的是提供一种可快速并准确定位登录请求的用于web应用安全检测中的用户登录请求识别方法及系统。
[0004]为了实现上述目的,本专利技术公开了一种用于web应用安全检测中的用户登录请求识别方法,其包括:通过插桩工具插桩web应用,将跟踪逻辑织入所述web应用中;基于所述跟踪逻辑获取进入所述web应用中的所有请求数据及该请求数据的数据流;判断当前所述请求数据是否位于预置的请求库中,并根据判断结果返回相应的第一特征值;判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用,并根据判断结果返回相应的第二特征值;分别为所述第一特征值和所述第二特征值赋予不同的权重,且所述第一特征值的权重大于所述第二特征值的权重,并计算所述第一特征值和所述第二特征值的和,以获得综合特征值;当所述综合特征值越过阈值时,将当前所述请求数据定义为登录请求。
[0005]较佳地,根据当前所述请求数据的数据流,判断当前所述请求数据是否触发所述web应用中已知的登录验证函数,并根据判断结果返回第三特征值,为所述第三特征值赋予权重,且所述第三特征值的权重小于所述第一特征值的权重和所述第二特征值的权重,并计算所述第一特征值、所述第二特征值和所述第三特征值的和,以获得所述综合特征值。
[0006]较佳地,根据当前所述请求数据的数据流,判断是否存在自定义的用户名和密码验证流程,并根据判断结果返回第四特征值,为所述第四特征值赋予权重,且所述第四特征值的权重小于所述第一特征值的权重和所述第二特征值的权重,并计算所述第一特征值、所述第二特征值和所述第四特征值的和,以获得所述综合特征值。
[0007]较佳地,判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用的方法包括:通过会话函数判断请求数据中是否有新的会话信息生成,如果是,则存储该会话信息,并对该请求数据的返回信息进行跟踪;判断该请求数据的响应信息是否存在响应头字段,以及该响应头字段中是否存在所述会话信息。
[0008]本专利技术还公开一种用于web应用安全检测中的用户登录请求识别系统,其包括:插桩模块,其用于通过插桩工具插桩web应用,以将跟踪逻辑织入所述web应用中,所述跟踪逻辑用于获取进入所述web应用中的请求数据的数据流;数据流获取模块,其用于基于所述跟踪逻辑获取进入所述web应用中的所有请求数据及该请求数据的数据流;第一判断模块,其用于判断当前所述请求数据是否位于预置的请求库中,并根据判断结果返回相应的第一特征值;第二判断模块,其用于判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用,并根据判断结果返回相应的第二特征值;计算模块,其用于分别为所述第一特征值和所述第二特征值赋予不同的权重,且所述第一特征值的权重大于所述第二特征值的权重,并计算所述第一特征值和所述第二特征值的和,以获得综合特征值;确认模块,其用于在所述综合特征值越过阈值时,将当前所述请求数据定义为登录请求。
[0009]较佳地,还包括第三判断模块,所述第三判断模块用于判断当前所述请求数据是否触发所述web应用中已知的登录验证函数,并根据判断结果返回第三特征值;所述计算模块还为所述第三特征值赋予权重,且所述第三特征值的权重小于所述第一特征值的权重和所述第二特征值的权重,并计算所述第一特征值、所述第二特征值和所述第三特征值的和,以获得所述综合特征值。
[0010]较佳地,还包括第四判断模块,所述第四判断模块用于判断是否存在自定义的用户名和密码验证流程,并根据判断结果返回第四特征值;所述计算模块为所述第四特征值赋予权重,且所述第四特征值的权重小于所述第一特征值的权重和所述第二特征值的权重,并计算所述第一特征值、所述第二特征值和所述第四特征值的和,以获得所述综合特征值。
[0011]较佳地,所述第二判断模块包括准备模块和判断模块;所述准备模块用于在通过
会话函数确认请求数据中有新的会话信息生成时,存储该会话信息,并对该请求数据的返回信息进行跟踪;所述判断模块,用于判断该请求数据的响应信息是否存在响应头字段,以及该响应头字段中是否存在所述会话信息。
[0012]本专利技术还公开另一种用户登录请求识别系统,其包括:一个或多个处理器;存储器;以及一个或多个程序,其中一个或多个程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述程序包括用于执行如上所述的用于web应用安全检测中的用户登录请求识别方法的指令。
[0013]本专利技术还公开一种计算机可读存储介质,其特征在于,包括计算机程序,所述计算机程序可被处理器执行以完成如上所述的用于web应用安全检测中的用户登录请求识别方法。
[0014]与现有技术相比,本专利技术上述技术方案,通过对web应用的插桩跟踪请求数据在web应用中的数据流,从而判断当前所述请求数据是否位于预置的请求库中以及判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用,并根据判断结果计算出综合特征值,进而根据综合特征值与预设的阈值的比较决定是否将当前请求数据定义为登录请求,以完成对用户登录请求的快速、准确识别,并达到减少人工操作、识别程序隐藏登录地址的目的。
附图说明
[0015]图1为本专利技术实施例中用户登录请求识别方法流程图。
具体实施方式
[0016]为详细说明本专利技术的
技术实现思路
、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。
[0017]本实施例公本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于web应用安全检测中的用户登录请求识别方法,其特征在于,包括:通过插桩工具插桩web应用,将跟踪逻辑织入所述web应用中;基于所述跟踪逻辑获取进入所述web应用中的所有请求数据及该请求数据的数据流;判断当前所述请求数据是否位于预置的请求库中,并根据判断结果返回相应的第一特征值;判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用,并根据判断结果返回相应的第二特征值;分别为所述第一特征值和所述第二特征值赋予不同的权重,且所述第一特征值的权重大于所述第二特征值的权重,并计算所述第一特征值和所述第二特征值的和,以获得综合特征值;当所述综合特征值越过阈值时,将当前所述请求数据定义为登录请求。2.根据权利要求1所述的用于web应用安全检测中的用户登录请求识别方法,其特征在于,根据当前所述请求数据的数据流,判断当前所述请求数据是否触发所述web应用中已知的登录验证函数,并根据判断结果返回第三特征值,为所述第三特征值赋予权重,且所述第三特征值的权重小于所述第一特征值的权重和所述第二特征值的权重,并计算所述第一特征值、所述第二特征值和所述第三特征值的和,以获得所述综合特征值。3.根据权利要求1所述的用于web应用安全检测中的用户登录请求识别方法,其特征在于,根据当前所述请求数据的数据流,判断是否存在自定义的用户名和密码验证流程,并根据判断结果返回第四特征值,为所述第四特征值赋予权重,且所述第四特征值的权重小于所述第一特征值的权重和所述第二特征值的权重,并计算所述第一特征值、所述第二特征值和所述第四特征值的和,以获得所述综合特征值。4.根据权利要求1所述的用于web应用安全检测中的用户登录请求识别方法,其特征在于,判断当前所述请求数据在所述web应用中是否有新的会话信息生成并使用的方法包括:通过会话函数判断请求数据中是否有新的会话信息生成,如果是,则存储该会话信息,并对该请求数据的返回信息进行跟踪;判断该请求数据的响应信息是否存在响应头字段,以及该响应头字段中是否存在所述会话信息。5.一种用于web应用安全检测中的用户登录请求识别系统,其特征在于,包括:插桩模块,其用于通过插桩工具插桩web应用,以将跟踪逻辑织入所述web应用中,所述跟踪逻辑用于获取进入所述web应用中的请求数据的数据流;数据流获取模块,其用于基于所述跟踪逻辑获取进入所述web应用中的所有请求数据及该请求数据的数据流;第一判断模块,其用于判断当前...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。