本发明专利技术提出一种网页重定向漏洞检测方法及装置,其网页重定向漏洞检测方法包括:识别待检测的统一资源定位符中的传递参数;当识别到所述资源定位符中存在传递参数,以预设的地址信息分别且逐一替换识别到的每个传递参数,获得至少一个新的统一资源定位符;根据新的统一资源定位符,发出网络访问请求;接收服务器返回的返回包,并根据所述返回包的内容判断是否包括目标网址为所述预设的地址信息的网页重定向;若检测到目标网址为所述预设的地址信息的网页跳转则记录对应的传递参数存在网页重定向漏洞。本发明专利技术可以准确地检测出统一资源定位符中的网页重定向漏洞。
【技术实现步骤摘要】
本专利技术涉及一种检测技术,特别涉及一种网页重定向漏洞检测方法及装置。
技术介绍
随着互联网的发展,如今在用户交互和用户体验方面已经有了很大的提高,使各种应用网络化,用户只需使用浏览器访问网站即可使用各种应用,但也因此给服务端和客户端的安全带来了巨大的威胁。Web应用内部经常会根据不同的逻辑将用户引向不同的页面。例如,一个典型的登录接口,在接收到用户发送来的登录信息且认证成功后,经常会自动跳转到网站首页或登录之前用户访问的页面。而在页面的跳转过程中,如果实现不好就可能导致一些安全问题,甚至引起严重的安全漏洞。例如不法份子通过改变页面请求参数的内容,将页面重定向至A网站的一个页面,而A网站很可能就是一个用户窃取用户请求的钓鱼网站,从而造成用户敏感信息的丢失。而现有技术中针对上述问题缺乏有效的解决方案,因此,亟需一种网页网页重定向漏洞的检测方案,以解决上述问题。
技术实现思路
本专利技术实施例的目的是提供一种网页重定向漏洞检测方法及装置,以解决现有的网络访问存在网页重定向漏洞的问题。本专利技术实施例提出一种网页重定向漏洞检测方法,包括:识别待检测的统一资源定位符中的传递参数;当识别到所述资源定位符中存在传递参数,以预设的地址信息分别且逐一替换识别到的每个传递参数,获得至少一个新的统一资源定位符;根据新的统一资源定位符,发出网络访问请求;接收服务器返回的返回包,并根据所述返回包的内容判断是否包括目标网址为所述预设的地址信息的网页重定向;若检测到目标网址为所述预设的地址信息的网页跳转则记录对应的传递参数存在网页重定向漏洞。本专利技术实施例还提出一种网页重定向漏洞检测装置,包括:传递参数识别模块,用于识别待检测的统一资源定位符中的传递参数;参数替换模块,用于当识别到所述资源定位符中存在传递参数,以预设的地址信息分别且逐一替换识别到的每个传递参数,获得至少一个新的统一资源定位符;访问请求发送模块,用于根据新的统一资源定位符,发出网络访问请求;返回包接收模块,用于接收服务器返回的返回包;跳转判断模块,用于根据所述返回包的内容判断是否包括目标网址为所述预设的地址信息的网页重定向;记录模块,用于当检测到目标网址为所述预设的地址信息的网页跳转则记录对应的传递参数存在网页重定向漏洞。相对于现有技术,本专利技术的有益效果是:通过本专利技术实施例的方法及装置,可以准确地检测出URL中存在的网页重定向漏洞,可以有效提高网络访问的安全性,且本专利技术实施例的方法可以支持多次跳转的检测,以及支持javascript跳转、meta标签跳转、SRC标签属性跳转、HTTP头部跳转的检测,具有较大的适用范围。【附图说明】图1为本专利技术实施例提供的方法及装置的运行环境示意图;图2为图1中的漏洞检测服务器的结构框图;图3为图1中的网站服务器的结构框图;图4为本专利技术实施例的一种网页重定向漏洞检测方法的流程图;图5为本专利技术实施例的另一种网页重定向漏洞检测方法的流程图;图6为本专利技术实施例的一种网页重定向漏洞检测装置的结构图;图7为本专利技术实施例的另一种网页重定向漏洞检测装置的结构图。【具体实施方式】有关本专利技术的前述及其他
技术实现思路
、特点及功效,在以下配合参考图式的较佳实施例详细说明中将可清楚的呈现。通过【具体实施方式】的说明,当可对本专利技术为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图式仅是提供参考与说明之用,并非用来对本专利技术加以限制。本专利技术实施例所述的统一资源定位符(Uniform Resource Locator, URL)是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置以及浏览器应该怎么处理它。本专利技术实施例提出一种网页重定向漏洞检测方法及装置,用于检测通过URL访问网络时可能产生的网页重定向漏洞,其可以通过模拟浏览器的方式实现对URL的检测。请参见图1,其为上述的方法及装置的运行环境示意图。一个或多个漏洞检测服务器100 (图1中仅示出一个)可通过网络与一个或多个网站服务器200 (图1中仅示出一个)相连。上述的网络例如可为互联网、局域网、企业内部网等。进一步参阅图2,其为上述的漏洞检测服务器100的一个实施例的结构框图。如图2所示,漏洞检测服务器100包括:存储器102、存储控制器104、一个或多个(图中仅示出一个)处理器106、外设接口 108以及网络控制器112。可以理解,图2所示的结构仅为示意,其并不对漏洞检测服务器100的结构造成限定。例如,漏洞检测服务器100还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。存储器102可用于存储软件程序以及模块,如本专利技术实施例中的网页重定向漏洞检测方法及装置对应的程序指令/模块,处理器104通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器102可进一步包括相对于处理器106远程设置的存储器,这些远程存储器可以通过网络连接至漏洞检测服务器100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。处理器106以及其他可能的组件对存储器102的访问可在存储控制器104的控制下进行。外设接口 108将各种输入/输入装置耦合至处理器106。处理器106运行存储器102内的各种软件、指令,以及进行数据处理。在一些实施例中,外设接口 108、处理器106以及存储控制器104可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。网络控制器112用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。在一个实例中,上述网络信号为有线网络信号。此时,网络控制器112可包括处理器、随机存储器、转换器、晶体振荡器等元件。上述的软件程序以及模块包括:操作系统122、浏览器引擎124以及漏洞检测模块126。其中操作系统122例如可为LINUX, UNIX, WINDOWS,其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通讯,从而提供其他软件组件的运行环境。浏览器引擎124以及漏洞检测模块126运行在操作系统122的基础上。浏览器引擎124例如可为Webkit浏览器引擎。漏洞检测模块126可以通过浏览器引擎124具体实现本专利技术实施例的网页重定向漏洞检测方法。进一步参阅图3,其为图1中的网站服务器200的一个实施例的结构框图。如图3所示,其与漏洞检测服务器100的结构相似,其不同之处在于,网站服务器200可不包括浏览器引擎124以及漏洞检测模块126,而包括网站服务器模块224。网站服务器模块224运行在操作系统122的基础上,并通过操作系统122的网络服务监听来自网络的网页访问请求,根据网页访问请求完成相应的数据处理,并返回结果网页或者其他格式的数据给客户端。上述的网站服务器模块224例如可包括动态网页脚本以及脚本解释器等。上述的脚本解释器例如可为Apache网站服务器程序,其用本文档来自技高网...
【技术保护点】
一种网页重定向漏洞检测方法,其特征在于,包括:识别待检测的统一资源定位符中的传递参数;当识别到所述资源定位符中存在传递参数,以预设的地址信息分别且逐一替换识别到的每个传递参数,获得至少一个新的统一资源定位符;根据新的统一资源定位符,发出网络访问请求;接收服务器返回的返回包,并根据所述返回包的内容判断是否包括目标网址为所述预设的地址信息的网页重定向;若检测到目标网址为所述预设的地址信息的网页跳转则记录对应的传递参数存在网页重定向漏洞。
【技术特征摘要】
【专利技术属性】
技术研发人员:黄富兴,翁家才,马杰,刘鹏,罗嘉飞,董昭,江金涛,许鑫城,张海清,郑兴,彭贵春,何双宁,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。