本發(fā)明涉及一種靜態(tài)特征與動態(tài)頁面特征結(jié)合的WEB弱口令檢測方法，屬于信息安全領(lǐng)域。本發(fā)明發(fā)送至少兩次錯誤的密碼判斷是否產(chǎn)生動態(tài)返回值并獲取EL；當(dāng)返回頁面中存在黑名單列表的關(guān)鍵字時，則說明口令錯誤；若不存在則進(jìn)入下一步判斷；判斷用戶名和密碼的鍵名是否存在于跳轉(zhuǎn)后的頁面中，若存在說明本組口令錯誤，繼續(xù)進(jìn)行下一次判斷；若不存在，則進(jìn)行下一步判斷；將返回頁面的總長度與EL相比較，若相等，則認(rèn)為本組口令為錯誤口令，否則將進(jìn)入下一步判斷；依次發(fā)送一個錯誤的密碼e1，和從上一步得到的待檢測口令s，若返回頁面長度相等則認(rèn)為本組密碼錯誤，若不相等則本組密碼正確。本發(fā)明可用于WEB系統(tǒng)的弱口令以及萬能密碼檢測，準(zhǔn)確率高。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全領(lǐng)域，具體涉及一種靜態(tài)特征與動態(tài)頁面特征結(jié)合的WEB弱口令檢測方法。

背景技術(shù)

如今，WEB已成為互聯(lián)網(wǎng)信息傳播貢獻(xiàn)的最便捷的技術(shù)。與此同時也帶來了一系列的安全問題。由于WEB后臺常常包含大量的用戶或企業(yè)的隱私數(shù)據(jù)，一直是黑客的重點(diǎn)攻擊對象，其中弱口令攻擊是一個最直接有效的攻擊方式。

2007年，Dinei等人用三個月的時間研究了50萬用戶的密碼口令習(xí)慣，發(fā)現(xiàn)近七成用戶都在使用較弱的口令作為密碼。2011年，Cui等人利用nmap對全球的HTTP以及Telnet服務(wù)主機(jī)進(jìn)行了一次弱口令探測，發(fā)現(xiàn)了110萬存在弱口令的設(shè)備。2015年，Patton等人在實(shí)驗中，利用Shodan搜索引擎搜索多種型號的物聯(lián)網(wǎng)設(shè)備并進(jìn)行弱口令探測，發(fā)現(xiàn)了部分型號設(shè)備弱口令漏洞率達(dá)到百分之四十。如此眾多的弱口令給互聯(lián)網(wǎng)帶來了巨大的安全隱患，所以如何檢測WEB系統(tǒng)中存在的弱口令就變得尤為重要。

設(shè)置復(fù)雜口令的WEB管理系統(tǒng)就一定安全嗎？其實(shí)不然。除了弱口令以外，后臺萬能密碼漏洞也是安全工作者注重的一個方面。其漏洞原因是因為登錄后臺沒有對接受的參數(shù)進(jìn)行SQL關(guān)鍵詞的轉(zhuǎn)義，導(dǎo)致可以進(jìn)行SQL注入。攻擊者利用ora＝a、a'or'1＝1--等注入語句就可以不需要密碼進(jìn)入管理后臺，使得口令系統(tǒng)形同虛設(shè)。

然而，由于WEB系統(tǒng)的多樣性：不同系統(tǒng)的頁面元素不同，提交內(nèi)容不同，返回信息的特征值也不相同。難以用指定的有限的靜態(tài)特征值來判斷登錄情況。所以目前的安全人員大多只能通過繁瑣的人工測試來進(jìn)行弱口令的檢測。在待測目標(biāo)較少的情況下，利用人工分析的弊端還不太明顯。然而隨著資產(chǎn)的增加，管理員常常會面臨需要批量檢測弱口令的問題。此時若采用人工分析，就會導(dǎo)致效率極其低下且耗時耗力。此時，設(shè)計一種通用的弱口令檢測算法來代替人工就顯得尤為必要。這就是本文所要解決的問題。

此前學(xué)術(shù)界也有相關(guān)的一些研究工作。2016年，田崢等人提出了基于網(wǎng)頁靜態(tài)分析的Web弱口令檢測方法，支持批量化WEB弱口令檢測。2017年，陳春玲等在對于XSS漏洞自動化探測中，面對只有登錄后才能進(jìn)行進(jìn)一步測試的情況，提出了利用模擬登錄來檢測XSS的方法。2018年，徐順超等人設(shè)計出針對物聯(lián)網(wǎng)WEB弱口令探測系統(tǒng)AWKD，同時支持對物聯(lián)網(wǎng)設(shè)備的自動化抓取與檢測。2019年，TideSec安全團(tuán)隊在github發(fā)布開源項目web_pwd_common_crack，其名稱為通用web弱口令破解腳本，可以檢測沒有驗證碼的后臺是否存在弱口令。

前人的工作為實(shí)現(xiàn)弱口令自動化探測做出了一定的貢獻(xiàn)，但是也存在很明顯的不足。田崢等人提出的檢測算法中缺少對如何判斷正確的細(xì)節(jié)描述，也沒有檢驗最后的結(jié)果是否真正有效。雖然物聯(lián)網(wǎng)設(shè)備的WEB系統(tǒng)與普通的WEB系統(tǒng)有一定的關(guān)聯(lián)，但是普通WEB系統(tǒng)的樣式更多，更為復(fù)雜。所以徐順超等人設(shè)計的系統(tǒng)對于普通WEB系統(tǒng)來說并不一定適用。而web_pwd_common_crack工具雖然使用簡單，并且開源，但是經(jīng)過實(shí)驗后發(fā)現(xiàn)其結(jié)果誤報較高，并且檢測率較低。另外以上系統(tǒng)或模型均無法檢測萬能密碼漏洞，并且不能支持用戶自定義爆破規(guī)則，程序缺乏拓展性。

發(fā)明內(nèi)容

(一)要解決的技術(shù)問題