CN114298684A - 电子邮件安全检测方法、装置、电子设备及存储介质 - Google Patents
电子邮件安全检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114298684A CN114298684A CN202111635035.9A CN202111635035A CN114298684A CN 114298684 A CN114298684 A CN 114298684A CN 202111635035 A CN202111635035 A CN 202111635035A CN 114298684 A CN114298684 A CN 114298684A
- Authority
- CN
- China
- Prior art keywords
- xss
- detected
- load
- splitting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 66
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000002955 isolation Methods 0.000 claims abstract description 23
- 238000013515 script Methods 0.000 claims abstract description 15
- 238000004088 simulation Methods 0.000 claims description 25
- 241000700605 Viruses Species 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 235000014510 cooky Nutrition 0.000 description 5
- 238000001784 detoxification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及网络安全技术领域,公开了一种电子邮件安全检测方法、装置、电子设备及存储介质,可以精准地检测出电子邮件中的恶意XSS载荷,避免邮箱用户受到XSS攻击,该方法包括:获取待检测电子邮件,按照预设拆分方式将所述待检测电子邮件拆分成多个部分;按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷;若检测出XSS载荷,则将所述待检测电子邮件转存到邮件隔离区。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种电子邮件安全检测方法、装置、电子设备及存储介质。
背景技术
随着互联网应用的越来越广泛,邮件安全问题成了人们日益关注的问题。在现有的多种威胁邮件安全的攻击方法中,跨站脚本攻击(XSS,Cross Site Scripting)是一种目标用户在当前已登录的Web邮箱上执行非本意的操作的攻击方法,攻击者只要利用web邮箱的前端XSS漏洞,就能迫使用户去执行攻击者选择的操作。例如,如果用户登录过web邮箱,并且查看过包含XSS恶意脚本的邮件,他的邮箱认证COOKIE或者其他信息就会被攻击者获得,从而使攻击者不需要用户的口令就可以直接登录用户邮箱。并且,邮箱的XSS漏洞一般都是存储型的,完全可以在用户无感应的情况下,将用户的浏览器进行劫持,用来进行挖矿或者其他恶意行为。
发明内容
本申请实施例提供一种电子邮件安全检测方法、装置、电子设备及存储介质,可以精准地检测出电子邮件中的恶意XSS载荷,避免邮箱用户受到XSS攻击。
一方面,本申请实施例提供了一种电子邮件安全检测方法,包括:
获取待检测电子邮件,按照预设拆分方式将所述待检测电子邮件拆分成多个部分;
按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷;
若检测出XSS载荷,则将所述待检测电子邮件转存到邮件隔离区。
可选地,所述按照预设拆分方式将所述待检测电子邮件拆分成多个部分,包括:
对所述待检测电子邮件进行解析,并基于解析结果将所述待检测电子邮件拆分成邮件头、邮件标题、邮件正文和邮件附件。
可选地,所述按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷,包括:
检测邮件头的预设标识符内里是否含有XSS载荷;
对邮件标题包含的JS代码进行模拟执行,若模拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷;
对邮件正文中包含的JS代码进行模拟执行,若拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷;
对邮件附件的名称中包含的JS代码进行模拟执行,并对邮件附件的附件内容进行病毒检测,基于模拟执行结果和病毒检测结果确定邮件附件中是否包含XSS载荷。
可选地,所述方法还包括:
对包含XSS载荷的部分进行无害化处理;
对无害化处理后所述待检测电子邮件的各部分进行重组,以获得安全电子邮件;
将所述安全电子邮件发送至目标邮箱服务器。
可选地,所述对包含XSS载荷的部分进行无害化处理,包括:
从包含XSS载荷的部分中提取出邮件展示内容,基于所述邮件展示内容生成该部分对应的无害化处理结果。
可选地,所述方法还包括:
若检测出XSS载荷,则生成针对所述待检测电子邮件的告警邮件,并将所述告警邮件发送至所述目标邮箱服务器。
可选地,所述方法还包括:
若未检测出XSS载荷,则将所述待检测电子邮件转发给目标邮箱服务器。
一方面,本申请一实施例提供了一种电子邮件安全检测装置,包括:
邮件拆分模块,用于获取待检测电子邮件,按照预设拆分方式将所述待检测电子邮件拆分成多个部分;
邮件检测模块,用于按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷;
邮件隔离模块,用于若检测出XSS载荷,则将所述待检测电子邮件转存到邮件隔离区。
一方面,本申请一实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现上述任一种方法的步骤。
一方面,本申请一实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,本申请一实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种TCP传输性能的控制的各种可选实现方式中提供的方法。
本申请实施例提供的电子邮件安全检测方法、装置、电子设备及存储介质,通过对电子邮件的细化拆分,并对每部分有针对性地进行安全检测,从而更全面精细地检测电子邮件否存在遭受XSS攻击的风险,提高安全检测的精准度和准确率,并通过行为和模拟执行结果来判断邮件是否存在XSS载荷,可以避免攻击者通过规则绕过手段避开防护体系。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的电子邮件安全检测方法的应用场景示意图;
图2为本申请实施例提供的电子邮件安全检测方法的流程示意图;
图3为本申请实施例提供的电子邮件安全检测装置的结构示意图;
图4为本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本申请,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
为了方便理解,下面对本申请实施例中涉及的名词进行解释:
XSS:Cross Site Scripting的简写,即跨站脚本攻击,指利用网站漏洞从用户那里恶意盗取信息。
JS:javascript的简写,是一种具有函数优先的轻量级、解释型或即时编译型的编程语言。
COOKIE:是存储于网站访问者的计算机中的认证变量。
附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
在具体实践过程中,针对XSS攻击,web邮箱的研发者会通过优化代码安全等手段进行防护,但这种方式对XSS防御很被动,因为XSS攻击脚本体量小变化多,并且特征并不统一。对现存的邮件服务器,现有技术中存在的解决方案大多针对的都是广域性XSS类型攻击,不能全面、有针对性地对电子邮件携带的XSS攻击进行检测、告警或拦截。因此,需要一种针对电子邮件本身进行安全检测、分析的方法,从而使邮箱用户受到更全面的安全防护,免受电子邮件XSS攻击。
为此,本申请提供了一种电子邮件安全检测方法,先对电子邮件进行细化拆分,再结合拆分后每个部分可能存在的漏洞和遭受的攻击,对每个部分有针对性地进行安全检测,从而更全面精细地检测各部分是否存在遭受XSS攻击的风险,提高安全检测的精准度,并将含有恶意XSS载荷的电子邮件存储到邮件隔离区内,不会直接将邮件发送给用户,避免邮箱用户受到XSS攻击。此外,与现有技术中采用的正则匹配的检测方式相比,本申请提供的安全检测方法主要通过行为和模拟执行结果来判断邮件各部分是否存在XSS载荷,这样防止新型XSS载荷绕过正则匹配规则。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
参考图1,其为本申请实施例提供的电子邮件安全检测方法的应用场景示意图。该应用场景包括多台终端设备101、第一邮件服务器102和第二邮件服务器103,终端设备101、第一邮件服务器102和第二邮件服务器103之间通过无线或有线网络连接。终端设备101包括但不限于桌面计算机、移动电话、移动电脑、平板电脑、智能可穿戴设备等电子设备。第一邮件服务器102和第二邮件服务器103可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
假设攻击者使用的邮箱账号为attacker@a.com,攻击者使用其中一台终端设备101向邮箱账号为target@b.com的受害者发送一封含有XSS载荷的电子邮件。攻击者发送的电子邮件先发送至第一邮件服务器102,第一邮件服务器102根据收件人的邮箱账号将该电子邮件转发至第二邮件服务器103,第二邮件服务器103再将该邮件发送给受害人,受害人可通过其使用的终端设备101登录邮箱并查看该电子邮件。假如攻击者的目的是获取受害人邮箱的cookie以及口令,那么攻击者会在该电子邮件中嵌入两段不同功能的JS代码,其一是在受害者查看邮件时触发XSS载荷,以将邮箱cookie通过网络请求包发送至攻击者搭建好的接收后台,其二是发送完成后让受害者的浏览器重定向至另一个模拟正常邮箱崩溃界面的钓鱼页面,以模拟邮箱报错让受害者重新登录的情形,从而诱导受害者在钓鱼页面内输入邮箱密码等隐私信息,在用户和邮箱服务器没有安全检测和防御的措施情况下,用户将丢失自己的邮箱cookie和口令等,使攻击者可以登录用户邮箱,获取用户的邮件内容和通讯列表等。为此,可在第一邮件服务器102或第二邮件服务器103内植入针对电子邮件安全检测程序,对邮箱服务器接收到的电子邮件进行安全检测,将安全的电子邮件转发给对应的用户,而将包含XSS载荷的恶意电子邮件转存到邮箱服务器的邮件隔离区,避免邮箱用户受到XSS攻击。
当然,本申请实施例提供的方法并不限用于图1所示的应用场景中,还可以用于其它可能的应用场景,本申请实施例并不进行限制。对于图1所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。
需要说明的是,本申请实施例提供的电子邮件安全检测方法可应用在邮件发送方对应的邮箱服务器中,也可应用在邮件接收方对应的邮箱服务器中,还可以应用在邮件接收方使用的终端设备中。下面主要以在邮件发送方对应的邮箱服务器中应用为主,结合图1所示的应用场景,对本申请实施例提供的技术方案进行说明。
参考图2,本申请实施例提供一种电子邮件安全检测方法,可应用于邮件发送方的邮箱服务器,包括以下步骤:
S201、获取待检测电子邮件,按照预设拆分方式将待检测电子邮件拆分成多个部分。
具体实施时,可按照电子邮件自身特征将电子邮件拆分成邮件头、邮件标题、邮件正文和邮件附件这四个部分。具体地,可先对待检测电子邮件进行解析,以获得电子邮件对应的代码,并从解析获得的代码中提取出邮件头、邮件标题、邮件正文和邮件附件分别对应的代码,从而将待检测电子邮件拆分成邮件头、邮件标题、邮件正文和邮件附件这四个部分,进而利用不同的检测机制,对每部分的代码中可能包含的攻击载荷进行精准检测。
S202、按照拆分后每个部分对应的检测方式,检测每部分中是否包含XSS载荷。
具体实施时,可结合电子邮件中各个部分可能存在的漏洞和遭受的攻击,制定出每部分独有的检测方法,从而更精准地检测各部分中是否包含XSS载荷。
针对邮件头,可检测邮件头的预设标识符内里是否含有XSS载荷。例如,邮件头中能够植入攻击载荷的标识符包括From、CC、BCC、X-Mailer、Received等,为此可在邮件头对应的代码中定位到上述这些标识符,并检测这些标识符内是否含有XSS载荷。若邮件头的预设标识符内里含有XSS载荷,则表明待检测电子邮件存在XSS风险。
一些邮箱服务器对邮件标题的长度和特殊符号(例如’<’,#等)没有做限制,使攻击者可以在邮件标题处插入XSS载荷。为此,针对邮件标题,可对邮件标题包含的JS代码进行模拟执行,若模拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷。
具体地,先检测邮件标题对应的代码中是否包含JS代码,若不包含JS代码,则表明邮件标题不存在风险;若包含JS代码,则利用模拟器运行上述检测出的JS代码,并获取模拟执行结果,模拟执行结果包括:JS代码是否可以完整执行、JS代码执行后是否向域外发送web请求、web请求的IP或者域名是否在预设的威胁引擎库中等,然后基于模型执行结果判断邮件标题中的JS代码是否为XSS载荷。
针对邮件正文,可对邮件正文中包含的JS代码进行模拟执行,若拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷。
由于邮件正文往往包含多种类型的数据,为此可先将邮件正文中不可能被插入JS脚本的内容(例如图片)过滤掉,然后对可能被插入JS脚本的内容(如html类型的标签元素)进行检测。以html类型的标签元素为例,先检测html的各个标签元素中是否包含JS脚本,特别是可以触发执行JS脚本的标签元素,例如<img>标签的onerror事件,再利用模拟器对含有JS脚本的代码进行模拟执行,模拟执行结果包括:JS代码是否可以完整执行、JS代码执行后是否向域外发送web请求、web请求的IP或者域名是否在预设的威胁引擎库中等,然后基于模型执行结果判断邮件标题中的JS代码是否为XSS载荷。
由于邮箱服务器往往会直接在邮件页面中加载并显示邮件附件的名称,因此,邮件附件的名称这往往也是攻击者插入XSS载荷的位置。为此,针对邮件附件,可对邮件附件的名称中包含的JS代码进行模拟执行,并对邮件附件进行病毒检测,基于模拟执行结果和病毒检测结果确定邮件附件中是否包含XSS载荷。
具体地,可检测邮件附件的名称中是否包含JS脚本;若邮件附件的名称中包含JS脚本,则利用模拟器运行检测出的JS代码,并获取模拟执行结果,模拟执行结果包括:JS代码是否可以完整执行、JS代码执行后是否向域外发送web请求、web请求的IP或者域名是否在预设的威胁引擎库中等,然后基于模型执行结果判断邮件标题中的JS代码是否为XSS载荷;若邮件附件的名称中不包含JS脚本,则对附件内容进行病毒检测,若附件内容中存在病毒,则确定邮件附件存在XSS载荷,否则确定邮件附件这部分不存在风险。
当然,也可以同时对邮件附件的名称和附件内容进行检测,只要其中至少一项存在安全隐患,则认定邮件附件这部分存在安全风险。
本申请实施例中,用于判断的预设条件可根据实际场景进行设定,例如,若JS代码可以完整执行且JS代码执行后向域外发送web请求,则认为邮件标题中包含XSS载荷;或者,若JS代码可以完整执行、且JS代码执行后向域外发送web请求、且web请求的IP或者域名在预设的威胁引擎库中,则认为邮件标题中包含XSS载荷。
本申请实施例中的模拟器为在其它的运行环境中运行的虚拟终端设备,通过模拟器实现对JS代码的模拟执行,从而获得JS代码在终端设备上运行时产生的数据。
S203、若检测出XSS载荷,则将待检测电子邮件转存到邮件隔离区。
具体实施时,邮箱服务器内可设置用于存放可疑邮件的邮件隔离区,将通过步骤S202的检测方式检测出的含有XSS载荷的电子邮件存放至邮件隔离区,使得用户接触不到具有安全隐患的电子邮件。
具体实施时,邮箱服务器在将电子邮件存放至邮件隔离区后,可通过其它更专业的安全漏洞检测工具对邮件隔离区的电子邮件进行详细的排查,或者通知工作人员对电子邮件进行人工检测,以确定该邮件是否真的存在安全漏洞。如果确定邮件隔离区的电子邮件不存在安全漏洞,可以将该电子邮件转发给对应的目标邮箱服务器,这样用户就可以正常查收该电子邮件。
S204、若未检测出XSS载荷,则将待检测电子邮件转发给目标邮箱服务器。
其中,目标邮箱服务器是指待检测电子邮件中的收件人地址所对应的邮件服务器。
基于上述电子邮件安全检测方法,使得攻击者发送的电子邮件先被导向至电子邮件安全检测程序,通过电子邮件安全检测程序将该电子邮件精确拆分,并对拆分出的每个部分的内容中含有的JS代码进行动态解析和模拟执行,如发现有XSS载荷这类恶意攻击行为,立即将电子邮件存储至邮件隔离区,避免邮箱用户受到XSS攻击。本申请实施例提供的电子邮件安全检测方法,通过对电子邮件的细化拆分,并对每部分有针对性地进行安全检测,从而更全面精细地检测电子邮件否存在遭受XSS攻击的风险,提高了安全检测的精准度和准确率,并通过行为和模拟执行结果来判断邮件是否存在XSS载荷,可以避免攻击者通过规则绕过手段避开防护体系。此外,由于只需要在邮件服务器内植入电子邮件安全检测程序,无需修改邮件服务器代码,因此,本申请实施例提供的电子邮件安全检测方法可高效便捷地应用到各类邮件服务器中。
实际应用中,攻击者可以截获正常的电子邮件,并在该电子邮件中添加XSS载荷后转发给邮箱服务器。为了避免用户错过重要邮件,在上述任一实施方式的基础上,可对含有恶意XSS载荷的电子邮件进行无害化处理,以去除电子邮件内的恶意XSS载荷,将无害化处理后的电子邮件转发给用户,在用户正常查收邮件的同时,保证邮箱用户的安全。
具体地,可对电子邮件中包含XSS载荷的部分进行无害化处理;对无害化处理后待检测电子邮件的各部分进行重组,以获得安全电子邮件;将安全电子邮件发送至目标邮箱服务器。
具体实施时,可通过如下方式对包含XSS载荷的部分进行无害化处理:从包含XSS载荷的部分中提取出邮件展示内容,基于邮件展示内容生成该部分对应的无害化处理结果。其中,邮件展示内容是指在终端设备上打开电子邮件时展示给用户的文字、图片等信息,即用户所能看到的内容,包括邮件标题、发件人、邮件正文内容、附件名称等,不包括后台数据。
具体地,可仅基于邮件展示内容,按照邮件格式重新生成电子邮件,从而过滤掉其中的XSS载荷,将新生成的电子邮件发送至目标邮箱服务器。或者,对于邮件正文这部分,可以直接生成待展示的邮件正文内容对应的截图,用该截图替换原始电子邮件中的正文内容,这样用户在打开该电子邮件后,只能看到内容对应的截图,而无法触发XSS攻击。
需要说明的是,对于包含XSS载荷的部分,必须进行无害化处理;对于不包含XSS载荷的部分,可以进行无害化处理,也可以不进行无害化处理。当选择对不包含XSS载荷的部分不进行无害化处理时,将包含XSS载荷的部分对应的无害化处理结果和不包含XSS载荷的部分进行重组,以获得安全电子邮件。当选择对不包含XSS载荷的部分进行无害化处理时,对各部分的无害化处理结果进行重组,以获得安全电子邮件。
在上述任一实施方式的基础上,本申请实施例的电子邮件安全方法还包括如下步骤:若检测出XSS载荷,则生成针对待检测电子邮件的告警邮件,并将告警邮件发送至目标邮箱服务器。
具体实施时,可在将待检测电子邮件存储到邮件隔离区之后,向目标邮箱服务器发送针对该待检测电子邮件的告警邮件,这样用户就可以通过告警邮件获知未收到该电子邮件的具体情况。或者,可在将待检测电子邮件对应的安全电子邮件发送至目标邮箱服务器时,一并向目标邮箱服务器发送告警邮件,以提醒用户该电子邮件所存在安全风险。
本申请实施例提供的电子邮件安全检测方法还可以应用于邮件接收方对应的邮箱服务器,具体包括以下步骤:获取待检测电子邮件,按照预设拆分方式将待检测电子邮件拆分成多个部分;按照拆分后每个部分对应的检测方式,检测每部分中是否包含XSS载荷;若检测出XSS载荷,则将待检测电子邮件转存到邮件隔离区;若未检测出XSS载荷,则将待检测电子邮件推送给待检测电子邮件对应的邮件接收方。此处的待检测电子邮件是指邮箱服务器需要转发给终端设备的电子邮件,将存在安全隐患的电子邮件存入邮件隔离区,将不存在安全隐患的电子邮件推送给邮件接收方。
电子邮件安全检测方法在邮件接收方对应的邮箱服务器中更为详细的具体实现方式,可参考电子邮件安全检测方法在邮件发送方对应的邮箱服务器中的实施例,不再赘述。
本申请实施例提供的电子邮件安全检测方法还可以应用于终端设备,具体包括以下步骤:获取待检测电子邮件,按照预设拆分方式将待检测电子邮件拆分成多个部分;按照拆分后每个部分对应的检测方式,检测每部分中是否包含XSS载荷;若检测出XSS载荷,则将待检测电子邮件转存到邮件隔离区。此处的待检测电子邮件是指邮箱服务器转发给终端设备的电子邮件,终端设备内可以设置邮件隔离区,用以存放存在安全隐患的邮件,还可以生成针对该电子邮件的告警信息,提醒用户不要随意打开该电子邮件。
电子邮件安全检测方法在终端设备中更为详细的具体实现方式,可参考电子邮件安全检测方法在邮箱服务器中的实施例,不再赘述。
如图3所示,基于与上述电子邮件安全检测方法相同的发明构思,本申请实施例还提供了一种电子邮件安全检测装置30,包括:
邮件拆分模块301,用于获取待检测电子邮件,按照预设拆分方式将所述待检测电子邮件拆分成多个部分;
邮件检测模块302,用于按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷;
邮件隔离模块303,用于若检测出XSS载荷,则将所述待检测电子邮件转存到邮件隔离区。
可选地,电子邮件安全检测装置30还包括邮件转发模块304,用于若未检测出XSS载荷,则将所述待检测电子邮件转发给目标邮箱服务器。
可选地,所述邮件拆分模块301具体用于:对所述待检测电子邮件进行解析,并基于解析结果将所述待检测电子邮件拆分成邮件头、邮件标题、邮件正文和邮件附件。
可选地,所述邮件检测模块302具体用于:检测邮件头的预设标识符内里是否含有XSS载荷;对邮件标题包含的JS代码进行模拟执行,若模拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷;对邮件正文中包含的JS代码进行模拟执行,若拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷;对邮件附件的名称中包含的JS代码进行模拟执行,并对邮件附件的附件内容进行病毒检测,基于模拟执行结果和病毒检测结果确定邮件附件中是否包含XSS载荷。
可选地,所述电子邮件安全检测装置30还包括无害化处理模块305,用于:对包含XSS载荷的部分进行无害化处理;对无害化处理后所述待检测电子邮件的各部分进行重组,以获得安全电子邮件。相应地,邮件转发模块304还用于:将无害化处理模块生成的安全电子邮件发送至目标邮箱服务器。
可选地,所述无害化处理模块305具体用于:从包含XSS载荷的部分中提取出邮件展示内容,基于所述邮件展示内容生成该部分对应的无害化处理结果。
可选地,所述电子邮件安全检测装置30还包括告警模块306,用于若检测出XSS载荷,则生成针对所述待检测电子邮件的告警邮件,并将所述告警邮件发送至所述目标邮箱服务器。
本申请实施例提的电子邮件安全检测装置与上述电子邮件安全检测方法采用了相同的发明构思,能够取得相同的有益效果,在此不再赘述。
基于与上述电子邮件安全检测方法相同的发明构思,本申请实施例还提供了一种电子设备,该电子设备具体(可以为智能设备内部的控制设备或控制系统,也可以是与智能设备通信的外部设备,如)可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、服务器等。如图4所示,该电子设备40可以包括处理器401和存储器402。
处理器401可以是通用处理器,例如中央处理器(CPU)、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器402作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器402还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;上述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于:移动存储设备、随机存取存储器(RAM,Random Access Memory)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、随机存取存储器(RAM,Random Access Memory)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种电子邮件安全检测方法,其特征在于,包括:
获取待检测电子邮件,按照预设拆分方式将所述待检测电子邮件拆分成多个部分;
按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷;
若检测出XSS载荷,则将所述待检测电子邮件转存到邮件隔离区。
2.根据权利要求1所述的方法,其特征在于,所述按照预设拆分方式将所述待检测电子邮件拆分成多个部分,包括:
对所述待检测电子邮件进行解析,并基于解析结果将所述待检测电子邮件拆分成邮件头、邮件标题、邮件正文和邮件附件。
3.根据权利要求2所述的方法,其特征在于,所述按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷,包括:
检测邮件头的预设标识符内里是否含有XSS载荷;
对邮件标题包含的JS代码进行模拟执行,若模拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷;
对邮件正文中包含的JS代码进行模拟执行,若拟执行结果满足预设条件,则确定邮件标题中包含XSS载荷;
对邮件附件的名称中包含的JS代码进行模拟执行,并对邮件附件的附件内容进行病毒检测,基于模拟执行结果和病毒检测结果确定邮件附件中是否包含XSS载荷。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
对包含XSS载荷的部分进行无害化处理;
对无害化处理后所述待检测电子邮件的各部分进行重组,以获得安全电子邮件;
将所述安全电子邮件发送至目标邮箱服务器。
5.根据权利要求4所述的方法,其特征在于,所述对包含XSS载荷的部分进行无害化处理,包括:
从包含XSS载荷的部分中提取出邮件展示内容,基于所述邮件展示内容生成该部分对应的无害化处理结果。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
若检测出XSS载荷,则生成针对所述待检测电子邮件的告警邮件,并将所述告警邮件发送至所述目标邮箱服务器。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
若未检测出XSS载荷,则将所述待检测电子邮件转发给目标邮箱服务器。
8.一种电子邮件安全检测装置,其特征在于,包括:
邮件拆分模块,用于获取待检测电子邮件,按照预设拆分方式将所述待检测电子邮件拆分成多个部分;
邮件检测模块,用于按照拆分后每个部分对应的检测方式,检测每部分中是否包含跨站脚本攻击XSS载荷;
邮件隔离模块,用于若检测出XSS载荷,则将所述待检测电子邮件转存到邮件隔离区。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,该计算机程序指令被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111635035.9A CN114298684A (zh) | 2021-12-27 | 2021-12-27 | 电子邮件安全检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111635035.9A CN114298684A (zh) | 2021-12-27 | 2021-12-27 | 电子邮件安全检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114298684A true CN114298684A (zh) | 2022-04-08 |
Family
ID=80971138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111635035.9A Pending CN114298684A (zh) | 2021-12-27 | 2021-12-27 | 电子邮件安全检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114298684A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116663001A (zh) * | 2023-06-02 | 2023-08-29 | 北京永信至诚科技股份有限公司 | 一种针对邮件的安全分析方法、装置、电子设备及介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003242092A (ja) * | 2002-02-08 | 2003-08-29 | Koshu Sai | 電子メールウイルス予防システムの隔離検出方法、交互授権方法、隔離検出プログラムおよび交互授権プログラム |
CN101901307A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 |
CN103856471A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击监控系统及方法 |
US20150058978A1 (en) * | 2012-03-23 | 2015-02-26 | Beijing Qihoo Technology Company Limited | Method and device for prompting information about e-mail |
US20170359220A1 (en) * | 2016-06-02 | 2017-12-14 | Zscaler, Inc. | Cloud based systems and methods for determining and visualizing security risks of companies, users, and groups |
CN107872463A (zh) * | 2017-11-29 | 2018-04-03 | 四川无声信息技术有限公司 | 一种web邮件xss攻击检测方法及相关装置 |
WO2018094703A1 (zh) * | 2016-11-25 | 2018-05-31 | 华为技术有限公司 | 邮件分组方法及装置 |
CN108810032A (zh) * | 2018-07-24 | 2018-11-13 | 百卓网络科技有限公司 | 一种基于代理的Web跨站安全处理方法 |
CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
CN110061981A (zh) * | 2018-12-13 | 2019-07-26 | 成都亚信网络安全产业技术研究院有限公司 | 一种攻击检测方法及装置 |
CN111866002A (zh) * | 2020-07-27 | 2020-10-30 | 中国工商银行股份有限公司 | 用于检测邮件安全性的方法、装置、系统及介质 |
-
2021
- 2021-12-27 CN CN202111635035.9A patent/CN114298684A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003242092A (ja) * | 2002-02-08 | 2003-08-29 | Koshu Sai | 電子メールウイルス予防システムの隔離検出方法、交互授権方法、隔離検出プログラムおよび交互授権プログラム |
CN101901307A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 |
US20150058978A1 (en) * | 2012-03-23 | 2015-02-26 | Beijing Qihoo Technology Company Limited | Method and device for prompting information about e-mail |
CN103856471A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击监控系统及方法 |
US20170359220A1 (en) * | 2016-06-02 | 2017-12-14 | Zscaler, Inc. | Cloud based systems and methods for determining and visualizing security risks of companies, users, and groups |
WO2018094703A1 (zh) * | 2016-11-25 | 2018-05-31 | 华为技术有限公司 | 邮件分组方法及装置 |
CN107872463A (zh) * | 2017-11-29 | 2018-04-03 | 四川无声信息技术有限公司 | 一种web邮件xss攻击检测方法及相关装置 |
CN108810032A (zh) * | 2018-07-24 | 2018-11-13 | 百卓网络科技有限公司 | 一种基于代理的Web跨站安全处理方法 |
CN110061981A (zh) * | 2018-12-13 | 2019-07-26 | 成都亚信网络安全产业技术研究院有限公司 | 一种攻击检测方法及装置 |
CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
CN111866002A (zh) * | 2020-07-27 | 2020-10-30 | 中国工商银行股份有限公司 | 用于检测邮件安全性的方法、装置、系统及介质 |
Non-Patent Citations (2)
Title |
---|
徐中原;蒋华;王鑫;: "基于行为的Web邮箱系统XSS防范", 计算机工程与设计, no. 12, 16 December 2014 (2014-12-16) * |
穆轩;: "电子邮件系统防"特种木马"方案设计浅谈", 中国传媒科技, no. 13, 8 July 2013 (2013-07-08) * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116663001A (zh) * | 2023-06-02 | 2023-08-29 | 北京永信至诚科技股份有限公司 | 一种针对邮件的安全分析方法、装置、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240121266A1 (en) | Malicious script detection | |
US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US10523609B1 (en) | Multi-vector malware detection and analysis | |
Kirda et al. | Client-side cross-site scripting protection | |
Shahriar et al. | Client-side detection of cross-site request forgery attacks | |
US20170353434A1 (en) | Methods for detection of reflected cross site scripting attacks | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
US20220217164A1 (en) | Inline malware detection | |
US20170242987A1 (en) | Method and system of hardening applications against security attacks | |
Chaudhary et al. | A novel framework to alleviate dissemination of XSS worms in online social network (OSN) using view segregation. | |
Canfora et al. | A set of features to detect web security threats | |
CN114298684A (zh) | 电子邮件安全检测方法、装置、电子设备及存储介质 | |
CN110022319A (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
Jamwal et al. | Clickjacking Attack: Hijacking User's Click | |
Patil | Request dependency integrity: validating web requests using dependencies in the browser environment | |
Sridhar et al. | Flash in the dark: Illuminating the landscape of ActionScript web security trends and threats | |
Bhanu et al. | Protecting Android based applications from malware affected through SMS messages | |
JP2022541250A (ja) | インラインマルウェア検出 | |
Cherepanov et al. | Hesperbot—A new, AdvAnced bAnking trojAn in tHe wild | |
Sadana et al. | Analysis of cross site scripting attack | |
Fernandez et al. | A worm misuse pattern | |
CN115865473A (zh) | 反向代理钓鱼攻击防御方法、装置、设备及介质 | |
CN114143105A (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |