本发明专利技术的实施例提供一种点击劫持安全检测方法和装置,该方法包括:将待检测网页中的按钮元素和网页URL信息进行分离;将按钮元素与敏感元素数据库中的敏感元素进行比对;如果所述按钮元素中存在敏感元素数据库中的敏感元素,则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对;如果所述待检测网页的网页URL信息在所述网址白名单中,则不执行点击劫持的安全检测;如果待检测网页的网页URL信息不在网址白名单中,则执行点击劫持的安全检测。该方法能实现SNS类网站的点击劫持攻击的自动化安全检测。
【技术实现步骤摘要】
本专利技术涉及计算机网络安全
,具体涉及应用于社会性网络站点SNS中的点击劫持安全检测方法和装置。
技术介绍
Clickjacking(点击劫持)是一种视觉欺骗的Web攻击方式,通过诱骗用户点击包含隐藏按钮的网页的某些部分来执行恶意程序,隐藏按钮是通过隐形的iframe(iframe是HTML标签,iframe元素会创建包含另外一个文档的内联框架(即行内框架))实现的,黑客则可以通过iframe将其他内容载入目标网站。如果是黑客精心设计Clickjacking攻击页面,那么无论用户进行正常鼠标点击还是无意间的鼠标点击动作,都可能会点击导致下载木马程序等恶意行为。在实现本专利技术过程中,专利技术人发现上述现有的点击劫持的防御技术的至少存在如下问题:目前大型网站的页面众多,有的页面根据业务需求,是必须要被其他网站嵌套的。但是有的敏感页面是不允许被其他页面嵌套,这样给几乎无法进行自动化检测点击劫持漏洞,误报率很高,几乎不可用。尤其是对于SNS(SNS:专指在帮助人们建立社会性网络的互联网应用服务。也指社会现有已成熟普及的信息载体,如短信SMS服务。SNS的另一种常用解释:全称SocialNetwork Site,即“社交网站”或“社交网”)网站,交互性的特点会放大点击劫持攻击的效果,可能造成大规模蠕虫爆发,给用户造成极大的损失。由于点击劫持漏洞的利用难度低,检测困难,所以曾经发生过很多大规模的攻击案例,造成很大的安全风险。目前基于SNS类的网站的防护都是基于人工发现和自主配置的,但不能实现进行自动化的点击劫持安全检测。
技术实现思路
本专利技术的目的是提供一种点击劫持安全检测方法和装置,以实现SNS类网站的点击劫持攻击的自动化安全检测。一方面,本专利技术实施例提供了一种点击劫持安全检测方法,所述方法包括:将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离; 将所述按钮元素与敏感元素数据库中的敏感元素进行比对,如果所述按钮元素中存在敏感元素数据库中的敏感元素,则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对;如果所述待检测网页的网页URL信息在所述网址白名单中,则不执行点击劫持的安全检测;如果待检测网页的网页URL信息不在网址白名单中,则执行点击劫持的安全检测。另一方面,本专利技术实施例提供了一种点击劫持安全检测装置,其包括:按钮元素分离模块,用于将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离;敏感元素存储模块,用于存储敏感元素;网址白名单存储模块,用于存储网址白名单;第一比对模块,用于将所述按钮元素与敏感元素存储模块中的敏感元素进行比对;第二比对模块,用于如果所述按钮元素中存在敏感元素存储模块中的敏感元素,则将待检测网页的网页URL信息与网址白名单进行比对;点击劫持安全检测模块,用于如果所述待检测网页的网页URL信息在所述网址白名单中,则不执行点击劫持的安全检测;如果待检测网页的网页URL信息不在网址白名单中,则执行点击劫持的安全检测。上述技术方案具有如下有益效果:由于采用了按钮元素分离、网址白名单等技术,使得点击劫持漏洞的自动化检测变得可控和可持续迭代,因而有大大提高了点击劫持漏洞的检测速度和检测准确度,检测成本低,检测效果好。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的实施例的点击劫持安全检测方法的流程图;图2为本专利技术的实施例的点击劫持安全检测装置的逻辑框图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术通过检测SNS网站(Social Networking Site,社会性网络站点,主要作用是为一群拥有相同兴趣与活动的人建立线上社区,比较知名的有FaceBook,Twitter,微博等)网页内敏感元素,确定是否需要进行点击劫持的安全检测,然后通过检测网页是否含有相应的安全HTTP响应来进行自动化的点击劫持自动化检测,提出了相应的方法和装置,解决了 SNS类网站的点击劫持攻击的自动化安全检测问题。本专利技术实施例提供了一种应用于SNS中的点击劫持安全检测的方法和装置,从而完成SNS类网站点击劫持的自动化安全检测。图1为本专利技术的实施例的点击劫持安全检测方法的流程图。如图1所示,该点击劫持安全检测方法包括:步骤102:将待检测网页中的按钮元素和网页URL信息进行分离;步骤104:将按钮元素与敏感元素数据库中的敏感元素进行比对,如果该按钮元素中不存在敏感元素,则不执行点击劫持的安全检测,即判定该网页不存在点击劫持漏洞;如果所述按钮元素中存在敏感元素数据库中的敏感元素,则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对;较佳地,该敏感元素包括能够造成点击劫持攻击的按钮元素代码。较佳地,该网址白名单中可包含业务需求中允许被其他网页嵌入的网址URL信息。步骤106:如果该待检测网页的网页URL信息在上述网址白名单中,则不执行点击劫持的安全检测;如果待检测网页的网页URL信息不在网址白名单中,则执行点击劫持的安全检测。可选地,在步骤102之前可以包括步骤101:获取待检测的网页,对待检测的网页进行动态解析。动态解析的目的是为了解析出javascript语言,得到的是含有html和javascript语言被运行后生成的DOM树,常规情况下,javascript生成的DOM树无法通过源代码发现,所以要进行动态解析。在后续相应步骤中可将动态解析后的网页中所有按钮元素和待检测的网页URL信息分离(提取)出来。较佳地,上述步骤106中执行点击劫持的安全检测的具体处理过程可以包括:向URL信息所在的服务器发送待检测网页的HTTP请求,检测返回的HTTP报头中是否含有X-FRAME-0PT1NS头,如果不含有X-FRAME-0PT1NS头,则判定该待检测的网页存在点击劫持漏洞,否则,判定该待检测的网页进行了点击劫持防御,该网页不存在点击劫持漏洞。X-FRAME-0PT1NS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。这个头有三个值:DENY //拒绝任何域加载SAME0RIGIN //允许同源域下加载ALLOff-FROM //可以定义允许frame加载的页面地址程序通过给HTTP响应包增加该响应头,浏览器在加载页面的时候会通过判断响应头来确定如何加载iframe的页面,这样达到了防御点击劫持攻击的效果。该应用于SNS中的点击劫持安全检测方法由于采用了按钮元素分离、网址白名单等技术,使得点击劫持漏洞的自动化检测变得可控和可持续迭代,因而有大大提高了点击劫持漏洞的检测速当前第1页1 本文档来自技高网...
【技术保护点】
一种点击劫持安全检测方法,其特征在于,所述方法包括:将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离;将所述按钮元素与敏感元素数据库中的敏感元素进行比对,如果所述按钮元素中存在敏感元素数据库中的敏感元素,则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对;如果所述待检测网页的网页URL信息在所述网址白名单中,则不执行点击劫持的安全检测;如果待检测网页的网页URL信息不在网址白名单中,则执行点击劫持的安全检测。
【技术特征摘要】
【专利技术属性】
技术研发人员:姜楠,
申请(专利权)人:微梦创科网络科技中国有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。