[发明专利]登陆场景下漏洞测试方法及系统

说明书

本发明提供的一种登陆场景下漏洞测试方法及系统，可应用于信息安全技术领域，首先通过转发所述登陆场景请求报文和所述验证码请求报文至目标服务器，以获得第一响应报文和对应的包括登陆验证码的验证文件；然后解析所述验证文件，重构得到重构请求报文，并发送至目标服务器，以获得对应的第二响应报文；最后比对所述第一响应报文和所述第二响应报文，若比对不通过，则该测试终端的重放漏洞测试通过。可以看出，本发明通过从报文库中识别登陆场景报文，同时还可识别出不同种类的验证码机制并解析验证码(包括在验证文件中)，最后通过智能对比报文方式决策重构报文是否登陆成功，进而测试出测试终端的重放漏洞。

技术领域

本发明涉及软件技术领域，尤其涉及一种登陆场景下漏洞测试方法及系统。

背景技术

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

登录场景作为一个web应用的用户入口，起到至关紧要的作用，主要面临登陆身份冒用和资源控制不足风险。若网站的登录功能存在漏洞，那么网站所有用户的账号密码以及个人身份信息都将面临巨大的风险。

登陆身份冒用主要通过登陆重放漏洞这种攻击手段实现，攻击者通过网络监听、植入木马等方式截获到被害者发送到认证服务器的登陆请求报文，将报文进行一定的处理后，再把它重新发给认证服务器，从而达到欺骗认证服务器的目的，进而伪装成被害者登陆应用系统并代替被害者做出一些操作。此种攻击手段会不断恶意或欺诈性的重复一个有效的数据传输，在应用服务器的身份认证过程中，破坏认证的安全性。

发明内容

为了解决上述问题的至少一个，本发明实施例提供了一种登陆场景下漏洞测试方法及系统。

本发明实施例提供了一种登陆场景下漏洞测试方法，包括：

接收测试终端发送的请求报文，所述请求报文的类型包括验证码请求报文和登陆场景请求报文；

转发所述登陆场景请求报文和所述验证码请求报文至目标服务器，以获得第一响应报文和对应的包括登陆验证码的验证文件；

解析所述验证文件，并将所述登陆场景请求报文和解析得到的所述登陆验证码组合重构得到重构请求报文，并发送至目标服务器，以获得对应的第二响应报文；

比对所述第一响应报文和所述第二响应报文，若比对不通过，则该测试终端的重放漏洞测试通过。

在优选的实施例中，还包括：

根据所述请求报文的分词特征和登陆行为分布特征，确定每个所述请求报文的场景类型，所述场景类型包括登陆场景和非登陆场景。

在优选的实施例中，所述根据所述请求报文的分词特征和登陆行为分布特征，确定每个所述请求报文的类型，包括：

将所述请求报文的请求头和请求体以字符为分词的最小单位进行分词，得到分词集合；

通过设定算法计算分词集合得到请求的分词特征和登陆类型分布特征；

对已标记分词特征和登陆类型分布特征的所述请求报文进行分词特征和登陆类型分布特征的特征向量映射，得到映射特征向量集；

将所述映射特征向量输入到预设的机器学习分类模型，输出请求报文的场景类型标识。

在优选的实施例中，还包括：

建立所述机器学习分类模型；

利用多个已标定场景类型标识的映射特征向量集组成的训练集训练所述机器学习分类模型。

在优选的实施例中，所述验证文件为图像，所述解析所述验证文件，包括：

对所述验证文件进行切割，得到所述登陆验证码的多个字符图片；