本发明专利技术实施例公开了一种支付网页防修改方法和装置,该方法包括:判断修改网页界面接口收到的请求是否为外部请求,所述外部请求是指与运行所述网页进程不同的其他进程发出的跨进程请求;当判断结果为所述请求为外部请求时,拦截所述外部请求。采用本发明专利技术,可以避免木马程序对页面的篡改,起到提高电子商务安全性的目的。
【技术实现步骤摘要】
本专利技术涉及互联网
,尤其涉及一种支付网页防修改方法和装置。
技术介绍
随着互联网技术的不断普及和发展,电子商务已成为互联网业务中的重要业务。 但是电子商务中的安全问题一直对电子商务的普及和发展起到极大的制约,比如,用户在 进行网上支付时,特别是采用浏览器网页进行支付时,会被木马程序篡改页面,从而造成用 户的经济损失。如图f图2所示,为用户支付时进行支付的几个环节的页面,在这几个环节中,木 马程序通过篡改提交的支付页面,让用户把支付请求发送到其他的电子商务网站,从而造 成对木马程序定义的商品进行了支付,而用户实际想要购买的商品并没有被支付。
技术实现思路
本专利技术实施例所要解决的技术问题在于,提供一种支付网页防修改方法和装置。 可以避免木马进程等恶意进程对页面的篡改,起到提高电子商务安全性的目的。为了解决上述技术问题,本专利技术实施例提供了一种支付网页防修改方法,包括判断修改网页界面接口收到的请求是否为外部请求,所述外部请求是指与运行所述网页进程不同的其他进程发出的跨进程请求;当判断结果为所述请求为外部请求时,拦截所述外部请求。相应的,本专利技术实施例还提供了一种支付网页防修改装置,包括修改接口判断单元,用于判断修改网页界面接口收到的请求是否为外部请求,其中,所 述外部请求是指与运行所述网页进程不同的其他进程发出的跨进程请求;拦截单元,用于当判断结果为所述请求为外部请求时,拦截所述外部请求 在本专利技术实施例中,通过阻止修改网页界面接口的外部请求来起到防止恶意篡改页面 的目的,由于木马程序一般是与运行页面的进程不同的进程运行的,通过阻止这种跨进程 的外部请求,就可以很好的起到拦截木马程序的页面修改动作,提高支付交易的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1是现有的网银支付方式选择页面;图2是现有的网银确认支付方式页面;图3是木马篡改网页内容时的url处理逻辑的示意图;图4是本专利技术实施例中的支付网页防修改方法的一个具体流程示意图;图5是本专利技术实施例中的支付网页防修改方法的另一个具体流程示意图;图6是本专利技术实施例中的支付网页防修改装置的一个具体组成示意图;图7是图6中的拦截单元的一个具体组成示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为了能清楚的描述本专利技术实施例中提供的技术方案,此处先简要描述浏览器结构和进程通讯的基本技术。在浏览器技术中,客户进程(即运行浏览器的进程)通过com库创建一个com组件(组件可实现页面加载和显示),然后通过客户进程中的代理对象透明的调用组件对象提供的服务,即组件是被浏览器进程加载的模块,而其它进程或浏览器内其它模块可以通过连接点机制和组件进行通信。这样,木马进程也就可以通过连接点机制也可能实现对网页·内容的篡改。如图3所示,本专利技术人研究发现木马进程对网页内容的篡改过程如下首先,通过InternetExplorer对象获得当前浏览器的统一资源定位符(Uniform / Universal Resource Locator, url),然后和BeforeNavigate2通知的url相比较,查询支付类url列表,判断当前页面是否是支付类url (如,浏览器在BeforeNavigate〗事件里会传回一个 url,把这个url和网银支付类的url做比较,如果相匹配就认为是支付页面),若判断结果为是,则向 InternetExplorer 对象查询 IHTMLDocument2 接口,然后通过 IHTMLDocument2 接口 write函数修改页面。而专利技术实施例中,通过在特定的接口拦截特定的请求,来实现对上述恶意篡改的防止。如图4所示,为本专利技术实施例中的支付网页防修改方法的一个具体流程示意图, 该方法包括如下步骤。401、判断修改网页界面接口收到的请求是否为外部请求,其中,所述外部请求是指与运行所述网页进程不同的其他进程发出的跨进程请求。如前所述,当木马进程在修改支付页面的内容时,首先需要先连接上连接点,其次需要获知哪些页面是其需要进行修改的页面,然后才能对特定的页面内容进行修改。可见, 有三处拦截木马的关键接口,即浏览器事件响应注册接口、浏览器对象接口、HTML修改接口。即,所述修改网页界面接口包括与修改支付网页内容有关的浏览器事件响应注册接口、 浏览器对象接口、HTML修改接口中的一个或多个。网页进程是指运行当前网页的浏览器进程,由于木马进程是与运行当前页面进程不同的进程,因此通过拦截这种跨进程请求,就可以实现对木马进程的请求的拦截,而不一定要判断这种跨进程请求是否来自木马进程。在本步骤中,判断请求是否为外部请求,可以通过如下方式进行判断所述修改网页界面接口的调用栈中是否有RPCRT4. dll文件;当判断结果为有RPCRT4. dll文件时,判断所述修改网页界面接口收到了外部请求。如,判断连接容器接口、浏览器对象接口、HTML修改接口的调用栈中是否有RPCRT4. dll文件;当判断结果为有RPCRT4. dll文件时,则判断所述修改网页界面接口收到了外部请求。同时,一般跨进程的请求有多种,为了进一步提高效率,在本专利技术的一些具体实施例中可将需要拦截的外部请求确定为以下几种,即本专利技术实施例中的外部请求包括所述浏览器事件响应注册接口的Advise函数、浏览器对象接口的获取本地URL函数、HTML修改接口的写入函数。402、当判断结果为所述请求为外部请求时,拦截所述外部请求。根据接口的不同, 拦截的外部请求也有所区别,如,对于浏览器事件响应注册接口,则拦截所述其他进程通过调用所述浏览器事件响应注册接口的Advise函数获取浏览器信息;对于浏览器对象接口,则拦截所述其他进程通过调用所述浏览器对象接口的获取本地URL函数判断当前页面是否为支付页面;对于HTML修改接口,则拦截所述其他进程通过调用所述HTML修改接口的写入函数修改支付页面的内容。由于不是所有的网页都是与支付有关的支付网页,因此在实施本专利技术实施例中在对支付页面进行外部请求拦截时,在步骤401中还包括判断所述页面是否为网银支付页面的过程。在判断页面是否为支付页面时,可以通过页面url进行判断,如对于一个支付页面,其 url 为 https ://netpay. cmbchina. com/netpayment/BaseHttp. dll,则有支付 url 的路径〈rule host=〃https ://netpay. cmbchina. com〃 path=///netpayment/BaseHttp. dll PrePayC*〃 level="3"/>通过将该url与存储的网银支付类url的特征(该特征可以预先定义并存储)进行比较,则可以判断本文档来自技高网...
【技术保护点】
一种支付网页防修改方法,其特征在于,所述方法包括:判断修改网页界面接口收到的请求是否为外部请求,所述外部请求是指与运行所述网页进程不同的其他进程发出的跨进程请求;当判断结果为所述请求为外部请求时,拦截所述外部请求。
【技术特征摘要】
【专利技术属性】
技术研发人员:林杰,班五三,孟齐源,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。