[发明专利]一种任意账号密码重置逻辑漏洞的检测方法、装置及介质

说明书

本申请公开了一种任意账号密码重置逻辑漏洞的检测方法、装置及计算机可读存储介质，方法包括：调用预设的识别程序判断待检测网页中是否发起验证码发送请求；如果是，则从前端页面获取与验证码发送请求对应的响应包，并判断响应包中是否存在短信验证码；若存在，则确定出待检测网页存在任意账号密码重置逻辑漏洞。可见，本方法不仅避免技术人员手动进行检测操作，节省大量的人力资源，而且任意账号密码重置逻辑漏洞将会对待检测网页中执行业务逻辑的过程造成影响，因此依据前端页面的响应包中是否存在对应的短信验证码来确定待检测网页中是否存在任意账号密码重置逻辑漏洞，能够使得检测结果更加全面准确。

技术领域

本发明涉及网页检测领域，特别涉及一种任意账号密码重置逻辑漏洞的检测方法、装置及计算机可读存储介质。

背景技术

随着计算机技术的快速发展以及业务逻辑的复杂化，使得网站网页中存在任意账号密码重置逻辑漏洞的可能性越来越大。任意账号密码重置逻辑漏洞是指由于网页中的请求表单的程序逻辑不严谨或逻辑太复杂，导致一些逻辑分支不能够正常处理请求或请求处理错误。任意账号密码重置是一种高危害的业务逻辑漏洞，若网页中存在任意账号密码重置逻辑漏洞，攻击者便可以利用网页中的任意账号密码重置逻辑漏洞，伪造其他用户重置该用户的登录密码，通过修改用户的账号密码，从而进一步实现盗取、篡改用户的用户信息等目的，从而给用户的信息安全带来严重的安全隐患。例如，如果手机验证码接口将短信验证码发送到前端页面，那么攻击者可以在不通过手机查看短信验证码情况下获取到对应的短信验证码，进而实现重置密码的操作，即表示当前的网页存在任意账号密码重置逻辑漏洞。

现有技术中，一般是通过技术人员来手动检查待检测网页的源代码，结合自身技术经验来确定待检测网页是否存在任意账号密码重置逻辑漏洞。但是，现有技术的方法，不仅需要消耗大量的人力资源，而且各技术人员的技术水平参差不齐，难以全面准确地检测出任意账号密码重置逻辑漏洞。

因此，如何在减少对人力资源的消耗的基础上，全面准确地检测出任意账号密码重置逻辑漏洞，是本领域技术人员目前需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种任意账号密码重置逻辑漏洞的检测方法，能够在减少对人力资源的消耗的基础上，全面准确地检测出任意账号密码重置逻辑漏洞；本发明的另一目的是提供一种任意账号密码重置逻辑漏洞的检测装置及计算机可读存储介质，均具有上述有益效果。

为解决上述技术问题，本发明提供一种任意账号密码重置逻辑漏洞的检测方法，包括：

调用预设的识别程序判断待检测网页中是否发起验证码发送请求；

如果是，则从前端页面获取与所述验证码发送请求对应的响应包，并判断所述响应包中是否存在短信验证码；

若存在，则确定出所述待检测网页存在任意账号密码重置逻辑漏洞。

优选地，在所述从前端页面获取与所述验证码发送请求对应的响应包，并判断所述响应包中是否存在短信验证码之后，进一步包括：

若不存在，判断所述待检测网页是否发起重置密码请求；

若是，则利用第二预设用户信息替换所述重置密码请求中的第一预设用户信息，并更新所述重置密码请求；

根据更新后的所述重置密码请求是否得到对应的第一响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。

优选地，进一步包括：

若未得到所述第一响应信息，利用随机生成的随机验证码替换所述重置密码请求中的所述短信验证码，并更新所述重置密码请求；

根据更新后的所述重置密码请求是否得到对应的第二响应信息确定所述待检测网页是否存在所述任意账号密码重置逻辑漏洞。

优选地，进一步包括：