本發明涉及網絡安全防護技術，旨在提供一種解決網頁弱口令探測繁瑣配置的方法和系統。包括：對目標網頁登錄的表單進行識別與分析，獲取關鍵登錄信息進行自動提取，形成網頁登錄特征后與本地保存的網頁登錄特征庫進行匹配，生成網頁登錄特征庫中與所得到的網頁登錄特征對應的HTTP請求構造模板；然后執行自動化探測、識別目標網站的登錄模式從而采用預設值的弱口令庫執行有效的嘗試登錄操作。本發明能擴大網頁弱口令探測的適用范圍，提高網頁弱口令檢測效率，降低使用者技術門檻。在后期運用中只需一次弱口令探測邏輯，實際應用中可使用不同用戶名、密碼擴展至多次。本發明的系統是實現該方法的最簡系統組成，可通過添加功能實現其他功能模塊。

技術領域

本發明涉及網絡安全防護技術，特別涉及一種解決網頁弱口令探測繁瑣配置的方法和系統。

背景技術

弱口令指的是僅包含簡單數字和字母的口令，例如“123”、“abc”等，因為這樣的口令很容易被別人破解，從而使用戶的計算機面臨風險，因此不推薦用戶使用。目前針對弱口令的探測方法有很多，通用方法是針對不同的協議構造響應的登錄請求數據包。構造請求數據包的過程中，需要用到常見賬號/密碼元組形成的弱口令字典去填充請求數據包中的賬號、密碼對應的位置以供發送。然后將這些數據包發送至對應協議運行的服務器，將服務器返回的數據進行解析判斷登錄成功與否。

網頁弱口令的探測是弱口令探測中的特殊存在，由于網頁由于開發者的設計的高度自由，每個網頁的登錄請求頁地址、賬號字段名、密碼字段名、登錄請求方法等均存在或多或少的區別。目前在網頁弱口令的探測上采用較多的常規解決方案分為兩個步驟，第一個步驟是設置弱口令探測相關參數，比如登錄請求頁地址、賬號字段名、密碼字段名、登錄請求方法等。這些信息需要手動查看目標登錄網頁源代碼獲取。第二個步驟是使用程序完成HTTP請求構造，將需要嘗試登錄的賬號/密碼，填充進HTTP請求中的相應位置中，并發送至目標服務器，然后分析判斷登錄成功與否。

常規通用網頁弱口令探測方法，需要手動查看網頁源代碼并將賬號|密碼輸入框對應字段名稱、登錄請求方法、登錄請求頁地址添加至探測器。在執行時需要經過大量的人工配置環節，如需要手動查看網頁源代碼并將賬號|密碼輸入框對應字段名稱、登錄請求方法、登錄請求頁地址添加至探測器。采用這種方法對探測執行人員存在一定的技術要求門檻，還會浪費大量的時間在網頁弱口令的探測執行的前期配置工作上。

中國發明專利申請“一種網站弱口令的檢測方法”(專利號：201410136385.4)提出了一種解決方案：基于調度任務對網站進行自動掃描，獲得所述網站的用戶信息；基于所述加密方式，對弱口令字典中的弱口令進行加密，獲得加密后的弱口令；將加密后的弱口令與所述密碼進行匹配，獲得弱口令密碼和正常密碼；基于所述弱口令密碼和所述弱口令密碼對應的用戶名進行驗證模擬登陸。但是該方法無法識別網頁登錄特征，也沒有整理網站登錄特征庫，只能針對特定的網站進行檢測，限制了在其他網站的弱口令檢測應用；且該技術只能用弱口令字典中與密碼對應的用戶名進行檢測，無法檢測其他的用戶名是否存在弱口令。

發明內容

本發明要解決的技術問題是，克服現有技術中的不足，提供一種解決網頁弱口令探測繁瑣配置的方法和系統。

為解決上述技術問題，本發明采用的解決方案是：

提供一種解決網頁弱口令探測繁瑣配置的方法，包括以下步驟：

(1)對目標網頁登錄的表單進行識別與分析，獲取關鍵登錄信息；

(2)根據獲取到的關鍵登錄信息進行自動提取，形成網頁登錄特征；

(3)將得到的網頁登錄特征與本地保存的網頁登錄特征庫進行匹配，生成網頁登錄特征庫中與所得到的網頁登錄特征對應的HTTP請求構造模板；

(4)使用弱口令字典中的賬號和密碼去替換HTTP請求構造模板中的賬號與密碼信息位，形成可發送的HTTP請求；