本發(fā)明涉及網(wǎng)絡(luò)安全，尤其涉及一種漏洞掃描方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、網(wǎng)站的用戶在使用注冊(cè)功能或密碼重置等功能時(shí)，存在身份認(rèn)證漏洞，而為了提高網(wǎng)站的運(yùn)行效率，一般是采用自動(dòng)化應(yīng)答機(jī)制，但是，現(xiàn)有的自動(dòng)化漏洞掃描機(jī)制存在缺陷，使得網(wǎng)站存在安全隱患。

2、上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案，并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的主要目的在于提供一種漏洞掃描方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，旨在解決現(xiàn)有技術(shù)中針對(duì)網(wǎng)站身份驗(yàn)證的自動(dòng)化漏洞掃描機(jī)制存在缺陷，使得網(wǎng)站存在安全隱患的技術(shù)問(wèn)題。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種漏洞掃描方法，所述方法包括以下步驟：

3、在接收到漏洞掃描請(qǐng)求時(shí)，生成目標(biāo)賬號(hào)用戶名；

4、基于所述目標(biāo)賬號(hào)用戶名向云端服務(wù)器發(fā)送身份驗(yàn)證請(qǐng)求，以使所述云端服務(wù)器反饋身份驗(yàn)證響應(yīng)；

5、確定所述身份驗(yàn)證響應(yīng)的類別與對(duì)應(yīng)的漏洞掃描策略；

6、執(zhí)行所述漏洞掃描策略，以進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果。

7、可選地，所述執(zhí)行所述漏洞掃描策略，以進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果，包括：

8、在所述身份驗(yàn)證響應(yīng)的類別為驗(yàn)證碼信息時(shí)，確定所述驗(yàn)證碼信息的驗(yàn)證碼類別；

9、在所述驗(yàn)證碼類別為第一類驗(yàn)證碼時(shí)，對(duì)所述驗(yàn)證碼信息進(jìn)行驗(yàn)證碼爆破，得到爆破結(jié)果；

10、根據(jù)所述爆破結(jié)果生成漏洞掃描結(jié)果。

11、可選地，所述對(duì)所述驗(yàn)證碼信息進(jìn)行驗(yàn)證碼爆破，得到爆破結(jié)果，包括：

12、獲取第一類驗(yàn)證碼輸入框的數(shù)量信息；

13、根據(jù)所述數(shù)量信息枚舉生成第一類驗(yàn)證碼；

14、將生成的第一類驗(yàn)證碼填充至所述第一類驗(yàn)證碼輸入框，以向云端服務(wù)器發(fā)送賬號(hào)更新請(qǐng)求，所述賬號(hào)更新請(qǐng)求包括：賬號(hào)注冊(cè)請(qǐng)求、密碼重置請(qǐng)求以及賬號(hào)登錄請(qǐng)求中的至少一種；

15、接收所述云端服務(wù)器基于所述賬號(hào)更新請(qǐng)求的反饋信息；

16、根據(jù)所述反饋信息確定爆破結(jié)果。

17、可選地，所述根據(jù)所述反饋信息確定爆破結(jié)果，包括：

18、在所述反饋結(jié)果為賬號(hào)更新失敗時(shí)，返回根據(jù)所述數(shù)量信息枚舉生成第一類驗(yàn)證碼的步驟，直至賬號(hào)更新成功和/或枚舉持續(xù)時(shí)長(zhǎng)大于或等于預(yù)設(shè)第一時(shí)長(zhǎng)。

19、可選地，所述對(duì)所述驗(yàn)證碼信息進(jìn)行驗(yàn)證碼爆破，得到爆破結(jié)果，還包括：

20、通過(guò)預(yù)設(shè)通信接口讀取所述身份驗(yàn)證響應(yīng)中的第一類驗(yàn)證碼信息或驗(yàn)證鏈接；

21、對(duì)所述第一類驗(yàn)證碼信息進(jìn)行缺陷檢測(cè)；

22、對(duì)所述驗(yàn)證鏈接進(jìn)行可控性檢測(cè)；

23、根據(jù)檢測(cè)結(jié)果生成爆破結(jié)果。

24、可選地，所述對(duì)所述第一類驗(yàn)證碼進(jìn)行缺陷檢測(cè)，包括：

25、檢測(cè)所述第一類驗(yàn)證碼是否與預(yù)設(shè)次數(shù)內(nèi)的歷史驗(yàn)證碼相同；和/或

26、檢測(cè)所述第一類驗(yàn)證碼是否處于綁定狀態(tài)。

27、可選地，所述執(zhí)行所述漏洞掃描策略，以進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果，還包括：

28、在所述驗(yàn)證碼類別為第二類驗(yàn)證碼時(shí)，通過(guò)預(yù)設(shè)圖像識(shí)別模型對(duì)所述第二類驗(yàn)證碼進(jìn)行圖像識(shí)別；

29、根據(jù)圖像識(shí)別結(jié)果進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果。

30、可選地，所述通過(guò)預(yù)設(shè)圖像識(shí)別模型對(duì)所述第二類驗(yàn)證碼進(jìn)行圖像識(shí)別，包括：

31、確定所述第二類驗(yàn)證碼的驗(yàn)證類型；

32、根據(jù)所述第二類驗(yàn)證碼的驗(yàn)證類型確定圖像驗(yàn)證策略；

33、基于所述圖像驗(yàn)證策略對(duì)所述第二類驗(yàn)證碼進(jìn)行圖像驗(yàn)證，所述圖像驗(yàn)證包括：位置檢測(cè)或觸發(fā)檢測(cè)。

34、可選地，所述生成目標(biāo)賬號(hào)用戶名，包括：

35、接收用戶輸入的賬號(hào)信息或字典信息；

36、根據(jù)所述賬號(hào)信息和/或所述字典信息中的至少一種確定目標(biāo)格式信息；

37、根據(jù)所述目標(biāo)格式信息生成目標(biāo)賬號(hào)用戶名。

38、可選地，所述目標(biāo)格式信息包括：字符類別、字符數(shù)量以及限制信息；

39、所述根據(jù)所述賬號(hào)信息和/或所述字典信息中的至少一種確定目標(biāo)格式信息，包括：

40、對(duì)所述賬號(hào)信息進(jìn)行正則識(shí)別，得到所述賬號(hào)信息對(duì)應(yīng)的字符類別、字符數(shù)量以及限制信息；和/或

41、讀取所述字典信息中存儲(chǔ)的字符類別、字符數(shù)量以及限制信息；

42、相應(yīng)地，所述根據(jù)所述目標(biāo)格式信息生成目標(biāo)賬號(hào)用戶名，包括：

43、根據(jù)所述字符類別、所述字符數(shù)量以及所述限制信息生成目標(biāo)賬號(hào)用戶名。

44、可選地，所述執(zhí)行所述漏洞掃描策略，以進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果之后，還包括：

45、獲取預(yù)設(shè)第二時(shí)長(zhǎng)內(nèi)的身份驗(yàn)證請(qǐng)求次數(shù)；

46、在所述身份驗(yàn)證請(qǐng)求次數(shù)小于預(yù)設(shè)請(qǐng)求次數(shù)閾值時(shí)，將所述漏洞掃描結(jié)果與預(yù)設(shè)請(qǐng)求次數(shù)閾值內(nèi)的歷史漏洞掃描結(jié)果進(jìn)行匹配；

47、在匹配失敗時(shí)，將所述身份驗(yàn)證請(qǐng)求次數(shù)記為限制次數(shù)，并根據(jù)所述限制次數(shù)更新預(yù)設(shè)請(qǐng)求次數(shù)閾值。

48、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提出一種漏洞掃描裝置，所述漏洞掃描裝置包括：

49、生成模塊，用于在接收到漏洞掃描請(qǐng)求時(shí)，生成目標(biāo)賬號(hào)用戶名；

50、請(qǐng)求模塊，用于基于所述目標(biāo)賬號(hào)用戶名向云端服務(wù)器發(fā)送身份驗(yàn)證請(qǐng)求，以使所述云端服務(wù)器反饋身份驗(yàn)證響應(yīng)；

51、制定模塊，用于確定所述身份驗(yàn)證響應(yīng)的類別與對(duì)應(yīng)的漏洞掃描策略；

52、掃描模塊，用于執(zhí)行所述漏洞掃描策略，以進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果。

53、可選地，所述掃描模塊，還用于在所述身份驗(yàn)證響應(yīng)的類別為驗(yàn)證碼信息時(shí)，確定所述驗(yàn)證碼信息的驗(yàn)證碼類別；

54、在所述驗(yàn)證碼類別為第一類驗(yàn)證碼時(shí)，對(duì)所述驗(yàn)證碼信息進(jìn)行驗(yàn)證碼爆破，得到爆破結(jié)果；

55、根據(jù)所述爆破結(jié)果生成漏洞掃描結(jié)果。

56、可選地，所述掃描模塊，還用于獲取第一類驗(yàn)證碼輸入框的數(shù)量信息；

57、根據(jù)所述數(shù)量信息枚舉生成第一類驗(yàn)證碼；

58、將生成的第一類驗(yàn)證碼填充至所述第一類驗(yàn)證碼輸入框，以向云端服務(wù)器發(fā)送賬號(hào)更新請(qǐng)求，所述賬號(hào)更新請(qǐng)求包括：賬號(hào)注冊(cè)請(qǐng)求、密碼重置請(qǐng)求以及賬號(hào)登錄請(qǐng)求中的至少一種；

59、接收所述云端服務(wù)器基于所述賬號(hào)更新請(qǐng)求的反饋信息；

60、根據(jù)所述反饋信息確定爆破結(jié)果。

61、可選地，所述掃描模塊，還用于在所述反饋結(jié)果為賬號(hào)更新失敗時(shí)，返回根據(jù)所述數(shù)量信息枚舉生成第一類驗(yàn)證碼的步驟，直至賬號(hào)更新成功和/或枚舉持續(xù)時(shí)長(zhǎng)大于或等于預(yù)設(shè)第一時(shí)長(zhǎng)。

62、可選地，還用于通過(guò)預(yù)設(shè)通信接口讀取所述身份驗(yàn)證響應(yīng)中的第一類驗(yàn)證碼信息或驗(yàn)證鏈接；

63、對(duì)所述第一類驗(yàn)證碼信息進(jìn)行缺陷檢測(cè)；

64、對(duì)所述驗(yàn)證鏈接進(jìn)行可控性檢測(cè)；

65、根據(jù)檢測(cè)結(jié)果生成爆破結(jié)果。

66、可選地，還用于檢測(cè)所述第一類驗(yàn)證碼是否與預(yù)設(shè)次數(shù)內(nèi)的歷史驗(yàn)證碼相同；和/或

67、檢測(cè)所述第一類驗(yàn)證碼是否處于綁定狀態(tài)。

68、可選地，還用于在所述驗(yàn)證碼類別為第二類驗(yàn)證碼時(shí)，通過(guò)預(yù)設(shè)圖像識(shí)別模型對(duì)所述第二類驗(yàn)證碼進(jìn)行圖像識(shí)別；

69、根據(jù)圖像識(shí)別結(jié)果進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果。

70、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提出一種漏洞掃描設(shè)備，所述漏洞掃描設(shè)備包括：存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的漏洞掃描程序，所述漏洞掃描程序配置為實(shí)現(xiàn)如上文所述的漏洞掃描方法的步驟。

71、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提出一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)上存儲(chǔ)有漏洞掃描程序，所述漏洞掃描程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上文所述的漏洞掃描方法的步驟。

72、本發(fā)明公開了一種漏洞掃描方法，所述漏洞掃描方法包括：在接收到漏洞掃描請(qǐng)求時(shí)，生成目標(biāo)賬號(hào)用戶名；基于所述目標(biāo)賬號(hào)用戶名向云端服務(wù)器發(fā)送身份驗(yàn)證請(qǐng)求，以使所述云端服務(wù)器反饋身份驗(yàn)證響應(yīng)；確定所述身份驗(yàn)證響應(yīng)的類別與對(duì)應(yīng)的漏洞掃描策略；執(zhí)行所述漏洞掃描策略，以進(jìn)行漏洞掃描，得到漏洞掃描結(jié)果，與現(xiàn)有技術(shù)相比，本發(fā)明通過(guò)模擬生成目標(biāo)賬號(hào)用戶名，并根據(jù)目標(biāo)賬號(hào)用戶名向云端服務(wù)器發(fā)送身份驗(yàn)證請(qǐng)求，以開啟虛擬身份驗(yàn)證，最后根據(jù)云端服務(wù)器反饋的身份驗(yàn)證響應(yīng)的類別確定對(duì)應(yīng)類別的漏洞掃描策略，進(jìn)而根據(jù)該漏洞掃描策略實(shí)現(xiàn)自動(dòng)化漏洞掃描，提高身份驗(yàn)證的準(zhǔn)確性，避免了現(xiàn)有技術(shù)中針對(duì)網(wǎng)站身份驗(yàn)證的自動(dòng)化漏洞掃描機(jī)制存在缺陷，使得網(wǎng)站存在安全隱患的技術(shù)問(wèn)題，并可以模擬各種驗(yàn)證場(chǎng)景，提高掃描效率。