(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210902037.8 (22)申请日 2022.07.29 (65)同一申请的已公布的文献号 申请公布号 CN 114969766 A (43)申请公布日 2022.08.30 (73)专利权人 杭州孝道科技有限公司 地址 310011 浙江省杭州市拱 墅区祥园路 88号2幢506室 (72)发明人 范丙华　徐锋　应勇　王凯翔　 (74)专利代理 机构 北京维正专利代理有限公司 11508 专利代理师 陈翠杰 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01)(56)对比文件 CN 10825 6334 A,2018.07.0 6 CN 106778225 A,2017.0 5.31 CN 1078641 18 A,2018.0 3.30 CN 105703925 A,2016.0 6.22 CN 105376074 A,2016.0 3.02 US 69126 63 B1,2005.06.28 董雪等.新能源电站网络信息安全风险分析 及防护研究. 《网络空间安全》 .2020,(第02期), 第63-69页. 审查员 周瑞瑞 (54)发明名称 账号锁定绕过逻辑漏洞检测方法、 系统以及 存储介质 (57)摘要 本申请公开了一种账号锁定绕过逻辑漏洞 检测方法、 系统以及存储介质， 所述方法包括： 获 取第一请求数据和第一响应信息； 根据第一请求 数据请求登陆， 并获取第二响应信息， 结合第一 响应信息， 判断是否存在验证码验证； 将第一请 求数据中的账号信息进行置错形成第二请求数 据， 根据第二请求数据， 依次进行预设次数的请 求登陆以获取账号锁定响应信息和第三请求数 据； 根据第三请求数据请求登陆， 并获取第三响 应信息， 结合账号锁定响应信息， 判断是否存在 账号锁定绕过逻辑漏洞。 该检测方法能够适应于 验证码防护场景， 并且避开对被测代码强依赖的 类IAST检测模式， 转而以渗透测试的方式直击 该 类漏洞本质， 提高了账号锁定绕过逻辑漏洞检测 的普适性。 权利要求书3页 说明书10页 附图4页 CN 114969766 B 2022.10.21 CN 114969766 B 1.一种账号锁定绕过逻辑漏洞检测方法， 其特 征在于， 包括以下步骤： 获取第一请求数据和第一响应信息， 所述第一请求数据包括账号信 息、 请求地址， 所述 第一响应信息为成功登陆响应信息； 根据所述第一请求数据请求登陆， 并获取相应的第二响应信息， 判断所述第二响应信 息和所述第一响应信息是否相同， 若所述第二响应信息和所述第一响应信息不相同， 输出第一提示信息， 所述第一提示 信息用于表达存在验证码验证； 若所述第二响应信 息和所述第 一响应信 息相同， 将所述第 一请求数据中的账号信 息进 行置错以形成第二请求数据， 根据所述第二请求数据， 依次进 行预设次数的请求登陆， 并分 别获取第一次请求登陆和最后一次请求登陆对应的响应信息； 记所述最后 一次请求登陆的响应信 息为账号锁定响应信 息， 并将账号锁定规避字段添 加进最后一次请求数据中以形成第三请求数据； 根据所述第三请求数据请求登陆， 并获取相应的第三响应信息， 判断所述第三响应信 息与所述账号锁定响应信息是否相同， 若所述第三响应信息与所述账号锁定响应信息相同， 输出第二提示信息， 所述第二提 示信息用于表达不存在账号锁定绕过漏洞； 若第三响应信息与账号锁定响应信息不相同， 输出第三提示信息， 所述第三提示信息 用于表达存在账号锁定绕过漏洞。 2.根据权利要求1所述的一种账号锁定 绕过逻辑漏洞检测方法， 其特征在于， 所述根据 所述第一请求数据请求登陆， 并获取第二响应信息， 包括： 根据所述第一请求数据请求登陆， 通过预设的监听程序捕获登陆请求， 并获取与登录 请求数据相匹配的登录响应信息 。 3.根据权利要求1所述的一种账号锁定 绕过逻辑漏洞检测方法， 其特征在于， 所述第 一 请求数据中还 包括验证码对应字段； 在所述输出第一 提示信息之后， 还 包括以下步骤： 将所述第一请求数据中验证码对应字段进行修改以形成第四请求数据； 根据所述第四请求数据请求登陆， 并获取相应的第四响应信息； 判断所述第四响应信息和所述第一响应信息是否相同， 若所述第四响应信息和所述第一响应信息不同， 输出第 四提示信息， 所述第 四提示信 息用于表达不存在验证码绕过漏洞； 若所述第四响应信息和所述第一响应信息相同， 输出第五提示信息， 所述第五提示信 息用于表达存在验证码绕过漏洞。 4.根据权利要求3所述的一种账号锁定 绕过逻辑漏洞检测方法， 其特征在于， 所述将所 述第一请求数据中验证码对应字段进行修改， 包括： 将第一请求数据中验证码对应字段中参数对应的值置空或对验证码对应字段进行删 除。 5.根据权利要求3所述的一种账号锁定 绕过逻辑漏洞检测方法， 其特征在于， 在所述输 出存在验证码绕过漏洞提 示之后， 将所述第一请求数据中的账号信 息进行置错以形成第 二请求数据， 根据 所述第二请求 数据， 依次进行预设次数 的请求登陆， 并分别获取第一次请求登陆和最后一次请求登陆对权　利　要　求　书 1/3 页 2 CN 114969766 B 2应的响应信息 。 6.根据权利要求1所述的一种账号锁定 绕过逻辑漏洞检测方法， 其特征在于， 所述根据 第二请求数据， 依 次进行预设次数 的请求登陆， 并分别获取第一次请求登陆和最后一次请 求登陆对应的响应信息， 包括： 将请求登陆次数记为1， 根据第二请求数据请求登陆， 并获取第一次响应信息； 将请求登陆次数累加1， 并判断请求登陆次数 是否大于预设的阈值， 若请求登陆次数不大于预设的阈值， 则再次请求登陆， 获取本次响应信息， 并判断本次 响应信息和第一次响应信息是否相同， 若本次响应信 息和第一 次响应信息相同， 则将请求登陆次数累加1， 再次判断请求登陆 次数是否大于预设的阈值； 若本次响应信息和第一次响应信息不相同， 记本次响应信息为 最后一次响应信息； 若请求登陆次数 大于预设的阈值， 记最后一次获取的响应信息为 最后一次响应信息 。 7.根据权利要求1所述的一种账号锁定绕过逻辑漏洞检测方法， 其特征在于， 在所述分别获取第 一次请求登陆和最后 一次请求登陆对应的响应信 息之 前， 还包括以下步骤： 判断第一次请求登陆和最后一次请求登陆对应的响应信息是否相同， 若第一次请求登陆和最后一次请求登陆对应的响应信息相同， 输出第六提示信息， 所 述第六提 示信息用于表达不存在账号锁定 机制； 若第一次请求登陆和最后一次请求登陆对应的响应信息不同， 记最后一 次请求登陆的响应信 息为账号锁定响应信 息， 并将账号锁定规避字段添加进 最后一次请求数据中以形成第三请求数据； 根据所述第三请求数据请求登陆， 并获取相应的第三响应信息， 判断所述第三响应信 息与所述账号锁定响应信息是否相同， 若所述第三响应信息与所述账号锁定响应信息相同， 输出第二提示信息， 所述第二提 示信息用于表达不存在账号锁定绕过漏洞； 若所述第三响应信息与所述账号锁定响应信息不相同， 输出第三提示信息， 所述第三 提示信息用于表达存在账号锁定绕过漏洞。 8.根据权利要求1所述的一种账号锁定 绕过逻辑漏洞检测方法， 其特征在于， 所述最后 一次请求数据中还包括有 账号锁定相关字段， 所述将账号锁定规避字段添加进最后一次请 求数据中以形成第三请求数据， 包括： 获取最后一次请求数据中账号锁定相关字段 数据； 对最后一次请求数据的账号锁定相关字段 数据进行修改， 形成账号锁定规避字段； 将账号锁定规避字段 添加进最后一次请求数据中， 以替换原先的账号锁定相关字段。 9.一种账号锁定绕过逻辑漏洞检测系统， 包括： 获取模块， 用于获取第一请求数据和第一响应信息， 所述第 一请求数据包括账号信 息、 请求地址， 所述第一响应信息为成功登陆响应信息； 第一判断模块， 用于根据 所述第一请求数据请求登陆， 并获取相应的第 二响应信 息， 判 断所述第二响应信息和所述第一响应信息是否相同， 若所述第二响应信息和所述第一响应信息不相同， 输出第一提示信息， 所述第一提示权　利　要　求　书 2/3 页 3 CN 114969766 B 3