CN106453275A - 一种在Web漏洞扫描器中识别字符验证码的方法 - Google Patents
一种在Web漏洞扫描器中识别字符验证码的方法 Download PDFInfo
- Publication number
- CN106453275A CN106453275A CN201610844363.2A CN201610844363A CN106453275A CN 106453275 A CN106453275 A CN 106453275A CN 201610844363 A CN201610844363 A CN 201610844363A CN 106453275 A CN106453275 A CN 106453275A
- Authority
- CN
- China
- Prior art keywords
- identifying code
- web
- verification code
- identification
- character
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Character Discrimination (AREA)
Abstract
本发明公开了一种在Web漏洞扫描器中识别字符验证码的方法,包括以下步骤:Web漏洞扫描器识别验证码组件,将验证码识别失败的信息收集反馈给远程;远程根据收集到的验证码组件,比对现有的库;新增或者更新验证码到现有库;Web漏洞扫描器的日常更新后,验证码识别库也进行更新;Web漏洞扫描器爬虫预登录设置时,输入必要信息,选择验证码识别方式;识别出特定的Web应用或根据选择的特定Web应用,选择对应Web应用的验证码识别算法;验证码识别并将识别的验证码返回;进行Web漏洞扫描器爬虫的正常扫描。本发明综合提高了字符验证码的识别速度和提升了字符验证码的识别率,从而提高Web漏洞扫描器的扫描效率和扫描范围。
Description
技术领域
本发明涉及验证码识别领域,具体涉及一种在Web漏洞扫描器中识别字符验证码的方法。
背景技术
在Web漏洞扫描器扫描目标是Web网站或Web***的时候,除了输入常见的用户名、密码外,还要识别验证码,才能成功登录,而验证码是随机的。只有登录后才能进行深入扫描的,这给Web漏洞扫描器进一步发现更多漏洞带来阻碍,所以需要扫描过程中能自动识别验证码,进一步提高Web漏洞扫描器发现漏洞的能力。
常见的Web漏洞扫描,很少有识别验证码从而进行登录的功能,如果遇到需要识别验证码的场景,只能先人工识别验证码,登录成功后,记录Cookie中的信息,提供给Web漏洞扫描器进行扫描。
如果扫描目标有大量都是需要识别验证码,那么扫描目标的检测将极其繁琐,都得执行一遍人工验证码识别,得到Cookie信息,再进行进一步扫描。另外,很多Web网站或Web***登录是有时效性的,如果过期又得重登录,又将重复进行一次人工识别验证码过程。这样给Web漏洞扫描器使用带来很多不便。
验证码(CAPTCHA)是“Completely Automated Public Turing test to tellComputers and Humans Apart(全自动区分计算机和人类的图灵测试)”的缩写,是一种区分用户是计算机还是人的公共全自动程序。特指Web网站或Web***在登录等场景中出现的字符验证码,防止暴力破解方式进行不断的登录尝试。
字符验证码是最为常见的一种验证码。大部分字符验证码都是由数字及大小写英文字母组成的二维图片,可以通过加入干扰点、干扰线,扭曲、粘贴字符等来提高验证码的安全性。验证码识别一般可以分为以下三个步骤:预处理、字符分割、字符识别。而每一个步中都有许多图像处理相关的算法和方法,每种算法或方法并非都适用于任何验证码的识别。在特定验证码的识别过程中,需要根据其特征挑选合适的识别算法及方法,才能达到理想的识别率。因此,并没有傻瓜式的、全自动的、万能的验证码识别工具,互联网上传播的更多的是针对某个或某类特定的验证码进行识别的程序。
字符验证码识别指对字符验证码的验证码识别技术。大多数验证码识别研究都是围绕这种验证码展开的。Web漏洞扫描器指专门用于扫描Web漏洞的漏洞扫描器,扫描目标一般是Web网站或Web***。建库指在Web漏洞扫描场景下,扫描基于常见的字符验证码***的Web网站或Web***,针对这些特定的字符验证码***,进行字符验证码识别的特定程序,包括:研究、分类、识别、库建立,形成一整逐步完善的、常见的字符验证码识别库的过程。
发明内容
本发明所要解决的技术问题是提供一种在Web漏洞扫描器中识别字符验证码的方法,综合提高字符验证码的识别速度和提升字符验证码的识别率,从而提高Web漏洞扫描器的扫描效率和扫描范围。
为解决上述技术问题,本发明采用的技术方案是:
一种在Web漏洞扫描器中识别字符验证码的方法,包括以下步骤:
步骤1:Web漏洞扫描器识别验证码组件,将验证码识别失败的信息收集反馈给远程;
步骤2:远程根据收集到的验证码组件,比对现有的库;
步骤3:如果在库中不存在,建立新的验证码识别任务,即批量下载对应验证码组件中的验证码图片,进行新的训练,新增到现有库中;如果在库中存在,但识别不出来,根据收集的反馈数据完善到现有的训练用验证码的图片中,继续训练,更新到现有库中;
步骤4:Web漏洞扫描器的日常更新后,验证码识别库也进行更新;
步骤5:Web漏洞扫描器爬虫预登录设置时,输入必要信息,选择验证码识别方式;
步骤6:识别出特定的Web应用或根据选择的特定Web应用,选择对应Web应用的验证码识别算法;
步骤7:验证码识别,包括预处理、字符分割、字符识别;
步骤8:将识别的验证码返回;
步骤9:进行Web漏洞扫描器爬虫的正常扫描。
进一步的,在步骤5中,验证码识别方式为自动识别或已经知道选择哪个Web应用的人工协助识别。
与现有技术相比,本发明的有益效果是:本发明中,字符验证码是最为常见的一种验证码,可以覆盖了大多数Web网站或Web***的验证码识别场景;自带Web应用对应的验证码库,随着库的更新和扩充有助于不断提高识别字符验证码的能力,且可以支持更多Web应用的字符验证码识别;综合提高了字符验证码的识别速度和提升了字符验证码的识别率,从而提高Web漏洞扫描器的扫描效率和扫描范围。
附图说明
图1是本发明一种在Web漏洞扫描器中识别字符验证码的方法流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明主要分成两部分,一是远程建库过程,二是在Web漏洞扫描器中识别过程。远程建库过程是为了根据收集的扫描目标的验证码组件,不断训练,从而提高对应验证码组件的识别率。Web漏洞扫描器中识别过程是通过验证码识别库的日常更新,在进行扫描任务时候,使用这个经过严格训练的库,从而解决扫描过程中需要验证码识别的问题。
远程建库过程
1)Web漏洞扫描器为了提高扫描效率,会识别特定的Web组件,也可以包括验证码组件,会将验证码识别失败的信息收集反馈给远程;2)远程根据收集到的验证码组件,比对现有的库;3)如果在库中不存在,就建立新的验证码识别任务。批量下载对应验证码组件中一定数量的验证码图片,进行新的训练,直到对识别率满意,新增到现有库中。如果在库中存在,但识别不出来,就根据收集的反馈数据完善到现有的训练用验证码的图片中,继续训练,直到进一步提高识别率,更新到现有库中。
Web漏洞扫描器中识别过程
1)随着Web漏洞扫描器的日常更新,验证码识别库也随着更新;2)预登录准备。Web漏洞扫描器爬虫预登录设置时候,输入用户名、密码等必要信息后,验证码选项,选择自动识别或已经知道选择哪个Web应用人工协助识别;3)Web应用识别。识别出特定的Web应用或根据选择的特定Web应用,选择对应Web应用的验证码识别算法,以此提高识别速度和提升识别率;4)会自带Web应用对应的验证码库。用来匹配对应的合适算法来识别验证码;5)开始验证码识别。分为:预处理、字符分割、字符识别;6)将识别的验证码返回。同用户名、密码等必要信息模拟Web漏洞扫描器爬虫的登录过程;7)登录成功。开始进行Web漏洞扫描器爬虫的正常扫描。
Claims (2)
1.一种在Web漏洞扫描器中识别字符验证码的方法,其特征在于,包括以下步骤:
步骤1:Web漏洞扫描器识别验证码组件,将验证码识别失败的信息收集反馈给远程;
步骤2:远程根据收集到的验证码组件,比对现有的库;
步骤3:如果在库中不存在,建立新的验证码识别任务,即批量下载对应验证码组件中的验证码图片,进行新的训练,新增到现有库中;如果在库中存在,但识别不出来,根据收集的反馈数据完善到现有的训练用验证码的图片中,继续训练,更新到现有库中;
步骤4:Web漏洞扫描器的日常更新后,验证码识别库也进行更新;
步骤5:Web漏洞扫描器爬虫预登录设置时,输入必要信息,选择验证码识别方式;
步骤6:识别出特定的Web应用或根据选择的特定Web应用,选择对应Web应用的验证码识别算法;
步骤7:验证码识别,包括预处理、字符分割、字符识别;
步骤8:将识别的验证码返回;
步骤9:进行Web漏洞扫描器爬虫的正常扫描。
2.如权利要求1所述的一种在Web漏洞扫描器中识别字符验证码的方法,其特征在于,在步骤5中,验证码识别方式为自动识别或已经知道选择哪个Web应用的人工协助识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610844363.2A CN106453275A (zh) | 2016-09-23 | 2016-09-23 | 一种在Web漏洞扫描器中识别字符验证码的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610844363.2A CN106453275A (zh) | 2016-09-23 | 2016-09-23 | 一种在Web漏洞扫描器中识别字符验证码的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106453275A true CN106453275A (zh) | 2017-02-22 |
Family
ID=58165940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610844363.2A Pending CN106453275A (zh) | 2016-09-23 | 2016-09-23 | 一种在Web漏洞扫描器中识别字符验证码的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106453275A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104852916A (zh) * | 2015-05-08 | 2015-08-19 | 西安石油大学 | 一种基于社会工程学的网页验证码识别方法及*** |
CN104954331A (zh) * | 2014-03-27 | 2015-09-30 | 杭州迪普科技有限公司 | 一种登录认证配置装置及方法 |
CN105704177A (zh) * | 2014-11-26 | 2016-06-22 | 阿里巴巴集团控股有限公司 | 一种ua识别方法、装置 |
CN105827664A (zh) * | 2016-06-06 | 2016-08-03 | 江苏通付盾科技有限公司 | 漏洞检测方法及装置 |
-
2016
- 2016-09-23 CN CN201610844363.2A patent/CN106453275A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954331A (zh) * | 2014-03-27 | 2015-09-30 | 杭州迪普科技有限公司 | 一种登录认证配置装置及方法 |
CN105704177A (zh) * | 2014-11-26 | 2016-06-22 | 阿里巴巴集团控股有限公司 | 一种ua识别方法、装置 |
CN104852916A (zh) * | 2015-05-08 | 2015-08-19 | 西安石油大学 | 一种基于社会工程学的网页验证码识别方法及*** |
CN105827664A (zh) * | 2016-06-06 | 2016-08-03 | 江苏通付盾科技有限公司 | 漏洞检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
佚名: ""话说验证码识别"", 《HTTPS://BLOG.CSDN.NET/XCY13638760/ARTICLE/DETAILS/41445867》 * |
佚名: ""验证码识别思路"", 《HTTP://WWW.CNBLOGS.COM/NEUTRA/ARCHIVE/2012/02/26/2368358.HTML》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109493872B (zh) | 语音信息验证方法及装置、电子设备、存储介质 | |
US20130259314A1 (en) | Methods and systems for enhancing the performance of automated license plate recognition applications utilizing multiple results | |
US10467491B2 (en) | System and method for detecting forgeries | |
JP5710748B2 (ja) | 生体認証システム | |
CN109063456B (zh) | 图像型验证码的安全性检测方法及*** | |
JP2017530387A (ja) | 人工知能に基づく声紋ログイン方法と装置 | |
US6567765B1 (en) | Evaluation system and method for fingerprint verification | |
US11967176B2 (en) | Facial recognition method, facial recognition system, and electronic device | |
CN104820924A (zh) | 一种基于笔迹鉴定的网上安全支付*** | |
CN109101810A (zh) | 一种基于ocr技术的文字验证码识别方法 | |
CN107454118A (zh) | 验证码获取方法及装置、登录方法及*** | |
Al-Maadeed | Text‐Dependent Writer Identification for Arabic Handwriting | |
US11755708B2 (en) | Methods and systems for facilitating secure authentication of user based on known data | |
CN110619528A (zh) | 行为验证数据处理方法、装置、设备及存储介质 | |
CN106130739A (zh) | 应用程序登录处理方法及装置 | |
CN114090989A (zh) | 一种身份认证方法、***及装置 | |
CN107437088B (zh) | 文件识别方法和装置 | |
KR101972800B1 (ko) | 수기 서명 인증 방법 및 장치 | |
CN101299762A (zh) | 一种身份认证方法及装置 | |
CN106453275A (zh) | 一种在Web漏洞扫描器中识别字符验证码的方法 | |
CN116645683A (zh) | 基于提示学习的签名笔迹鉴别方法、***及存储介质 | |
CN115688107A (zh) | 一种涉诈app检测***和方法 | |
CN111209551B (zh) | 一种身份认证方法及装置 | |
CN115801309A (zh) | 基于大数据的计算机终端接入安全验证方法及*** | |
US11935331B2 (en) | Methods and systems for real-time electronic verification of content with varying features in data-sparse computer environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |