[发明专利]一种解决网页弱口令探测繁琐配置的方法和系统

说明书

本发明涉及网络安全防护技术，旨在提供一种解决网页弱口令探测繁琐配置的方法和系统。包括：对目标网页登录的表单进行识别与分析，获取关键登录信息进行自动提取，形成网页登录特征后与本地保存的网页登录特征库进行匹配，生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板；然后执行自动化探测、识别目标网站的登录模式从而采用预设值的弱口令库执行有效的尝试登录操作。本发明能扩大网页弱口令探测的适用范围，提高网页弱口令检测效率，降低使用者技术门槛。在后期运用中只需一次弱口令探测逻辑，实际应用中可使用不同用户名、密码扩展至多次。本发明的系统是实现该方法的最简系统组成，可通过添加功能实现其他功能模块。

技术领域

本发明涉及网络安全防护技术，特别涉及一种解决网页弱口令探测繁琐配置的方法和系统。

背景技术

弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。目前针对弱口令的探测方法有很多，通用方法是针对不同的协议构造响应的登录请求数据包。构造请求数据包的过程中，需要用到常见账号/密码元组形成的弱口令字典去填充请求数据包中的账号、密码对应的位置以供发送。然后将这些数据包发送至对应协议运行的服务器，将服务器返回的数据进行解析判断登录成功与否。

网页弱口令的探测是弱口令探测中的特殊存在，由于网页由于开发者的设计的高度自由，每个网页的登录请求页地址、账号字段名、密码字段名、登录请求方法等均存在或多或少的区别。目前在网页弱口令的探测上采用较多的常规解决方案分为两个步骤，第一个步骤是设置弱口令探测相关参数，比如登录请求页地址、账号字段名、密码字段名、登录请求方法等。这些信息需要手动查看目标登录网页源代码获取。第二个步骤是使用程序完成HTTP请求构造，将需要尝试登录的账号/密码，填充进HTTP请求中的相应位置中，并发送至目标服务器，然后分析判断登录成功与否。

常规通用网页弱口令探测方法，需要手动查看网页源代码并将账号|密码输入框对应字段名称、登录请求方法、登录请求页地址添加至探测器。在执行时需要经过大量的人工配置环节，如需要手动查看网页源代码并将账号|密码输入框对应字段名称、登录请求方法、登录请求页地址添加至探测器。采用这种方法对探测执行人员存在一定的技术要求门槛，还会浪费大量的时间在网页弱口令的探测执行的前期配置工作上。

中国发明专利申请“一种网站弱口令的检测方法”(专利号：201410136385.4)提出了一种解决方案：基于调度任务对网站进行自动扫描，获得所述网站的用户信息；基于所述加密方式，对弱口令字典中的弱口令进行加密，获得加密后的弱口令；将加密后的弱口令与所述密码进行匹配，获得弱口令密码和正常密码；基于所述弱口令密码和所述弱口令密码对应的用户名进行验证模拟登陆。但是该方法无法识别网页登录特征，也没有整理网站登录特征库，只能针对特定的网站进行检测，限制了在其他网站的弱口令检测应用；且该技术只能用弱口令字典中与密码对应的用户名进行检测，无法检测其他的用户名是否存在弱口令。

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种解决网页弱口令探测繁琐配置的方法和系统。

为解决上述技术问题，本发明采用的解决方案是：

提供一种解决网页弱口令探测繁琐配置的方法，包括以下步骤：

(1)对目标网页登录的表单进行识别与分析，获取关键登录信息；

(2)根据获取到的关键登录信息进行自动提取，形成网页登录特征；

(3)将得到的网页登录特征与本地保存的网页登录特征库进行匹配，生成网页登录特征库中与所得到的网页登录特征对应的HTTP请求构造模板；

(4)使用弱口令字典中的账号和密码去替换HTTP请求构造模板中的账号与密码信息位，形成可发送的HTTP请求；