CN110278207A - 一种点击劫持漏洞检测方法、装置及计算机设备 - Google Patents
一种点击劫持漏洞检测方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN110278207A CN110278207A CN201910540302.0A CN201910540302A CN110278207A CN 110278207 A CN110278207 A CN 110278207A CN 201910540302 A CN201910540302 A CN 201910540302A CN 110278207 A CN110278207 A CN 110278207A
- Authority
- CN
- China
- Prior art keywords
- page
- response message
- detected
- http response
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种点击劫持漏洞检测方法、装置及计算机设备,其中方法为:获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作;若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文;根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码,该方法应用于金融科技(Fintech)时,可及时检测出点击劫持漏洞。
Description
技术领域
本发明涉及金融科技(Fintech)领域和信息安全领域,尤其涉及一种点击劫持漏洞检测方法、装置及计算机设备。
背景技术
随着计算机技术的发展,越来越多的技术(大数据、分布式、区块链(Blockchain)、人工智能等)应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变。目前,金融科技领域中,信息安全至关重要,点击劫持是一种视觉上的欺骗手段,攻击者可以使用一个透明的、不可见的内联框(iframe),覆盖在一个网页上,然后诱使用户在该网页上进行操作,通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上和一些操作。因此,一些网页上是存在点击挟持漏洞的,需要将这些点击挟持漏洞检测出来。
目前检测点击挟持漏洞方式为人工测试网页,通过人工任意点击网页,测试会不会点击在iframe页面的一些功能性按钮上,来确定一个页面是否存在点击挟持漏洞。然而,人工检测方式下,很难辨别是否点击在iframe页面的一些功能性按钮上还是待检测页面上,因此,现有技术中检测点击劫持漏洞时很容易出现漏报或误报,检测准确率较低。
发明内容
本申请实施例提供一种点击劫持漏洞检测方法、装置及计算机设备,解决了现有技术中检测点击劫持漏洞时很容易出现漏报或误报,检测准确率较低的问题。
第一方面、本申请实施例提供一种点击劫持漏洞检测方法:获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作;若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文;根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
上述方法中,首先获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作,若确定对所述待检测页面执行模拟点击操作,则获取HTTP响应报文,并根据所述HTTP响应报文中的至少一项结果确定是否存在点击劫持漏洞;从而根据所述URL减少了点击劫持漏洞的一部分漏报,另外,对所述待检测页面进行点击劫持漏洞时,通过对所述待检测页面执行模拟点击操作的至少一项结果确定所述待检测页面是否存在点击劫持漏洞,而CSP的页面嵌套属性,表征了待检测页面能否被iframe页面嵌套,另外再结合用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码,全面考虑了待检测页面是否存在点击劫持漏洞,从而提升了检测准确率。
一种可选实施方式中,所述HTTP响应报文包括HTTP资源部分,按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码:将所述HTTP资源部分与预设正则表达式进行正则匹配,根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
上述方法中,通过对HTTP资源部分与预设正则表达式进行正则匹配的结果,确定所述HTTP响应报文是否含有所述预设防劫持代码,由于正则表达式具有较强的逻辑性和灵活性,因此可以准确检验出是否含有所述预设防劫持代码。
一种可选实施方式中,所述若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文,包括:若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息,则获取基于所述模拟点击操作返回的所述HTTP响应报文。
上述方法中,由于HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息时,该HTTP请求才有出现劫持漏洞的条件,因此这种情况下才获取HTTP响应报文。
一种可选实施方式中,所述根据所述URL确定是否对所述待检测页面执行模拟点击操作,包括:确定所述URL是否在预设URL白名单中,若否,则对所述待检测页面执行模拟点击操作。
上述方法中,通过预设URL白名单,提前过滤掉一部分URL,从而在一定程度上防止误报,提升了点击劫持漏洞的检测准确率。
一种可选实施方式中,所述至少一项结果还包括:所述HTTP响应报文是否包括页面嵌套头部信息。
上述方法中,扩展了检测点击劫持漏洞的另一种结果,页面嵌套头部信息表征了待检测页面的页面嵌套属性,进一步提升了点击劫持漏洞的检测准确率。
第二方面,本申请提供一种点击劫持漏洞检测装置,包括:获取模块,用于获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作;处理模块,用于若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文;根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
一种可选实施方式中,所述HTTP响应报文包括HTTP资源部分,所述处理模块具体用于:按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码:将所述HTTP资源部分与预设正则表达式进行正则匹配,根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
一种可选实施方式中,所述处理模块具体用于:若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息,则获取基于所述模拟点击操作返回的所述HTTP响应报文。
一种可选实施方式中,所述处理模块具体用于:确定所述URL是否在预设URL白名单中,若否,则对所述待检测页面执行模拟点击操作。
一种可选实施方式中,所述至少一项结果还包括:所述HTTP响应报文是否包括页面嵌套头部信息。
上述第二方面及第二方面各个实施例的有益效果,可以参考上述第一方面及第一方面各个实施例的有益效果,这里不再赘述。
第三方面,本申请实施例提供一种计算机设备,包括程序或指令,当所述程序或指令被执行时,用以执行上述第一方面及第一方面各个实施例的方法。
第四方面,本申请实施例提供一种存储介质,包括程序或指令,当所述程序或指令被执行时,用以执行上述第一方面及第一方面各个实施例的方法。
附图说明
图1为本申请实施例提供的一种点击劫持漏洞检测方法的步骤流程示意图;
图2为本申请实施例提供的一种点击劫持漏洞检测方法的预设防劫持代码的示意图;
图3为本申请实施例提供的一种点击劫持漏洞检测方法的具体步骤流程示意图;
图4为本申请实施例提供的一种点击劫持漏洞检测装置的结构示意图。
具体实施方式
为了更好的理解上述技术方案,下面将结合说明书附图及具体的实施方式对上述技术方案进行详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互结合。
金融科技(Fintech)领域中,信息安全重要性不言而喻。在金融交易过程中,一些网页上是存在点击挟持漏洞的,需要将这些点击挟持漏洞检测出来。目前检测点击挟持漏洞方式为人工测试网页,通过人工任意点击网页,测试会不会点击在iframe页面的一些功能性按钮上,来确定一个页面是否存在点击挟持漏洞。然而,人工检测方式下,很难辨别是否点击在iframe页面的一些功能性按钮上还是待检测页面上,很容易出现漏报或误报,检测准确率较低。
为此,本申请实施例提供一种点击劫持漏洞检测方法,图1为本申请实施例提供的一种点击劫持漏洞检测方法的步骤流程示意图。
步骤101:获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作。
需要说明的是,这里对待检测页面的浏览器不做限定,举例来说,无界面浏览器(Headless Browser),Headless Browser是没有图形用户界面(GUI)的网页浏览器,通常是通过编程或命令行界面来控制的,Headless Browser具体可以为Chrome Headless,ChromeHeadless的许多用处之一是自动化可用性测试或测试浏览器交互。可以调用ChromeHeadless进行模拟点击操作等。
步骤102:若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文。
步骤103:根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞。
步骤101中,根据所述URL确定是否对所述待检测页面执行模拟点击操作的具体实施方式可以为:
确定所述URL是否在预设URL白名单中,若否,则对所述待检测页面执行模拟点击操作。
举例来说,预设URL白名单中包括URL1、URL2、URL3。待检测页面A的URL4不在预设URL白名单中,因此对待检测页面A执行模拟点击操作。
上述方法中,通过预设URL白名单,提前过滤掉一部分URL,从而在一定程度上防止误报,提升了点击劫持漏洞的检测准确率。
步骤102中,若确定对所述待检测页面执行模拟点击操作,获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文的一种可选实施方式如下:
若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息,则获取基于所述模拟点击操作返回的所述HTTP响应报文。
需要说明的是,待检测页面的一些相关配置信息作为后台数据存储在后台服务器中,HTTP请求为更改所述待检测页面的后台数据的请求指,用于更改待检测页面的后台数据的请求。
上述方法中,由于HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息时,该HTTP请求才有出现劫持漏洞的条件,因此这种情况下才获取HTTP响应报文。
步骤103中,所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
预设防劫持代码具体形式在此不做限定,举例来说,如图2所示,为本申请实施例提供的一种点击劫持漏洞检测方法的预设防劫持代码的示意图。图2示出的代码在运行时执行以下步骤:
第一步、将待检测页面显示的主体部分设置display为None的层叠样式表(cascading style sheets,CSS)样式。
需要说明的是,display为一个可定义CSS样式的参数,通过对display赋不同的值,可以设置不同的CSS样式。当display设置为None时,可以使待检测页面显示的主体部分不会隐藏在浏览器的待检测页面上,不会被点击控制,按浏览器对代码的渲染顺序,隐藏主体的样式style标签内的代码会首先生效,style为待检测页面的一个属性。
第二步、当浏览器渲染到最后的js代码部分时,script标签内的js代码生效,检查页面是否被嵌套。
需要说明的是,js是JavaScript一种直译式脚本语言。
第三步、如果top和self相等时,说明页面没有被嵌套,则移除原来设置到主体部分的display为None的CSS样式。
其中,top是浏览器提供的变量,表示最外层窗口对象,self是当前窗口对象。
第四步、如果top和self不相等时,则将self.location赋值给top.location,使得js代码将最外层窗口的页面跳转到待检测页面的页面,防止被嵌套。
其中,top.location表示最外层窗口对象的位置,self.location表示当前窗口对象的位置。
所述HTTP响应报文包括HTTP资源部分,按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码:将所述HTTP资源部分与预设正则表达式进行正则匹配,根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
上述方法中,通过对HTTP资源部分与预设正则表达式进行正则匹配的结果,确定所述HTTP响应报文是否含有所述预设防劫持代码,由于正则表达式具有较强的逻辑性和灵活性,因此可以准确检验出是否含有所述预设防劫持代码。
另外,HTTP响应报文包括HTTP头部,可以通过字符串匹配确定是否含有内容安全策略CSP的页面嵌套属性。
需要说明的是,CSP的页面嵌套属性取不同值时,代表不同的属性,举例来说:(1)CSP:frame-ancestors'none'表示不能被嵌套;(2)CSP:frame-ancestors'self';只能被本站点嵌套;(3)CSP:frame-ancestors'self'*.somesite.com';其中,*.somesite.com可以指示被嵌套的站点的域名协议端口等信息。
需要说明的是,上述至少一项结果还可以包括:所述HTTP响应报文是否包括页面嵌套头部信息。上述方法中,扩展了检测点击劫持漏洞的另一种结果,页面嵌套头部信息表征了待检测页面的页面嵌套属性,进一步提升了点击劫持漏洞的检测准确率,也可以通过字符串匹配确定是否含有页面嵌套头部信息。举例来说,页面嵌套头部信息可以为X-Frame-Options头部。
具体地,X-Frame-Options取不同值时,有以下结果:X-Frame-Options:DENY:不允许被嵌套;X-Frame-Options:SAMEORIGIN:可以被同源站点嵌套;X-Frame-Options:ALLOW-FROM uri;指定可以被嵌套的页面。由于X-Frame-Options这个页面嵌套头部信息目前还不被一些浏览器支持,因此一些情况下需要结合CSP的页面嵌套属性确定点击劫持漏洞。
步骤101~步骤103所述的方法中,首先获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作,若确定对所述待检测页面执行模拟点击操作,则获取HTTP响应报文,并根据所述HTTP响应报文中的至少一项结果确定是否存在点击劫持漏洞;从而根据所述URL减少了点击劫持漏洞的一部分漏报,另外,对所述待检测页面进行点击劫持漏洞时,通过对所述待检测页面执行模拟点击操作的至少一项结果确定所述待检测页面是否存在点击劫持漏洞,而CSP的页面嵌套属性,表征了待检测页面能否被iframe页面嵌套,另外再结合用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码,全面考虑了待检测页面是否存在点击劫持漏洞,从而提升了检测准确率。
下面结合图3,详细介绍本申请实施例提供的一种点击劫持漏洞检测方法,图3为该方法的具体步骤流程示意图。
步骤301:获取待检测页面的URL。
步骤302:确定待检测页面的URL是否在预设白名单中。
若是,则执行步骤310;否则,执行步骤303。
步骤303:进行模拟点击操作,触发HTTP请求。
举例来说,调用Chrome Headless的JavaScript进行模拟点击操作。
步骤304:确定HTTP请求是否满足预设条件:HTTP请求为更新待检测页面的后台数据的请求,且HTTP请求包括登录态信息。
若是,则执行步骤305;否则,执行步骤310。
步骤305:获取HTTP响应报文。
HTTP响应报文为响应待检测页面的HTTP请求的响应报文。
步骤305执行之后,执行步骤306~步骤308中至少一个步骤。
步骤306:确定HTTP响应报文是否包含页面嵌套头部信息。
步骤307:确定HTTP响应报文是否包含CSP策略的页面嵌套属性。
步骤308:确定HTTP响应报文是否包含预设防劫持代码。
需要说明的是,可以同时执行步骤306~步骤308中至少一个步骤,步骤306~步骤308之间不受影响。
若步骤306~步骤308中执行的至少一个步骤中有步骤的确定结果为是,则执行步骤310;否则执行步骤309。
步骤309:确定待检测页面有点击劫持漏洞。
步骤310:确定待检测页面无点击劫持漏洞。
根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
比较已有技术和本申请中方法对200个域名的主页进行测试,结果如表1所示:
| 检测总量 | 检出个数 | 漏报个数 | 误报个数 | |
| 现有技术 | 200 | 115 | 12 | 33 |
| 本申请 | 200 | 91 | 7 | 4 |
表1
可以发现本申请方法下准确率提高很多,相对来说极大降低了误报率,上述对这些漏报误报情况可以通过设置黑白名单的方式改进,减少安全人员的人工审核时间。
如图4所示,为本申请实施例提供的一种点击劫持漏洞检测装置的结构示意图。
本申请提供一种点击劫持漏洞检测装置,包括:获取模块401,用于获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作;处理模块402,用于若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文;根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
一种可选实施方式中,所述HTTP响应报文包括HTTP资源部分,所述处理模块402具体用于:按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码:将所述HTTP资源部分与预设正则表达式进行正则匹配,根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
一种可选实施方式中,所述处理模块402具体用于:若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息,则获取基于所述模拟点击操作返回的所述HTTP响应报文。
一种可选实施方式中,所述处理模块402具体用于:确定所述URL是否在预设URL白名单中,若否,则对所述待检测页面执行模拟点击操作。
一种可选实施方式中,所述至少一项结果还包括:所述HTTP响应报文是否包括页面嵌套头部信息。
上述装置各个实施例的有益效果,可以参考本申请提供的一种点击劫持漏洞方法的有益效果,这里不再赘述。
本申请实施例提供一种计算机设备,包括程序或指令,当所述程序或指令被执行时,用以执行本申请提供的一种点击劫持漏洞方法以及各个实施例的方法。
本申请实施例提供一种存储介质,包括程序或指令,当所述程序或指令被执行时,用以执行本申请提供的一种点击劫持漏洞方法以及各个实施例的方法。
最后应说明的是:本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (12)
1.一种点击劫持漏洞检测方法,其特征在于,包括:
获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作;
若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文;
根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
2.如权利要求1所述的方法,其特征在于,所述HTTP响应报文包括HTTP资源部分,按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码:
将所述HTTP资源部分与预设正则表达式进行正则匹配,根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
3.如权利要求1所述的方法,其特征在于,所述若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文,包括:
若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息,则获取基于所述模拟点击操作返回的所述HTTP响应报文。
4.如权利要求1所述的方法,其特征在于,所述根据所述URL确定是否对所述待检测页面执行模拟点击操作,包括:
确定所述URL是否在预设URL白名单中,若否,则对所述待检测页面执行模拟点击操作。
5.如权利要求1-4任一所述的方法,其特征在于,所述至少一项结果还包括:所述HTTP响应报文是否包括页面嵌套头部信息。
6.一种点击劫持漏洞检测装置,其特征在于,包括:
获取模块,用于获取待检测页面的统一资源定位符URL,并根据所述URL确定是否对所述待检测页面执行模拟点击操作;
处理模块,用于若确定对所述待检测页面执行模拟点击操作,则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文;根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞;所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性,或,所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
7.如权利要求6所述的装置,其特征在于,所述HTTP响应报文包括HTTP资源部分,所述处理模块具体用于:
按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码:
将所述HTTP资源部分与预设正则表达式进行正则匹配,根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
8.如权利要求6所述的装置,其特征在于,所述处理模块具体用于:
若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求,且所述HTTP请求中含有登陆态信息,则获取基于所述模拟点击操作返回的所述HTTP响应报文。
9.如权利要求6所述的装置,其特征在于,所述处理模块具体用于:
确定所述URL是否在预设URL白名单中,若否,则对所述待检测页面执行模拟点击操作。
10.如权利要求6-9任一所述的装置,其特征在于,所述至少一项结果还包括:所述HTTP响应报文是否包括页面嵌套头部信息。
11.一种计算机设备,其特征在于,包括程序或指令,当所述程序或指令被执行时,如权利要求1至5中任意一项所述的方法被执行。
12.一种存储介质,其特征在于,包括程序或指令,当所述程序或指令被执行时,如权利要求1至5中任意一项所述的方法被执行。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910540302.0A CN110278207B (zh) | 2019-06-21 | 2019-06-21 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
| PCT/CN2020/085723 WO2020253351A1 (zh) | 2019-06-21 | 2020-04-20 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910540302.0A CN110278207B (zh) | 2019-06-21 | 2019-06-21 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110278207A true CN110278207A (zh) | 2019-09-24 |
| CN110278207B CN110278207B (zh) | 2023-04-07 |
Family
ID=67961260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910540302.0A Active CN110278207B (zh) | 2019-06-21 | 2019-06-21 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110278207B (zh) |
| WO (1) | WO2020253351A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111130993A (zh) * | 2019-11-22 | 2020-05-08 | 北京知道创宇信息技术股份有限公司 | 一种信息提取的方法及装置、可读存储介质 |
| WO2020253351A1 (zh) * | 2019-06-21 | 2020-12-24 | 深圳前海微众银行股份有限公司 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
| CN113158187A (zh) * | 2021-03-26 | 2021-07-23 | 杭州数梦工场科技有限公司 | 检测点击劫持的方法及装置、电子设备 |
| CN113162937A (zh) * | 2021-04-25 | 2021-07-23 | 中国工商银行股份有限公司 | 应用安全自动化检测方法、系统、电子设备及存储介质 |
| CN115695050A (zh) * | 2022-12-31 | 2023-02-03 | 北京仁科互动网络技术有限公司 | 点击劫持攻击的防范方法、装置、电子设备及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884730B (zh) * | 2022-05-07 | 2023-12-29 | 深信服科技股份有限公司 | 一种请求检测方法、装置、设备及可读存储介质 |
| CN116644250B (zh) * | 2023-07-27 | 2023-10-20 | 太平金融科技服务(上海)有限公司 | 页面检测方法、装置、计算机设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486140A (zh) * | 2014-11-28 | 2015-04-01 | 华北电力大学 | 一种检测网页被劫持的装置及其检测方法 |
| US9015844B1 (en) * | 2012-06-25 | 2015-04-21 | Symantec Corporation | Techniques for web application vulnerability scanning |
| CN104767747A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 点击劫持安全检测方法和装置 |
| CN105245518A (zh) * | 2015-09-30 | 2016-01-13 | 小米科技有限责任公司 | 网址劫持的检测方法及装置 |
| CN107819639A (zh) * | 2016-09-14 | 2018-03-20 | 西门子公司 | 一种测试方法和装置 |
| CN109672658A (zh) * | 2018-09-25 | 2019-04-23 | 平安科技(深圳)有限公司 | Json劫持漏洞的检测方法、装置、设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8856869B1 (en) * | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
| CN107968769A (zh) * | 2016-10-19 | 2018-04-27 | 中兴通讯股份有限公司 | 网页安全检测方法及装置 |
| CN110278207B (zh) * | 2019-06-21 | 2023-04-07 | 深圳前海微众银行股份有限公司 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
-
2019
- 2019-06-21 CN CN201910540302.0A patent/CN110278207B/zh active Active
-
2020
- 2020-04-20 WO PCT/CN2020/085723 patent/WO2020253351A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015844B1 (en) * | 2012-06-25 | 2015-04-21 | Symantec Corporation | Techniques for web application vulnerability scanning |
| CN104486140A (zh) * | 2014-11-28 | 2015-04-01 | 华北电力大学 | 一种检测网页被劫持的装置及其检测方法 |
| CN104767747A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 点击劫持安全检测方法和装置 |
| CN105245518A (zh) * | 2015-09-30 | 2016-01-13 | 小米科技有限责任公司 | 网址劫持的检测方法及装置 |
| CN107819639A (zh) * | 2016-09-14 | 2018-03-20 | 西门子公司 | 一种测试方法和装置 |
| CN109672658A (zh) * | 2018-09-25 | 2019-04-23 | 平安科技(深圳)有限公司 | Json劫持漏洞的检测方法、装置、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020253351A1 (zh) * | 2019-06-21 | 2020-12-24 | 深圳前海微众银行股份有限公司 | 一种点击劫持漏洞检测方法、装置及计算机设备 |
| CN111130993A (zh) * | 2019-11-22 | 2020-05-08 | 北京知道创宇信息技术股份有限公司 | 一种信息提取的方法及装置、可读存储介质 |
| CN113158187A (zh) * | 2021-03-26 | 2021-07-23 | 杭州数梦工场科技有限公司 | 检测点击劫持的方法及装置、电子设备 |
| CN113162937A (zh) * | 2021-04-25 | 2021-07-23 | 中国工商银行股份有限公司 | 应用安全自动化检测方法、系统、电子设备及存储介质 |
| CN115695050A (zh) * | 2022-12-31 | 2023-02-03 | 北京仁科互动网络技术有限公司 | 点击劫持攻击的防范方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110278207B (zh) | 2023-04-07 |
| WO2020253351A1 (zh) | 2020-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110278207A (zh) | 一种点击劫持漏洞检测方法、装置及计算机设备 | |
| Choudhary et al. | Crosscheck: Combining crawling and differencing to better detect cross-browser incompatibilities in web applications | |
| Pellegrino et al. | jäk: Using dynamic analysis to crawl and test modern web applications | |
| CN105488398B (zh) | Web应用程序行为提取方法和恶意行为检测方法 | |
| US9003235B2 (en) | Indicating coverage of web application testing | |
| CN104881608B (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
| CN108763928A (zh) | 一种开源软件漏洞分析方法、装置和存储介质 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN102436563B (zh) | 一种检测页面篡改的方法及装置 | |
| CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
| US20160078146A1 (en) | Analyzing structure of web application | |
| EP4244743A1 (en) | Techniques for clickstream tracking across browser tabs | |
| CN106951784B (zh) | 一种面向XSS漏洞检测的Web应用逆向分析方法 | |
| CN104881607A (zh) | 一种基于模拟浏览器行为的xss漏洞检测系统 | |
| US11436133B2 (en) | Comparable user interface object identifications | |
| CN108846286A (zh) | 跨站脚本漏洞检测方法及装置 | |
| CN105868290A (zh) | 一种展现搜索结果的方法及装置 | |
| CN109672658A (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
| Li et al. | The application of fuzzing in web software security vulnerabilities test | |
| CN109428776A (zh) | 一种网站流量的监控方法及装置 | |
| Zhu et al. | Detecting privilege escalation attacks through instrumenting web application source code | |
| Zhao et al. | Suzzer: A vulnerability-guided fuzzer based on deep learning | |
| CN103581321B (zh) | 一种refer链的创建方法、装置及安全检测方法和客户端 | |
| CN109684844B (zh) | 一种webshell检测方法、装置以及计算设备、计算机可读存储介质 | |
| Yin et al. | A web application runtime application self-protection scheme against script injection attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |