點擊劫持安全檢測方法和裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及計算機網絡安全技術領域�����,具體涉及應用于社會性網絡站點SNS中的點擊劫持安全檢測方法和裝置���。
【背景技術】
[0002]Clickjacking(點擊劫持)是一種視覺欺騙的Web攻擊方式�,通過誘騙用戶點擊包含隱藏按鈕的網頁的某些部分來執(zhí)行惡意程序����,隱藏按鈕是通過隱形的iframe(iframe是HTML標簽,iframe元素會創(chuàng)建包含另外一個文檔的內聯(lián)框架(即行內框架))實現的����,黑客則可以通過iframe將其他內容載入目標網站。如果是黑客精心設計Clickjacking攻擊頁面���,那么無論用戶進行正常鼠標點擊還是無意間的鼠標點擊動作��,都可能會點擊導致下載木馬程序等惡意行為�。
[0003]在實現本發(fā)明過程中,發(fā)明人發(fā)現上述現有的點擊劫持的防御技術的至少存在如下問題:
[0004]目前大型網站的頁面眾多��,有的頁面根據業(yè)務需求�����,是必須要被其他網站嵌套的�����。但是有的敏感頁面是不允許被其他頁面嵌套����,這樣給幾乎無法進行自動化檢測點擊劫持漏洞���,誤報率很高���,幾乎不可用。
[0005]尤其是對于SNS(SNS:專指在幫助人們建立社會性網絡的互聯(lián)網應用服務�����。也指社會現有已成熟普及的信息載體,如短信SMS服務�。SNS的另一種常用解釋:全稱SocialNetwork Site,即“社交網站”或“社交網”)網站����,交互性的特點會放大點擊劫持攻擊的效果,可能造成大規(guī)模蠕蟲爆發(fā)����,給用戶造成極大的損失。
[0006]由于點擊劫持漏洞的利用難度低�,檢測困難,所以曾經發(fā)生過很多大規(guī)模的攻擊案例�,造成很大的安全風險。
[0007]目前基于SNS類的網站的防護都是基于人工發(fā)現和自主配置的�,但不能實現進行自動化的點擊劫持安全檢測。
【發(fā)明內容】
[0008]本發(fā)明的目的是提供一種點擊劫持安全檢測方法和裝置����,以實現SNS類網站的點擊劫持攻擊的自動化安全檢測。
[0009]一方面���,本發(fā)明實施例提供了一種點擊劫持安全檢測方法����,所述方法包括:
[0010]將待檢測網頁中的按鈕元素和網頁統(tǒng)一資源定位符URL信息進行分離;
[0011 ] 將所述按鈕元素與敏感元素數據庫中的敏感元素進行比對��,如果所述按鈕元素中存在敏感元素數據庫中的敏感元素��,則將待檢測網頁的網頁URL信息與網址白名單數據庫中的網址白名單進行比對����;
[0012]如果所述待檢測網頁的網頁URL信息在所述網址白名單中�����,則不執(zhí)行點擊劫持的安全檢測�����;如果待檢測網頁的網頁URL信息不在網址白名單中����,則執(zhí)行點擊劫持的安全檢測。
[0013]另一方面����,本發(fā)明實施例提供了一種點擊劫持安全檢測裝置,其包括:
[0014]按鈕元素分離模塊��,用于將待檢測網頁中的按鈕元素和網頁統(tǒng)一資源定位符URL信息進行分離;
[0015]敏感元素存儲模塊���,用于存儲敏感元素��;
[0016]網址白名單存儲模塊�����,用于存儲網址白名單��;
[0017]第一比對模塊�����,用于將所述按鈕元素與敏感元素存儲模塊中的敏感元素進行比對��;
[0018]第二比對模塊�����,用于如果所述按鈕元素中存在敏感元素存儲模塊中的敏感元素���,則將待檢測網頁的網頁URL信息與網址白名單進行比對;
[0019]點擊劫持安全檢測模塊���,用于如果所述待檢測網頁的網頁URL信息在所述網址白名單中���,則不執(zhí)行點擊劫持的安全檢測��;如果待檢測網頁的網頁URL信息不在網址白名單中����,則執(zhí)行點擊劫持的安全檢測����。
[0020]上述技術方案具有如下有益效果:由于采用了按鈕元素分離�、網址白名單等技術,使得點擊劫持漏洞的自動化檢測變得可控和可持續(xù)迭代���,因而有大大提高了點擊劫持漏洞的檢測速度和檢測準確度��,檢測成本低��,檢測效果好���。
【附圖說明】
[0021]為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹��,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領域普通技術人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據這些附圖獲得其他的附圖�。
[0022]圖1為本發(fā)明的實施例的點擊劫持安全檢測方法的流程圖;
[0023]圖2為本發(fā)明的實施例的點擊劫持安全檢測裝置的邏輯框圖���。
【具體實施方式】
[0024]下面將結合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術方案進行清楚��、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例?�;诒景l(fā)明中的實施例�����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍���。
[0025]本發(fā)明通過檢測SNS網站(Social Networking Site�,社會性網絡站點����,主要作用是為一群擁有相同興趣與活動的人建立線上社區(qū),比較知名的有FaceBook�,Twitter,微博等)網頁內敏感元素�����,確定是否需要進行點擊劫持的安全檢測����,然后通過檢測網頁是否含有相應的安全HTTP響應來進行自動化的點擊劫持自動化檢測��,提出了相應的方法和裝置�,解決了 SNS類網站的點擊劫持攻擊的自動化安全檢測問題。
[0026]本發(fā)明實施例提供了一種應用于SNS中的點擊劫持安全檢測的方法和裝置���,從而完成SNS類網站點擊劫持的自動化安全檢測����。
[0027]圖1為本發(fā)明的實施例的點擊劫持安全檢測方法的流程圖。如圖1所示�����,該點擊劫持安全檢測方法包括:
[0028]步驟102:將待檢測網頁中的按鈕元素和網頁URL信息進行分離���;
[0029]步驟104:將按鈕元素與敏感元素數據庫中的敏感元素進行比對���,如果該按鈕元素中不存在敏感元素,則不執(zhí)行點擊劫持的安全檢測����,即判定該網頁不存在點擊劫持漏洞;如果所述按鈕元素中存在敏感元素數據庫中的敏感元素�����,則將待檢測網頁的網頁URL信息與網址白名單數據庫中的網址白名單進行比對���;
[0030]較佳地���,該敏感元素包括能夠造成點擊劫持攻擊的按鈕元素代碼。
[0031]較佳地,該網址白名單中可包含業(yè)務需求中允許被其他網頁嵌入的網址URL信息�����。
[0032]步驟106:如果該待檢測網頁的網頁URL信息在上述網址白名單中��,則不執(zhí)行點擊劫持的安全檢測����;如果待檢測網頁的網頁URL信息不在網址白名單中,則執(zhí)行點擊劫持的安全檢測����。
[0033]可選地,在步驟102之前可以包括步驟101:獲取待檢測的網頁���,對待檢測的網頁進行動態(tài)解析����。動態(tài)解析的目的是為了解析出javascript語言���,得到的是含有html和javascript語言被運行后生成的DOM樹,常規(guī)情況下��,javascript生成的DOM樹無法通過源代碼發(fā)現,所以要進行動態(tài)解析�。在后續(xù)相應步驟中可將動態(tài)解析后的網頁中所有按鈕元素和待檢測的網頁URL信息分離(提取)出來。
[0034]較佳地����,上述步驟106中執(zhí)行點擊劫持的安全檢測的具體處理過程可以包括:向URL信息所在的服務器發(fā)送待檢測網頁的HTTP請求,檢測返回的HTTP報頭中是否含有X-FRAME-0PT1NS頭����,如果不含有X-FRAME-0PT1NS頭,則判定該待檢測的網頁存在點擊劫持漏洞�����,否則��,判定該待檢測的網頁進行了點擊劫持防御�����,該網頁不存在點擊劫持漏洞���。
[0035]X-FRAME-0PT1NS是微軟提出的一個http頭�,專門用來防御利用iframe嵌套的點擊劫持攻擊���。
[0036]并且在IE8��、Firefox3.6���、Chrome4以上的版本均能很好的支持�。
[0037]這個頭有三個值:
[0038]DENY //拒絕任何域加載
[0039]SAME0RIGIN //允許同源域下加載
[0040]ALLOff-FROM //可以定義允許frame加載的頁面地址
[0041]程序通過給HTTP響應包增加該響應頭�,瀏覽器在加載頁面的時候會通過判斷響應頭來確定如何加載iframe的頁面,這樣達到了防御點擊劫持攻擊的效果��。
[0042]該應用于SNS中的點擊劫持安全檢測方法由于采用了按鈕元素分離��、網址白名單等技術�,使得點擊劫持漏洞的自動化檢測變得可控和可持續(xù)迭代,因而有大大提高了點擊劫持漏洞的檢測速