[发明专利]静态特征与动态页面特征结合的WEB弱口令检测方法

说明书

本发明涉及一种静态特征与动态页面特征结合的WEB弱口令检测方法，属于信息安全领域。本发明发送至少两次错误的密码判断是否产生动态返回值并获取EL；当返回页面中存在黑名单列表的关键字时，则说明口令错误；若不存在则进入下一步判断；判断用户名和密码的键名是否存在于跳转后的页面中，若存在说明本组口令错误，继续进行下一次判断；若不存在，则进行下一步判断；将返回页面的总长度与EL相比较，若相等，则认为本组口令为错误口令，否则将进入下一步判断；依次发送一个错误的密码e1，和从上一步得到的待检测口令s，若返回页面长度相等则认为本组密码错误，若不相等则本组密码正确。本发明可用于WEB系统的弱口令以及万能密码检测，准确率高。

技术领域

本发明属于信息安全领域，具体涉及一种静态特征与动态页面特征结合的WEB弱口令检测方法。

背景技术

如今，WEB已成为互联网信息传播贡献的最便捷的技术。与此同时也带来了一系列的安全问题。由于WEB后台常常包含大量的用户或企业的隐私数据，一直是黑客的重点攻击对象，其中弱口令攻击是一个最直接有效的攻击方式。

2007年，Dinei等人用三个月的时间研究了50万用户的密码口令习惯，发现近七成用户都在使用较弱的口令作为密码。2011年，Cui等人利用nmap对全球的HTTP以及Telnet服务主机进行了一次弱口令探测，发现了110万存在弱口令的设备。2015年，Patton等人在实验中，利用Shodan搜索引擎搜索多种型号的物联网设备并进行弱口令探测，发现了部分型号设备弱口令漏洞率达到百分之四十。如此众多的弱口令给互联网带来了巨大的安全隐患，所以如何检测WEB系统中存在的弱口令就变得尤为重要。

设置复杂口令的WEB管理系统就一定安全吗？其实不然。除了弱口令以外，后台万能密码漏洞也是安全工作者注重的一个方面。其漏洞原因是因为登录后台没有对接受的参数进行SQL关键词的转义，导致可以进行SQL注入。攻击者利用ora＝a、a'or'1＝1--等注入语句就可以不需要密码进入管理后台，使得口令系统形同虚设。

然而，由于WEB系统的多样性：不同系统的页面元素不同，提交内容不同，返回信息的特征值也不相同。难以用指定的有限的静态特征值来判断登录情况。所以目前的安全人员大多只能通过繁琐的人工测试来进行弱口令的检测。在待测目标较少的情况下，利用人工分析的弊端还不太明显。然而随着资产的增加，管理员常常会面临需要批量检测弱口令的问题。此时若采用人工分析，就会导致效率极其低下且耗时耗力。此时，设计一种通用的弱口令检测算法来代替人工就显得尤为必要。这就是本文所要解决的问题。

此前学术界也有相关的一些研究工作。2016年，田峥等人提出了基于网页静态分析的Web弱口令检测方法，支持批量化WEB弱口令检测。2017年，陈春玲等在对于XSS漏洞自动化探测中，面对只有登录后才能进行进一步测试的情况，提出了利用模拟登录来检测XSS的方法。2018年，徐顺超等人设计出针对物联网WEB弱口令探测系统AWKD，同时支持对物联网设备的自动化抓取与检测。2019年，TideSec安全团队在github发布开源项目web_pwd_common_crack，其名称为通用web弱口令破解脚本，可以检测没有验证码的后台是否存在弱口令。

前人的工作为实现弱口令自动化探测做出了一定的贡献，但是也存在很明显的不足。田峥等人提出的检测算法中缺少对如何判断正确的细节描述，也没有检验最后的结果是否真正有效。虽然物联网设备的WEB系统与普通的WEB系统有一定的关联，但是普通WEB系统的样式更多，更为复杂。所以徐顺超等人设计的系统对于普通WEB系统来说并不一定适用。而web_pwd_common_crack工具虽然使用简单，并且开源，但是经过实验后发现其结果误报较高，并且检测率较低。另外以上系统或模型均无法检测万能密码漏洞，并且不能支持用户自定义爆破规则，程序缺乏拓展性。

发明内容

(一)要解决的技术问题