【技术实现步骤摘要】
一种基于验证缺陷的密码重置逻辑漏洞检测方法和装置
[0001]本专利技术属于网络安全
,具体涉及一种基于验证缺陷的密码重置逻辑漏洞检测方法和装置。
技术介绍
[0002]互联网技术的发展,推动了信息化时代的到来,人们通过互联网实现信息共享和交流的基础是:需要用户在互联网平台进行个人账户的注册与登录。通常,因为各种因素,会出现用户无法登录个人账户的情况,因此,必不可少的,每个业务平台都必须具备账户重置密码的功能。因此任意密码重置漏洞存在的范围越来越大。
[0003]任意密码重置漏洞通常是由软件设计不当或验证逻辑缺陷导致的。任意密码重置漏洞属于业务逻辑漏洞的一种,攻击者可以在不知道原密码的情况下重置任意用户的密码,并轻松获得该用户所有访问权限,可导致敏感信息的泄露、账户被盗、用户隐私遭到侵犯等各种严重后果。
[0004]现有技术中,一般有两种方式检测平台是否存在任意密码重置漏洞。一种是娄宇、范渊的中国专利《一种任意账号密码重置逻辑漏洞的检测方法、装置及介质》,公告号CN112165473A,公开一种通过预设...
【技术保护点】
【技术特征摘要】
1.一种基于验证缺陷的密码重置逻辑漏洞检测方法,其特征在于,包括以下步骤:步骤1,在待测平台客户端和待测平台服务端之间安装漏洞检测装置;步骤2,所述漏洞检测装置,检测所述待测平台服务端是否存在密码重置逻辑漏洞:步骤2.1,所述漏洞检测装置,拦截所述待测平台客户端向所述待测平台服务端发送的重置密码请求包;所述重置密码请求包中携带有需重置密码的用户身份信息;步骤2.2,所述漏洞检测装置,拦截所述重置密码请求包,并将所述用户身份信息修改为其他用户身份信息,得到修改后的重置密码请求包;步骤2.3,所述漏洞检测装置,将所述修改后的重置密码请求包发送给所述待测平台服务端;步骤2.4,所述漏洞检测装置,判断能否拦截到所述待测平台服务端返回的重置密码成功的确认响应包,如果能,表明所述待测平台服务端未对用户身份信息进行校验,得到所述待测平台服务端存在密码重置逻辑漏洞的结论。2.根据权利要求1所述的基于验证缺陷的密码重置逻辑漏洞检测方法,其特征在于,步骤2.1中,所述需重置密码的用户身份信息,包括用户参数,数据库用户表字段参数和当前Cookie字段中用户标识。3.根据权利要求2所述的基于验证缺陷的密码重置逻辑漏洞检测方法,其特征在于,所述用户参数,包括用户名username,用户手机号码phone和用户邮箱地址email;数据库用户表字段参数包括用户id。4.根据权利要求1所述的基于验证缺陷的密码重置逻辑漏洞检测方法,其特征在于,还包括:所述漏洞检测装置,采用以下方式检测所述待测平台服务端是否存在密码重置逻辑漏洞:所述漏洞检测装置,拦截所述待测平台客户端向所述待测平台服务端发送的选择绑定邮箱验证方式的请求,并将所述选择绑定邮箱验证方式的请求转发给所述待测平台服务端;所述漏洞检测装置,获取绑定邮箱接收到的重置密码链接;所述漏洞检测装置,判断所述重置密码链接中是否包含需重置密码的用户身份信息,如果有,将所述需重置密码的用户身份信息,修改为其他用户身份信息,从而得到修改后的重置密码链接;所述漏洞检测装置,判断能否成功访问所述修改后的重置密码链接,如果能,则代表所述漏洞检测装置向所述待测平台服务端发送对所述其他用户身份信息进行重置密码的请求,并判断能否拦截到所述待测平台服务端返回的重置密码成功的确认响应包,如果能,表明所...
【专利技术属性】
技术研发人员:李兴平,陈旺科,许灿杰,冯嘉尧,
申请(专利权)人:四三九九网络股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。