一種網(wǎng)頁重定向漏洞檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全技術(shù),尤其涉及一種網(wǎng)頁重定向漏洞檢測(cè)方法及裝置�����。
【背景技術(shù)】
[0002]網(wǎng)頁重定向(redirect)是指在一些目標(biāo)網(wǎng)頁被訪問時(shí)通過一些機(jī)制實(shí)現(xiàn)瀏覽器被自動(dòng)導(dǎo)航至一個(gè)新的頁面的技術(shù)���。網(wǎng)頁重定向給網(wǎng)站的設(shè)計(jì)帶來了很多便利��,但同時(shí)也給網(wǎng)絡(luò)安全技術(shù)帶來了挑戰(zhàn)�����。一些使用重定向技術(shù)的網(wǎng)頁中存在網(wǎng)頁重定向漏洞����,即負(fù)責(zé)重定向的網(wǎng)頁程序沒有驗(yàn)證目標(biāo)網(wǎng)址是否合法���,直接重定向到目標(biāo)網(wǎng)址����,這種網(wǎng)頁可被利用進(jìn)行釣魚攻擊,從而導(dǎo)致泄露用戶帳號(hào)及密碼等敏感信息���。
[0003]網(wǎng)頁重定向漏洞可以分為普通網(wǎng)頁重定向漏洞����、DOM (Document Object Model,文檔對(duì)象模型)網(wǎng)頁重定向漏洞與多次網(wǎng)頁重定向漏洞���。其中����,普通網(wǎng)頁重定向漏洞是指在負(fù)責(zé)轉(zhuǎn)向的網(wǎng)頁程序返回源碼中可以找到目標(biāo)網(wǎng)址��,這種漏洞只要根據(jù)簡單的特征匹配即可發(fā)現(xiàn)��。DOM網(wǎng)頁重定向漏洞是指負(fù)責(zé)轉(zhuǎn)向的網(wǎng)頁程序由腳本代碼實(shí)現(xiàn)��,且在網(wǎng)頁程序返回源碼中無法找到目標(biāo)網(wǎng)址��,這種漏洞難以檢測(cè)�。多次網(wǎng)頁重定向漏洞是指經(jīng)過多次重定向才會(huì)重定向到目標(biāo)網(wǎng)址的漏洞��,比如網(wǎng)頁程序A重定向到網(wǎng)頁程序B,B又重定向到網(wǎng)頁程序C����,C才最終重定向到目標(biāo)網(wǎng)址,這種漏洞也難以檢測(cè)����。
[0004]現(xiàn)有技術(shù)檢測(cè)方案只能通過簡單的特征匹配檢測(cè)普通網(wǎng)頁重定向漏洞,無法檢測(cè)DOM網(wǎng)頁重定向漏洞及多次網(wǎng)頁重定向漏洞�。
【發(fā)明內(nèi)容】
[0005]有鑒于此,有必要提供一種網(wǎng)頁重定向漏洞檢測(cè)方法及裝置��,其能夠檢測(cè)網(wǎng)站中的各種重定向漏洞�。
[0006]一種網(wǎng)頁重定向漏洞檢測(cè)方法,包括:獲取目標(biāo)網(wǎng)頁內(nèi)的輸入?yún)?shù)�����;通過瀏覽器引擎發(fā)出第一網(wǎng)絡(luò)請(qǐng)求將測(cè)試網(wǎng)址作為所述輸入?yún)?shù)的值提交至所述目標(biāo)網(wǎng)頁���;監(jiān)測(cè)所述瀏覽器引擎發(fā)出的第二網(wǎng)絡(luò)請(qǐng)求并將所述第二網(wǎng)絡(luò)請(qǐng)求的目標(biāo)網(wǎng)址與所述測(cè)試網(wǎng)址進(jìn)行比較��;若檢測(cè)到所述第二網(wǎng)絡(luò)請(qǐng)求的目標(biāo)網(wǎng)址與所述測(cè)試網(wǎng)址相匹配則記錄所述目標(biāo)網(wǎng)頁的所述參數(shù)存在網(wǎng)頁重定向漏洞����。
[0007]—種網(wǎng)頁重定向漏洞檢測(cè)裝置,包括:參數(shù)獲取模塊��,用于獲取目標(biāo)網(wǎng)頁內(nèi)的輸入?yún)?shù)���;請(qǐng)求發(fā)送模塊���,用于通過瀏覽器引擎發(fā)出第一網(wǎng)絡(luò)請(qǐng)求將測(cè)試網(wǎng)址作為所述輸入?yún)?shù)的值提交至所述目標(biāo)網(wǎng)頁;監(jiān)測(cè)模塊�����,用于監(jiān)測(cè)所述瀏覽器引擎發(fā)出的第二網(wǎng)絡(luò)請(qǐng)求并將所述第二網(wǎng)絡(luò)請(qǐng)求的目標(biāo)網(wǎng)址與所述測(cè)試網(wǎng)址進(jìn)行比較��;漏洞檢測(cè)模塊����,用于若檢測(cè)到所述第二網(wǎng)絡(luò)請(qǐng)求的目標(biāo)網(wǎng)址與所述測(cè)試網(wǎng)址相匹配則記錄所述目標(biāo)網(wǎng)頁的所述參數(shù)存在網(wǎng)頁重定向漏洞。
[0008]根據(jù)上述的網(wǎng)頁重定向漏洞檢測(cè)方法及裝置�����,通過瀏覽器引擎模擬了正常的網(wǎng)頁的加載過程��,無論是多次網(wǎng)頁重定向漏洞���,還是腳本重定向漏洞都能夠檢測(cè)出來���,提升了網(wǎng)頁重定向漏洞檢測(cè)的覆蓋率。
[0009]為讓本發(fā)明的上述和其他目的���、特征和優(yōu)點(diǎn)能更明顯易懂��,下文特舉較佳實(shí)施例�����,并配合所附圖式�,作詳細(xì)說明如下�。
【附圖說明】
[0010]圖1為本發(fā)明實(shí)施例提供的方法及裝置的運(yùn)行環(huán)境示意圖。
[0011]圖2為圖1中的漏洞檢測(cè)服務(wù)器的結(jié)構(gòu)框圖�。
[0012]圖3為圖1中的網(wǎng)站服務(wù)器的結(jié)構(gòu)框圖。
[0013]圖4及圖5為第一實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)方法流程圖��。
[0014]圖6為第二實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)方法流程圖���。
[0015]圖7為第三實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)方法流程圖�。
[0016]圖8為第四實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)方法流程圖�。
[0017]圖9為第五實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)裝置的結(jié)構(gòu)框圖�����。
[0018]圖10為第六實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)裝置的結(jié)構(gòu)框圖�����。
[0019]圖11為第七實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)裝置的結(jié)構(gòu)框圖��。
[0020]圖12為第八實(shí)施例提供的網(wǎng)頁重定向漏洞檢測(cè)裝置的結(jié)構(gòu)框圖���。
【具體實(shí)施方式】
[0021]為更進(jìn)一步闡述本發(fā)明為實(shí)現(xiàn)預(yù)定發(fā)明目的所采取的技術(shù)手段及功效,以下結(jié)合附圖及較佳實(shí)施例�,對(duì)依據(jù)本發(fā)明的【具體實(shí)施方式】、結(jié)構(gòu)���、特征及其功效��,詳細(xì)說明如后����。
[0022]本發(fā)明實(shí)施例涉及一種網(wǎng)頁重定向漏洞檢測(cè)方法及裝置��,其用于在檢測(cè)網(wǎng)站內(nèi)各網(wǎng)頁中是否存在網(wǎng)頁重定向漏洞��。參閱圖1,其為上述的方法及裝置的運(yùn)行環(huán)境示意圖�����。一個(gè)或多個(gè)漏洞檢測(cè)服務(wù)器100 (圖1中僅示出一個(gè))可通過網(wǎng)絡(luò)與一個(gè)或多個(gè)網(wǎng)站服務(wù)器200 (圖1中僅示出一個(gè))相連�����。上述的網(wǎng)絡(luò)例如可為互聯(lián)網(wǎng)���、局域網(wǎng)、企業(yè)內(nèi)部網(wǎng)等�。
[0023]進(jìn)一步參閱圖2,其為上述的漏洞檢測(cè)服務(wù)器100的一個(gè)實(shí)施例的結(jié)構(gòu)框圖��。如圖2所示���,漏洞檢測(cè)服務(wù)器100包括:存儲(chǔ)器102�、存儲(chǔ)控制器104����、一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器106、外設(shè)接口 108以及網(wǎng)絡(luò)模塊110�����。可以理解��,圖2所示的結(jié)構(gòu)僅為示意����,其并不對(duì)漏洞檢測(cè)服務(wù)器100的結(jié)構(gòu)造成限定。例如��,漏洞檢測(cè)服務(wù)器100還可包括比圖2中所示更多或者更少的組件�����,或者具有與圖2所示不同的配置��。
[0024]存儲(chǔ)器102可用于存儲(chǔ)軟件程序以及模塊���,如本發(fā)明實(shí)施例中的網(wǎng)頁重定向漏洞檢測(cè)方法及裝置對(duì)應(yīng)的程序指令/模塊��,處理器104通過運(yùn)行存儲(chǔ)在存儲(chǔ)器102內(nèi)的軟件程序以及模塊�����,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理���,即實(shí)現(xiàn)上述的方法�。
[0025]存儲(chǔ)器102可包括高速隨機(jī)存儲(chǔ)器���,還可包括非易失性存儲(chǔ)器,如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置�����、閃存�、或者其他非易失性固態(tài)存儲(chǔ)器。在一些實(shí)例中�����,存儲(chǔ)器102可進(jìn)一步包括相對(duì)于處理器106遠(yuǎn)程設(shè)置的存儲(chǔ)器��,這些遠(yuǎn)程存儲(chǔ)器可以通過網(wǎng)絡(luò)連接至漏洞檢測(cè)服務(wù)器100��。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)����、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)����、移動(dòng)通信網(wǎng)及其組合����。處理器106以及其他可能的組件對(duì)存儲(chǔ)器102的訪問可在存儲(chǔ)控制器104的控制下進(jìn)行��。
[0026]外設(shè)接口 108將各種輸入/輸入裝置耦合至處理器106�。處理器106運(yùn)行存儲(chǔ)器102內(nèi)的各種軟件、指令計(jì)算裝置100執(zhí)行各種功能以及進(jìn)行數(shù)據(jù)處理��。在一些實(shí)施例中�����,外設(shè)接口 108����、處理器106以及存儲(chǔ)控制器104可以在單個(gè)芯片中實(shí)現(xiàn)。在其他一些實(shí)例中�,他們可以分別由獨(dú)立的芯片實(shí)現(xiàn)。
[0027]網(wǎng)絡(luò)模塊110用于接收以及發(fā)送網(wǎng)絡(luò)信號(hào)�����。上述網(wǎng)絡(luò)信號(hào)可包括無線信號(hào)或者有線信號(hào)。在一個(gè)實(shí)例中���,上述網(wǎng)絡(luò)信號(hào)為有線網(wǎng)絡(luò)信號(hào)����。此時(shí)�,網(wǎng)絡(luò)模塊110可包括處理器、隨機(jī)存儲(chǔ)器����、轉(zhuǎn)換器��、晶體振蕩器等元件�。
[0028]上述的軟件程序以及模塊包括:操作系統(tǒng)122、瀏覽器引擎124以及漏洞檢測(cè)模塊126�。其中操作系統(tǒng)122例如可為LINUX, UNIX, WINDOWS,其可包括各種用于管理系統(tǒng)任務(wù)(例如內(nèi)存管理����、存儲(chǔ)設(shè)備控制、電源管理等)的軟件組件和/或驅(qū)動(dòng)�����,并可與各種硬件或軟件組件相互通訊,從而提供其他軟件組件的運(yùn)行環(huán)境����。瀏覽器引擎124以及漏洞檢測(cè)模塊126運(yùn)行在操作系統(tǒng)122的基礎(chǔ)上。瀏覽器引擎124例如可為Webkit瀏覽器引擎��。漏洞檢測(cè)模塊126通過瀏覽器引擎124具體實(shí)現(xiàn)本發(fā)明實(shí)施例的網(wǎng)頁重定向漏洞檢測(cè)方法����。
[0029]進(jìn)一步參閱圖3,其為圖1中的網(wǎng)站服務(wù)器200的一個(gè)實(shí)施例的結(jié)構(gòu)框圖�。如圖3所示,其與漏洞檢測(cè)服務(wù)器100的結(jié)構(gòu)相似����,其不同之處在于,網(wǎng)站服務(wù)器200可不包括瀏覽器引擎124以及漏洞檢測(cè)模塊126�,而包括網(wǎng)站服務(wù)器模塊224。網(wǎng)站服務(wù)器模塊224運(yùn)行在操作系統(tǒng)122的基礎(chǔ)上��,并通過操作系統(tǒng)122的網(wǎng)絡(luò)服務(wù)監(jiān)聽來自網(wǎng)絡(luò)的網(wǎng)頁訪問請(qǐng)求�,根據(jù)網(wǎng)頁訪問請(qǐng)求完成相應(yīng)的數(shù)據(jù)處理,并返回結(jié)果網(wǎng)頁或者其他格式的數(shù)據(jù)給客戶端��。上述的網(wǎng)站服務(wù)器模塊224例如可包括動(dòng)態(tài)網(wǎng)頁腳本以及腳本解釋器等