[发明专利]一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

权利要求书

1.一种任意账号密码重置逻辑漏洞的检测方法，其特征在于，包括：

调用预设的识别程序判断待检测网页中是否发起验证码发送请求；

如果是，则从前端页面获取与所述验证码发送请求对应的响应包，并判断所述响应包中是否存在短信验证码；

若存在，则确定出所述待检测网页存在任意账号密码重置逻辑漏洞；

若不存在，判断所述待检测网页是否发起重置密码请求；

若是，则利用第二预设用户信息替换所述重置密码请求中的第一预设用户信息，并更新所述重置密码请求；

根据更新后的所述重置密码请求是否得到对应的第一响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞；

若未得到所述第一响应信息，利用随机生成的随机验证码替换所述重置密码请求中的所述短信验证码，并更新所述重置密码请求；

根据更新后的所述重置密码请求是否得到对应的第二响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞；

判断确定出所述第二响应信息的时间是否在预设时长范围内；

若否，则确定出所述待检测网页存在所述任意账号密码重置逻辑漏洞。

2.根据权利要求1所述的方法，其特征在于，在所述预设时长范围内得出所述第二响应信息之后，进一步包括：

确定出与所述第二响应信息对应的目标随机验证码；

利用所述目标随机验证码对应的所述重置密码请求执行多次重置密码的操作，并分别得到对应的第三响应信息；

根据各所述第三响应信息判断所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。

3.根据权利要求1所述的方法，其特征在于，生成所述短信验证码和所述第一预设用户信息和所述第二预设用户信息的过程具体包括：

利用接码平台生成所述短信验证码和/或所述第一预设用户信息和所述第二预设用户信息。

4.根据权利要求1至3任一项所述的方法，其特征在于，进一步包括：

记录确定出所述待检测网页存在所述任意账号密码重置逻辑漏洞的检测时间。

5.一种任意账号密码重置逻辑漏洞的检测装置，其特征在于，包括：

第一判断模块，用于调用预设的识别程序判断待检测网页中是否发起验证码发送请求；如果是，则调用第二判断模块；

所述第二判断模块，用于从前端页面获取与所述验证码发送请求对应的响应包，并判断所述响应包中是否存在短信验证码；若存在，则调用第一确定模块；

所述第一确定模块，用于确定出所述待检测网页存在任意账号密码重置逻辑漏洞；

第三判断模块，用于在响应包中不存在短信验证码时，判断待检测网页是否发起重置密码请求；若是，则调用第一更新模块；

所述第一更新模块，用于利用第二预设用户信息替换重置密码请求中的第一预设用户信息，并更新重置密码请求；

第二确定模块，用于根据更新后的重置密码请求是否得到对应的第一响应信息确定待检测网页是否存在任意账号密码重置逻辑漏洞；

第二更新模块，用于若未得到第一响应信息，利用随机生成的随机验证码替换重置密码请求中的短信验证码，并更新重置密码请求；

第三确定模块，用于根据更新后的重置密码请求是否得到对应的第二响应信息确定待检测网页是否存在任意账号密码重置逻辑漏洞；

第四判断模块，用于判断确定出第二响应信息的时间是否在预设时长范围内；若否，则调用第四确定模块；

第四确定模块，用于确定出待检测网页存在任意账号密码重置逻辑漏洞。

6.一种任意账号密码重置逻辑漏洞的检测装置，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至4任一项所述的任意账号密码重置逻辑漏洞的检测方法的步骤。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的任意账号密码重置逻辑漏洞的检测方法的步骤。