WO2020253351A1

WO2020253351A1 - 一种点击劫持漏洞检测方法、装置及计算机设备

Info

Publication number: WO2020253351A1
Application number: PCT/CN2020/085723
Authority: WO
Inventors: 张何钫
Original assignee: 深圳前海微众银行股份有限公司
Priority date: 2019-06-21
Filing date: 2020-04-20
Publication date: 2020-12-24
Also published as: CN110278207B; CN110278207A

Abstract

一种点击劫持漏洞检测方法、装置及计算机设备，涉及金融科技（Fintech）领域，用以解决现有技术检测点击劫持漏洞的准确率低的问题。方法包括：获取待检测页面的统一资源定位符URL，若根据URL确定对待检测页面执行模拟点击操作，则获取基于模拟点击操作返回的超文本传输协议HTTP响应报文；根据HTTP响应报文中的至少一项结果确定待检测页面是否存在点击劫持漏洞；至少一项结果包括HTTP响应报文是否含有内容安全策略的页面嵌套属性，或是否含有用于禁止待检测页面加载内联框页面的预设防劫持代码。通过使用HTTP响应报文中的至少一项结果确定是否存在点击劫持漏洞，能够准确检测出网页中的点击劫持漏洞。

Description

一种点击劫持漏洞检测方法、装置及计算机设备

相关申请的交叉引用

本申请要求在2019年06月21日提交中国专利局、申请号为201910540302.0、申请名称为“一种点击劫持漏洞检测方法、装置及计算机设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及金融科技(Fintech)技术领域和信息安全技术领域，尤其涉及一种点击劫持漏洞检测方法、装置及计算机设备。

背景技术

随着计算机技术的发展，越来越多的技术(例如大数据技术、分布式技术、区块链(Blockchain)技术、人工智能技术等)应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变。目前，金融科技领域中，信息安全至关重要，点击劫持是一种视觉上的欺骗手段，攻击者可以使用一个透明的、不可见的内联框(即iframe)，覆盖在一个网页上，然后诱使用户在该网页上进行操作，通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上执行一些操作。可知，某些网页上是会存在点击挟持漏洞的，因此，需要将网页上的这些点击挟持漏洞检测出来。

目前检测点击挟持漏洞的常用方式为人工测试方式，通过人工点击网页的任意位置，测试是否会点击在iframe页面的一些功能性按钮上，来确定一个页面是否存在点击挟持漏洞。然而，人工测试方式下，很难辨别是点击在iframe页面的一些功能性按钮上还是点击在待检测页面上。因此，现有技术中检测点击劫持漏洞时很容易出现漏报或误报，导致检测的准确率较低。

发明内容

本申请提供一种点击劫持漏洞检测方法、装置及计算机设备，用以解决现有技术中检测点击劫持漏洞时很容易出现漏报或误报，导致检测准确率较低的问题。

第一方面，本申请实施例提供一种点击劫持漏洞检测方法：获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作；若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文；根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞；所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。

上述方法中，首先获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作，若确定对所述待检测页面执行模拟点击操作，则获取HTTP响应报文，并根据所述HTTP响应报文中的至少一项结果确定是否存在点击劫持漏洞，从而能够根据URL减少对点击劫持漏洞进行检测时的一部分漏报。另外，对待检测页面进行点击劫持漏洞时，通过对待检测页面执行模拟点击操作的至少一项结果，确定述待检测页面是否存在点击劫持漏洞，而内容安全策略(Content Security Policy，CSP)的页面嵌套属性，能够表征待检测页面能否被iframe页面嵌套，如此再结合用于禁止待检测页面加载内联框iframe页面的预设防劫持代码，能够全面考虑待检测页面是否存在点击劫持漏洞，从而可以提升检测点击劫持漏洞的准确率。

一种可选实施方式中，所述HTTP响应报文包括HTTP资源部分，按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码：将所述HTTP资源部分与预设正则表达式进行正则匹配，根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。

上述方法中，由于正则表达式具有较强的逻辑性和灵活性，因此通过对HTTP资源部分与预设正则表达式进行正则匹配的结果，确定所述HTTP响应报文是否含有所述预设防劫持代码，可以准确检验出是否含有所述预设防劫持代码。

一种可选实施方式中，所述若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文，包括：若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求，且所述HTTP请求中含有登陆态信息，则获取基于所述模拟点击操作返回的所述HTTP响应报文。

上述方法中，由于HTTP请求为更改所述待检测页面的后台数据的请求，且所述HTTP请求中含有登陆态信息时，该HTTP请求才有出现劫持漏洞的条件，因此这种情况下才获取HTTP响应报文。

一种可选实施方式中，所述根据所述URL确定是否对所述待检测页面执行模拟点击操作，包括：确定所述URL是否在预设URL白名单中，若否，则对所述待检测页面执行模拟点击操作。

上述方法中，通过预设URL白名单，提前过滤掉一部分URL，从而能够在一定程度上防止误报，提升点击劫持漏洞的检测准确率。

一种可选实施方式中，所述至少一项结果还包括：所述HTTP响应报文是否包括页面嵌套头部信息。

上述方法中，能够扩展检测点击劫持漏洞的另一种结果，其中，页面嵌套头部信息能够表征待检测页面的页面嵌套属性，从而可以进一步提升点击劫持漏洞的检测准确率。

第二方面，本申请提供一种点击劫持漏洞检测装置，包括：

获取模块，用于获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作；

处理模块，用于若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文；根据所述HTTP 响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞；所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。

一种可选实施方式中，所述HTTP响应报文包括HTTP资源部分，所述处理模块按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码：将所述HTTP资源部分与预设正则表达式进行正则匹配，根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。

一种可选实施方式中，所述处理模块具体用于：若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求，且所述HTTP请求中含有登陆态信息，则获取基于所述模拟点击操作返回的所述HTTP响应报文。

一种可选实施方式中，所述处理模块具体用于：确定所述URL是否在预设URL白名单中，若否，则对所述待检测页面执行模拟点击操作。

上述第二方面及第二方面各个实施例的有益效果，可以参考上述第一方面及第一方面各个实施方式的有益效果，这里不再赘述。

第三方面，本申请提供一种计算机设备，包括程序或指令，当所述程序或指令被执行时，用以执行上述第一方面及第一方面各个实施方式的方法。

第四方面，本申请提供一种存储介质，包括程序或指令，当所述程序或指令被执行时，用以执行上述第一方面及第一方面各个实施方式的方法。

附图说明

图1为本申请实施例提供的一种点击劫持漏洞检测方法的步骤流程示意图；

图2为本申请实施例提供的一种点击劫持漏洞检测方法的具体步骤流程示意图；

图3为本申请实施例提供的一种点击劫持漏洞检测装置的结构示意图；

图4为本申请实施例提供的一种计算机设备的结构示意图。

具体实施方式

为了更好的理解上述技术方案，下面将结合说明书附图及具体的实施方式对上述技术方案进行详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互结合。

金融科技(Fintech)领域中，信息安全的重要性不言而喻。在金融交易过程中，一些网页上是会存在点击挟持漏洞的，因此需要将这些点击挟持漏洞检测出来。目前检测点击挟持漏洞的常用方式为人工测试方式，通过人工点击网页的任意位置，测试是否点击在iframe页面的一些功能性按钮上，来确定一个页面是否存在点击挟持漏洞。然而，人工测试方式下，很难辨别是点击在iframe页面的一些功能性按钮上还是点击在待检测页面上，因此该种方式很容易出现漏报或误报，导致检测点击挟持漏洞的准确率较低。

为此，本申请实施例提供一种点击劫持漏洞检测方法，图1为本申请实施例提供的一种点击劫持漏洞检测方法的步骤流程示意图。如图1所示，该方法包括：

步骤101：获取待检测页面的统一资源定位符URL，并根据所述统一资源定位符URL确定是否对所述待检测页面执行模拟点击操作。

需要说明的是，本申请实施例对待检测页面的浏览器不做限定。例如，待检测页面的浏览器可以为无界面浏览器(Headless Browser),Headless Browser是没有图形用户界面(Graphical User Interface，GUI)的网页浏览器，通常可以通过编程或命令行界面来控制。Headless Browser具体可以为Chrome Headless，Chrome Headless可以用于自动化可用性测试或测试浏览器交互。基于此，本申请实施例可以调用Chrome Headless执行模拟点击等操作。

步骤102：若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文。

步骤103：根据所述超文本传输协议HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞。

示例性地，在上述步骤101中，根据所述URL确定是否对所述待检测页面执行模拟点击操作的具体实施方式可以为：

确定所述URL是否在预设URL白名单中，若否，则对所述待检测页面执行模拟点击操作。

举例来说，预设URL白名单中包括URL1、URL2和URL3。若待检测页面A的统一资源定位符为URL4，则由于URL4不在预设URL白名单中，因此可以对待检测页面A执行模拟点击操作。

上述方法中，通过预设URL白名单，能够提前过滤掉一部分URL，从而能够在一定程度上防止误报，提升点击劫持漏洞的检测准确率。

示例性地，在上述步骤102中，若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文的一种可选实施方式如下：

若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求，且所述HTTP请求中含有登陆态信息，则获取基于所述模拟点击操作返回的所述HTTP响应报文。

需要说明的是，待检测页面的一些相关配置信息可以作为后台数据存储在后台服务器中，HTTP请求为更改所述待检测页面的后台数据的请求，具体是指：用于更改待检测页面的后台数据的请求。

上述方法中，当HTTP请求为更改所述待检测页面的后台数据的请求时，只有所述HTTP请求中含有登陆态信息，该HTTP请求才可能会出现劫持漏洞的条件，因此通过限定在这种情况下才获取HTTP响应报文，能够避免不必要的操作步骤，提高检测的准确性。

示例性地，在上述步骤103中，所述至少一项结果包括：所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。

本申请实施例不限定预设防劫持代码的具体形式。例如，以下内容示例性列出本申请实施例提供的一种点击劫持漏洞检测方法的预设防劫持代码：

上述代码在运行时可以执行以下步骤：

第一步、将待检测页面显示的主体部分设置display为None的层叠样式表(cascading style sheets，CSS)样式。

需要说明的是，display为一个可定义CSS样式的参数，通过对display赋不同的值，可以设置不同的CSS样式。当display设置为None时，可以使待检测页面显示的主体部分不会隐藏在浏览器的待检测页面上，不会被点击控制，按浏览器对代码的渲染顺序，隐藏主体的样式style标签内的代码会首先生效，style为待检测页面的一个属性。

第二步、当浏览器渲染到最后的js代码部分时，script标签内的js代码生效，检查页面是否被嵌套。

需要说明的是，js是JavaScript一种直译式脚本语言。

第三步、如果top和self相等时，说明页面没有被嵌套，则移除原来设置到主体部分的display为None的CSS样式。

其中，top是浏览器提供的变量，表示最外层窗口对象，self是当前窗口对象。

第四步、如果top和self不相等时，则将self.location赋值给top.location，使得js代码将最外层窗口的页面跳转到待检测页面的页面，防止被嵌套。

其中，top.location表示最外层窗口对象的位置，self.location表示当前窗口对象的位置。

示例性地，本申请实施例中，当HTTP响应报文包括HTTP资源部分时，可以按照以下方式确定HTTP响应报文是否含有预设防劫持代码：将HTTP资源部分与预设正则表达式进行正则匹配，根据正则匹配的结果确定HTTP响应报文是否含有预设防劫持代码。

上述方法中，由于正则表达式具有较强的逻辑性和灵活性，因此通过对HTTP资源部分与预设正则表达式进行正则匹配的结果，确定HTTP响应报文是否含有预设防劫持代码，可以准确检验出是否含有预设防劫持代码。

示例性地，若HTTP响应报文包括HTTP头部，则可以通过字符串匹配来确定是否含有内容安全策略CSP的页面嵌套属性。

需要说明的是，CSP的页面嵌套属性取不同值时，可以代表不同的属性。例如：

(1)CSP:frame-ancestors'none'，表示不能被嵌套；

(2)CSP:frame-ancestors'self'，表示只能被本站点嵌套；

(3)CSP:frame-ancestors'self'*.somesite.com'，表示被*.somesite.com站点嵌套；其中，*.somesite.com用于指示被嵌套的站点的域名协议端口等信息。

示例性地，上述至少一项结果还可以包括：HTTP响应报文是否包括页面嵌套头部信息。该种方式能够扩展检测点击劫持漏洞的另一种结果，由于页面嵌套头部信息能够表征待检测页面的页面嵌套属性，从而至少一项结果还包括页面嵌套头部信息时，能够进一步提升点击劫持漏洞的检测准确率，使得还可以通过字符串匹配确定是否含有页面嵌套头部信息。举例来说，页面嵌套头部信息可以为X-Frame-Options头部。

具体地，X-Frame-Options取不同值时，有以下结果：

当X-Frame-Options取值为DENY时，表示不允许被嵌套；

当X-Frame-Options取值为SAMEORIGIN时，表示可以被同源站点嵌套；

当X-Frame-Options取值为ALLOW-FROM uri时，表示可以被嵌套的页面。

由于X-Frame-Options这个页面嵌套头部信息目前还不被一些浏览器支持，因此一些情况下还需要结合CSP的页面嵌套属性来确定点击劫持漏洞。

本申请实施例中，首先获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作，若确定对所述待检测页面执行模拟点击操作，则获取HTTP响应报文，并根据所述HTTP响应报文中的至少一项结果确定是否存在点击劫持漏洞，从而能够根据所述URL减少点击劫持漏洞的一部分漏报。另外，对所述待检测页面进行点击劫持漏洞时，通过对所述待检测页面执行模拟点击操作的至少一项结果确定所述待检测页面是否存在点击劫持漏洞，而CSP的页面嵌套属性，能够表征待检测页面能否被iframe页面嵌套，另外再结合用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码，从而能够全面考虑待检测页面是否存在点击劫持漏洞，提升检测点击劫持漏洞的准确率。

下面结合图2，详细介绍本申请实施例提供的一种点击劫持漏洞检测方法，图2为该方法的具体步骤流程示意图。

步骤201：获取待检测页面的统一资源定位符URL。

步骤202：确定待检测页面的统一资源定位符URL是否在预设白名单中。

若是，则执行步骤210；否则，执行步骤203。

步骤203：进行模拟点击操作，触发超文本传输协议HTTP请求。

举例来说，可以调用Chrome Headless的JavaScript进行模拟点击操作。

步骤204：确定超文本传输协议HTTP请求是否满足预设条件，若满足预设条件，则执行步骤205；若不满足预设条件，则执行步骤210。

本申请实施例中，在一种可选地实施方式中，超文本传输协议HTTP请求满足预设条件，是指：HTTP请求为更新待检测页面的后台数据的请求，且HTTP请求包括登录态信息。

本申请实施例中，在另一种可选地实施方式中，超文本传输协议HTTP请求不满足预设条件，是指：HTTP请求不为更新待检测页面的后台数据的请求，或者，HTTP请求不包括登录态信息。

步骤205：获取超文本传输协议HTTP响应报文。

其中，HTTP响应报文为响应待检测页面的HTTP请求的响应报文。

步骤205执行之后，可以执行步骤206～步骤208中至少一个步骤。

步骤206：确定响应报文是否包含页面嵌套头部信息。

步骤207：确定响应报文是否包含内容安全策略CSP的页面嵌套属性。

步骤208：确定响应报文是否包含预设防劫持代码。

需要说明的是，可以同时执行步骤206～步骤208中至少一个步骤，步骤206～步骤208之间不受影响。

若步骤206～步骤208中执行的至少一个步骤中存在一个或多个步骤的确定结果为是，则执行步骤210；若步骤206～步骤208中执行的至少一个步骤中每个步骤的确定结果为否，则执行步骤209。

步骤209：确定待检测页面有点击劫持漏洞。

步骤210：确定待检测页面无点击劫持漏洞。

根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞；所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。

分别使用现有技术和本申请中的点击劫持漏洞检测方法对200个域名的主页进行测试，测试结果如表1所示：

	检测总量	检出个数	漏报个数	误报个数
现有技术	200	115	12	33
本申请	200	91	7	4

表1

可以发现，相比于现有技术来说，本申请中的点击劫持漏洞检测方法的准确率较高，能够极大地降低误报率。其中，上述对这些漏报误报情况还可以通过设置黑白名单的方式进行改进，以减少安全人员的人工审核时间。

图3为本申请实施例提供的一种点击劫持漏洞检测装置的结构示意图，如图3所示，该装置包括：

获取模块301，用于获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作；

处理模块302，用于若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文；根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞；所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。

一种可选实施方式中，所述HTTP响应报文包括HTTP资源部分；

所述处理模块302具体用于：

按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码：将所述HTTP资源部分与预设正则表达式进行正则匹配，根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。

一种可选实施方式中，所述处理模块302具体用于：

一种可选实施方式中，所述至少一项结果还包括：

所述HTTP响应报文是否包括页面嵌套头部信息。

上述装置各个实施方式的有益效果，可以参考本申请提供的一种点击劫持漏洞检测方法的有益效果，这里不再赘述。

基于相同的技术构思，本发明实施例还提供了一种计算机设备，如图4所示，包括至少一个处理器401，以及与至少一个处理器连接的存储器402，本发明实施例中不限定处理器401与存储器402之间的具体连接介质，图4中处理器401和存储器402之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。

在本发明实施例中，存储器402存储有可被至少一个处理器401执行的指令，至少一个处理器401通过执行存储器402存储的指令，可以执行前述的点击劫持漏洞检测方法中所包括的步骤。

其中，处理器401是计算机设备的控制中心，可以利用各种接口和线路连接计算机设备的各个部分，通过运行或执行存储在存储器402内的指令以及调用存储在存储器402内的数据，从而预防恶意攻击。可选的，处理器401可包括一个或多个处理单元，处理器401可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器401中。在一些实施例中，处理器401和存储器402可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器401可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器402作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器402可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器402是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器402还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

本申请实施例提供一种存储介质，包括程序或指令，当所述程序或指令被执行时，用以执行本申请提供的一种点击劫持漏洞检测方法以及各个实施例的方法。

最后应说明的是：本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种点击劫持漏洞检测方法，其特征在于，包括：

获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作；

若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文；

根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞；所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
如权利要求1所述的方法，其特征在于，所述HTTP响应报文包括HTTP资源部分，按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码：

将所述HTTP资源部分与预设正则表达式进行正则匹配，根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
如权利要求1所述的方法，其特征在于，所述若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文，包括：

若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求，且所述HTTP请求中含有登陆态信息，则获取基于所述模拟点击操作返回的所述HTTP响应报文。
如权利要求1所述的方法，其特征在于，所述根据所述URL确定是否对所述待检测页面执行模拟点击操作，包括：

确定所述URL是否在预设URL白名单中，若否，则对所述待检测页面执行模拟点击操作。
如权利要求1-4任一所述的方法，其特征在于，所述至少一项结果还包括：所述HTTP响应报文是否包括页面嵌套头部信息。
一种点击劫持漏洞检测装置，其特征在于，包括：

获取模块，用于获取待检测页面的统一资源定位符URL，并根据所述URL确定是否对所述待检测页面执行模拟点击操作；

处理模块，用于若确定对所述待检测页面执行模拟点击操作，则获取基于所述模拟点击操作返回的超文本传输协议HTTP响应报文；根据所述HTTP响应报文中的至少一项结果确定所述待检测页面是否存在点击劫持漏洞；所述至少一项结果包括所述HTTP响应报文是否含有内容安全策略CSP的页面嵌套属性，或，所述HTTP响应报文是否含有用于禁止所述待检测页面加载内联框iframe页面的预设防劫持代码。
如权利要求6所述的装置，其特征在于，所述HTTP响应报文包括HTTP资源部分，所述处理模块具体用于：

按照以下方式确定所述HTTP响应报文是否含有所述预设防劫持代码：

将所述HTTP资源部分与预设正则表达式进行正则匹配，根据正则匹配的结果确定所述HTTP响应报文是否含有所述预设防劫持代码。
如权利要求6所述的装置，其特征在于，所述处理模块具体用于：

若所述模拟点击操作对应的HTTP请求为更改所述待检测页面的后台数据的请求，且所述HTTP请求中含有登陆态信息，则获取基于所述模拟点击操作返回的所述HTTP响应报文。
如权利要求6所述的装置，其特征在于，所述处理模块具体用于：

确定所述URL是否在预设URL白名单中，若否，则对所述待检测页面执行模拟点击操作。
如权利要求6-9任一所述的装置，其特征在于，所述至少一项结果还包括：所述HTTP响应报文是否包括页面嵌套头部信息。
一种计算机设备，其特征在于，包括程序或指令，当所述程序或指令被执行时，如权利要求1至5中任意一项所述的方法被执行。
一种存储介质，其特征在于，包括程序或指令，当所述程序或指令被执行时，如权利要求1至5中任意一项所述的方法被执行。