[发明专利]验证码漏洞检测方法、装置、电子装置和存储介质

说明书

本申请涉及一种验证码漏洞检测方法，其中，该方法包括：获取验证码测试请求，验证码测试请求至少包括目标验证码信息；基于验证码测试请求获取测试验证码；对测试验证码进行绕过测试，绕过测试包括至少两种绕过方式；基于绕过测试的结果生成测试报告。通过本申请，解决了当前现有针对检测验证码漏洞的方法过于单一，且对验证码进行重发操作很容易出现漏洞漏检以及效率低下的问题，实现了可以通过多种方式高效且覆盖面广的查找验证码绕过漏洞。

技术领域

本申请涉及漏洞检测领域，特别是涉及验证码漏洞检测方法、装置、电子装置和存储介质。

背景技术

在登录网站时，为了防止账号爆破、重发攻击、恶意灌水等恶意手段，网站管理员或开发者会增加或启用验证码功能，验证码是一种区分用户是人还是计算机的公共全自动程序，可以通过验证码的启动，防止恶意破解密码、刷票、论坛灌水，还可以有效防止某个黑客对某一个特定注册用户使用恶意程序通过不断的登录尝试暴力破解。但由于开发者的安全意识问题或程序错误，时常会造成验证码绕过漏洞的产生，从而导致攻击者可以绕过验证码进行数据重发或者爆破账号等攻击。

目前常用判断网站是否存在验证码绕过漏洞的方法为使用抓包工具，获取测试站点对于验证码的请求数据包或验证码，并基于该数据包或验证码进行重发测试，重新发送一遍以判断该数据包验证码是否可以校验通过，从而判断是否存在验证码绕过的漏洞。可以理解的，该方法检测效率低下，且检测方式单一，容易出现漏报的情况。

针对相关技术中存在检测效率低下，且检测方式单一，容易出现漏报的情况，目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种验证码漏洞检测方法、装置、电子装置和存储介质，以解决相关技术中对验证码绕过漏洞检测效率低下，检测方式单一，容易出现漏报的问题。

第一个方面，在本实施例中提供了一种验证码漏洞检测方法，其特征在于，包括：获取验证码测试请求，所述验证码测试请求至少包括目标验证码信息；基于所述验证码测试请求获取测试验证码；对所述测试验证码进行绕过测试，所述绕过测试包括至少两种绕过方式；基于所述绕过测试的结果生成测试报告。

在另一个实施例中，所述获取验证码测试请求之前还包括：获取验证码生成请求；基于所述验证码生成请求生成目标验证码，使用户基于所述目标验证码进行验证；获取所述目标验证码的验证结果；基于所述验证结果生成所述验证码测试请求；若所述验证结果为验证失败，则标记所述目标验证码为安全验证码；若所述验证结果为验证成功，则基于所述目标验证码生成所述验证码测试请求。

在其中一些实施例中，所述绕过方式包括万能验证码绕过、重复验证码绕过、图像识别绕过。

在其中一些个实施例中，所述万能验证码绕过包括：基于预设数据库获取万能验证数据，所述万能验证数据为通用的万能验证码；基于所述万能验证数据对所述测试验证码进行绕过测试。

在另一个实施例中，所述重复验证码绕过包括：基于历史验证数据库获取重复验证数据，所述历史验证数据库根据历史验证记录建立，所述重复验证数据为历史验证记录中验证成功的数据；基于所述重复验证数据对所述测试验证码进行绕过测试。

在其中一些实施例中，所述对所图像识别绕过包括：对所述测试验证码进行图像识别，得到识别数据；基于所述识别数据对所述测试验证码进行绕过测试。

在其中一些实施例中，所述基于绕过测试结果生成测试报告包括：若所述绕过结果为绕过成功，则生成测试报告和/或进行报警；若所述绕过结果为绕过失败，则标记所述测试验证码为安全验证码。