CN107749835A - 一种基于预测的点击劫持攻击的渗透测试方法 - Google Patents

一种基于预测的点击劫持攻击的渗透测试方法 Download PDF

Info

Publication number
CN107749835A
CN107749835A CN201710810483.5A CN201710810483A CN107749835A CN 107749835 A CN107749835 A CN 107749835A CN 201710810483 A CN201710810483 A CN 201710810483A CN 107749835 A CN107749835 A CN 107749835A
Authority
CN
China
Prior art keywords
link
prediction
data
web data
click
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710810483.5A
Other languages
English (en)
Other versions
CN107749835B (zh
Inventor
玄世昌
苘大鹏
王巍
杨武
董福安
杨国庆
郁晨
盛博文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN201710810483.5A priority Critical patent/CN107749835B/zh
Publication of CN107749835A publication Critical patent/CN107749835A/zh
Application granted granted Critical
Publication of CN107749835B publication Critical patent/CN107749835B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种基于预测的点击劫持攻击的渗透测试方法,属于网络安全领域。本发明主要包含以下步骤:运行流量劫持系统,初始化系统配置,包括加载目标域名和加载数据处理方式;针对目标域名发起劫持;数据还原模块接收劫持的网页数据,根据数据处理方式的具体配置来还原网页数据;点击预测算法处理网页数据;根据预测结果构造点击劫持攻击代码,将攻击代码插入到网页数据中;对处理过的网页数据进行头部封装以及内容编码,之后,通过流量劫持系统发送。

Description

一种基于预测的点击劫持攻击的渗透测试方法
技术领域
本发明涉及一种基于预测的点击劫持攻击的渗透测试方法,属于网络安全领域。
背景技术
随着网络的发展以及应用,人们对计算机网络的依赖越来越强。与此同时,网络系统的安全问题也越来越突出。渗透测试作为一种模拟攻击者对目标系统进行安全测试的方法,应用也越来越广泛。点击劫持作为近年来新出现的一种危害较大的漏洞,正在被黑客广泛的运用,广大网民的安全受到了巨大的威胁。基于点击劫持漏洞进行渗透测试,可以帮助目标系统找出存在的安全问题,并进行修复。
目前使用的点击劫持攻击方法主要是攻击者搭建攻击站点,构造攻击页面,在攻击页面中构造诱饵按钮以及设计交互场景。点击劫持中的关键点是对用户点击操作的劫持,已有的方法分为两种,一种是基于社会工程学的方法,典型的是构造诱饵按钮诱导用户点击。一种是基于技术的手段,其主要是利用javascript脚本来达到目的。第一种方法成功率底,第二种方法依赖客户端允许脚本的执行,它们都不能保证劫持成功率。如果存在一种成功率更高的点击劫持攻击方法,就可以通过这种方法对目标系统进行更全面的渗透测试。
发明内容
本发明的目的是这样实现的:
一种基于预测的点击劫持攻击的渗透测试方法,其特征在于,包含以下步骤:
步骤一运行流量劫持系统,初始化系统配置,包括加载目标域名和加载数据处理方式。
步骤二针对目标域名发起劫持。
步骤三数据还原模块接收劫持的网页数据,根据数据处理方式的具体配置来还原网页数据。
步骤四点击预测算法处理网页数据。
步骤五根据预测结果构造点击劫持攻击代码,将攻击代码插入到网页数据中。
步骤六对处理过的网页数据进行头部封装以及内容编码,之后,通过流量劫持系统发送。
步骤四中所述的预测算法包含以下步骤:
步骤一对HTML数据进行预处理,去除对预测算法无效的信息。
步骤二使用经过预处理的网页数据,构建DOM树。
步骤三根据DOM树得到链接集合。
步骤四循环从链接集合中取出链接,如果取到链接,则跳转到步骤五;如果没有取到链接则跳转到步骤六。
步骤五根据该链接具有的结构因子特征、视觉因子特征和内容因子特征分析链接,得出该链接具有的权重。
步骤六根据每条链接具有的权值对所有链接进行排序。
步骤七权值最高的链接作为预测结果,流程结束。
所述链接的结构因子特征包括:
链接对应文本的长度,用tl来标识。
链接所在标签对应的最小相似子结构中所有文本的长度,用sl来表示。
根据最小相似子结构计算出链接密集度,用inten来表示。
链接对应文本长度与最小相似子结构中所有文本长度的比值,用ts来表示。
链接对应最小相似子结构出现的顺序,用sr来表示。
所述链接的视觉因子特征包括:
将整个网页分为16个区域,链接属于16个区域中的那一个,用rv表示。
链接所属元素与周围元素样式区别,包括颜色和字体,用cv表示。
密集出现的链接之间样式的区别,包括颜色和字体,用bv表示。
所述链接的内容因子特征包括:
浏览论坛时的“回复”按钮,阅读长网页时的“返回顶部”链接和阅读分页内容时的“翻页”链接。
附图说明
图1是本发明的框架图。
图2是本发明整体运行流程图。
图3是本发明点击预测算法运行流程图。
具体实施方式
下面结合附图对本发明做详细地描述:
如附图1所示,该方法分为流量劫持模块,数据还原模块、点击预测模块,攻击代码构造模块,网页构造模块。
1)通过流量劫持模块,劫持用户正常的网页访问,并将劫持的网页数据提交给数据还原模块;
2)数据还原模块将接收到的网页数据进行拼接和还原,将纯编码的网页数据提交给点击预测模块;
3)点击预测模块分析网页数据,利用点击预测算法分析网页的结构、视觉和内容特征,预测出用户最可能点击的链接,之后,将预测结果以及网页数据提交给攻击代码构造模块;
4)攻击代码构造模块修改网页数据,载入目标网页,并根据预测模块的结果隐藏目标按钮,将处理后的网页数据提交给网页构造模块;
5)网页构造模块对网页数据进行头部修改以及编码压缩的操作,处理完后将网页数据交给流量劫持模块发出。
附图2是本发明的运行流程图,该发明的整体处理流程是:
1)首先运行流量劫持系统,初始化系统配置,包括加载目标域名,加载数据处理方式等;
2)针对目标域名发起劫持(具体的劫持方法不做描述);
3)数据还原模块接收劫持的网页数据,根据数据处理方式的具体配置来还原网页数据;
4)点击预测算法处理网页数据,具体的处理步骤如附图3所示;
5)根据预测结果构造点击劫持攻击代码,将攻击代码插入到网页数据中;
6)对处理过的网页数据进行头部封装以及内容编码,之后,通过流量劫持系统发送;
结合附图3对预测算法进行详细描述:
1)首先对HTML数据进行预处理,去除对预测算法无效的信息;
2)使用经过预处理的网页数据,构建DOM树;
3)根据DOM树得到链接集合;
4)循环从链接集合中取出链接,如果取到链接,则跳转到5);如果没有取到链接则跳转到6);
5)根据该链接具有的结构因子特征、视觉因子特征和内容因子特征分析链接(每种特征的具体内容见后面内容),得出该链接具有的权重;
6)根据每条链接具有的权值对所有链接进行排序;
7)权值最高的链接作为预测结果,流程结束。
每条链接的结构因子特征包括以下五条:
1)链接对应文本的长度,用tl来标识;
2)链接所在标签对应的最小相似子结构中所有文本的长度,用sl来表示;
3)根据最小相似子结构计算出链接密集度,用inten来表示;
4)链接对应文本长度与最小相似子结构中所有文本长度的比值,用ts来表示;
5)链接对应最小相似子结构出现的顺序,用sr来表示。
每条链接的视觉因子特征包括以下几条:
1)将整个网页分为16个区域,链接属于16个区域中的那一个,用rv表示;
2)链接所属元素与周围元素样式区别,包括颜色和字体,用cv表示;
3)密集出现的链接之间样式的区别,包括颜色和字体,用bv表示。
每条链接的内容因子特征:
网页中的链接有很大一部分是用户平时常用的一些功能性链接,这些链接在日常浏览过程中被点击的可能性非常大。例如浏览论坛时的“回复”按钮,阅读长网页时的“返回顶部”链接,阅读分页内容时的“翻页”链接等等。本发明将链接具有的这些特殊内容称为链接的内容因子特征,在预测算法中,通过对链接具有的特殊内容进行考虑,来达到加强预测效果的目的。

Claims (3)

1.一种基于预测的点击劫持攻击的渗透测试方法,其特征在于,包含以下步骤:
步骤一 运行流量劫持系统,初始化系统配置,包括加载目标域名和加载数据处理方式;
步骤二 针对目标域名发起劫持;
步骤三 数据还原模块接收劫持的网页数据,根据数据处理方式的具体配置来还原网页数据;
步骤四 点击预测算法处理网页数据;
步骤五 根据预测结果构造点击劫持攻击代码,将攻击代码插入到网页数据中;
步骤六 对处理过的网页数据进行头部封装以及内容编码,之后,通过流量劫持系统发送。
2.根据权利要求1所述的一种基于预测的点击劫持攻击的渗透测试方法,其特征在于,步骤四中所述的预测算法包含以下步骤:
步骤一 对HTML数据进行预处理,去除对预测算法无效的信息;
步骤二 使用经过预处理的网页数据,构建DOM树;
步骤三 根据DOM树得到链接集合;
步骤四 循环从链接集合中取出链接,如果取到链接,则跳转到步骤五;如果没有取到链接则跳转到步骤六;
步骤五 根据该链接具有的结构因子特征、视觉因子特征和内容因子特征分析链接,得出该链接具有的权重;
步骤六 根据每条链接具有的权值对所有链接进行排序;
步骤七 权值最高的链接作为预测结果,流程结束。
3.根据权利要求2所述的一种基于预测的点击劫持攻击的渗透测试方法,其特征在于,步骤四中所述链接的结构因子特征包括:
链接对应文本的长度,用tl来标识;
链接所在标签对应的最小相似子结构中所有文本的长度,用sl来表示;
根据最小相似子结构计算出链接密集度,用inten来表示;
链接对应文本长度与最小相似子结构中所有文本长度的比值,用ts来表示;
链接对应最小相似子结构出现的顺序,用sr来表示;
步骤四中所述链接的视觉因子特征包括:
将整个网页分为16个区域,链接属于16个区域中的那一个,用rv表示;
链接所属元素与周围元素样式区别,包括颜色和字体,用cv表示;
密集出现的链接之间样式的区别,包括颜色和字体,用bv表示;
步骤四中所述链接的内容因子特征包括:
浏览论坛时的“回复”按钮,阅读长网页时的“返回顶部”链接和阅读分页内容时的“翻页”链接。
CN201710810483.5A 2017-09-11 2017-09-11 一种基于预测的点击劫持攻击的渗透测试方法 Active CN107749835B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710810483.5A CN107749835B (zh) 2017-09-11 2017-09-11 一种基于预测的点击劫持攻击的渗透测试方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710810483.5A CN107749835B (zh) 2017-09-11 2017-09-11 一种基于预测的点击劫持攻击的渗透测试方法

Publications (2)

Publication Number Publication Date
CN107749835A true CN107749835A (zh) 2018-03-02
CN107749835B CN107749835B (zh) 2020-11-20

Family

ID=61255611

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710810483.5A Active CN107749835B (zh) 2017-09-11 2017-09-11 一种基于预测的点击劫持攻击的渗透测试方法

Country Status (1)

Country Link
CN (1) CN107749835B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102780682A (zh) * 2011-05-12 2012-11-14 同济大学 基于html的网站行为模型建模方法
CN102819710A (zh) * 2012-08-22 2012-12-12 西北工业大学 基于渗透测试的跨站点脚本漏洞检测方法
CN104363253A (zh) * 2014-12-12 2015-02-18 北京奇虎科技有限公司 网站安全检测方法与装置
CN104468459A (zh) * 2013-09-12 2015-03-25 深圳市腾讯计算机系统有限公司 一种漏洞检测方法及装置
CN104767747A (zh) * 2015-03-30 2015-07-08 微梦创科网络科技(中国)有限公司 点击劫持安全检测方法和装置
US20150319189A1 (en) * 2012-10-29 2015-11-05 Amazon Technologies, Inc. Protecting websites from cross-site scripting
CN105678170A (zh) * 2016-01-05 2016-06-15 广东工业大学 一种动态检测xss漏洞的方法
US9407658B1 (en) * 2015-06-30 2016-08-02 AO Kaspersky Lab System and method for determining modified web pages
CN106022135A (zh) * 2016-02-23 2016-10-12 北京工业大学 一种可动态判断xss漏洞的自动化检测系统
CN106341406A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于http响实体正文html dom树变化的准确攻击识别方法
CN106845248A (zh) * 2017-01-18 2017-06-13 北京工业大学 一种基于状态转换图的xss漏洞检测方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102780682A (zh) * 2011-05-12 2012-11-14 同济大学 基于html的网站行为模型建模方法
CN102819710A (zh) * 2012-08-22 2012-12-12 西北工业大学 基于渗透测试的跨站点脚本漏洞检测方法
US20150319189A1 (en) * 2012-10-29 2015-11-05 Amazon Technologies, Inc. Protecting websites from cross-site scripting
CN104468459A (zh) * 2013-09-12 2015-03-25 深圳市腾讯计算机系统有限公司 一种漏洞检测方法及装置
CN104363253A (zh) * 2014-12-12 2015-02-18 北京奇虎科技有限公司 网站安全检测方法与装置
CN104767747A (zh) * 2015-03-30 2015-07-08 微梦创科网络科技(中国)有限公司 点击劫持安全检测方法和装置
US9407658B1 (en) * 2015-06-30 2016-08-02 AO Kaspersky Lab System and method for determining modified web pages
CN105678170A (zh) * 2016-01-05 2016-06-15 广东工业大学 一种动态检测xss漏洞的方法
CN106022135A (zh) * 2016-02-23 2016-10-12 北京工业大学 一种可动态判断xss漏洞的自动化检测系统
CN106341406A (zh) * 2016-09-19 2017-01-18 成都知道创宇信息技术有限公司 基于http响实体正文html dom树变化的准确攻击识别方法
CN106845248A (zh) * 2017-01-18 2017-06-13 北京工业大学 一种基于状态转换图的xss漏洞检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张伟伟: "基于特征注入的XSS漏洞检测模型研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 *
顾明昌,王丹,赵文兵,付利华: "一种基于攻击向量自动生成的XSS漏洞渗透测试方法", 《软件导刊》 *

Also Published As

Publication number Publication date
CN107749835B (zh) 2020-11-20

Similar Documents

Publication Publication Date Title
CN101964025B (zh) Xss检测方法和设备
CN101901221B (zh) 一种跨站脚本攻击的检测方法和装置
CN104881607B (zh) 一种基于模拟浏览器行为的xss漏洞检测系统
CN110808968A (zh) 网络攻击检测方法、装置、电子设备和可读存储介质
CN112685739B (zh) 恶意代码检测方法、数据交互方法及相关设备
US20150128272A1 (en) System and method for finding phishing website
CN107463844B (zh) Web木马检测方法及系统
CN104881608A (zh) 一种基于模拟浏览器行为的xss漏洞检测方法
CN109347882B (zh) 网页木马监测方法、装置、设备及存储介质
KR101190261B1 (ko) 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법
CN104079559B (zh) 一种网址安全性检测方法、装置及服务器
CN105975523A (zh) 一种基于栈的暗链检测方法
CN107341399A (zh) 评估代码文件安全性的方法及装置
CN104767747A (zh) 点击劫持安全检测方法和装置
CN108173814B (zh) 钓鱼网站检测方法、终端设备及存储介质
CN108683685A (zh) 一种针对xss攻击的云安全cdn系统及监测方法
CN107896225A (zh) 钓鱼网站判定方法、服务器及存储介质
CN105488400A (zh) 一种恶意网页综合检测方法及系统
CN110750750A (zh) 网页生成方法、装置、计算机设备和存储介质
CN106250761B (zh) 一种识别web自动化工具的设备、装置及方法
CN103617390A (zh) 一种恶意网页判断方法、装置和系统
CN110362995A (zh) 一种基于逆向与机器学习的恶意软件检测及分析系统
CN107784107B (zh) 基于逃逸行为分析的暗链检测方法及装置
Liu et al. Multi-scale semantic deep fusion models for phishing website detection
CN106209487B (zh) 用于检测网站中网页的安全漏洞的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant