点击劫持安全检测方法和装置.pdf

本发明的实施例提供一种点击劫持安全检测方法和装置，该方法包括：将待检测网页中的按钮元素和网页URL信息进行分离；将按钮元素与敏感元素数据库中的敏感元素进行比对；如果所述按钮元素中存在敏感元素数据库中的敏感元素，则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对；如果所述待检测网页的网页URL信息在所述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。该方法能实现SNS类网站的点击劫持攻击的自动化安全检测。

1.  一种点击劫持安全检测方法，其特征在于，所述方法包括：
将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离；
将所述按钮元素与敏感元素数据库中的敏感元素进行比对，如果所述按钮元素中存在敏感元素数据库中的敏感元素，则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对；
如果所述待检测网页的网页URL信息在所述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。

2.  根据权利要求1所述的方法，其特征在于，在所述将待检测网页中的按钮元素和网页URL信息进行分离之前，还包括如下步骤：
获取待检测网页，对所述待检测网页进行动态解析。

3.  根据权利要求1或2所述的方法，其特征在于，所述执行点击劫持的安全检测包括如下步骤：
发送待检测网页的超文本传输协议HTTP请求；
检测返回的HTTP报头中是否含有X-FRAME-OPTIONS头，如果不含有X-FRAME-OPTIONS头，则判定该待检测网页存在点击劫持漏洞，否则，该待检测网页不存在点击劫持漏洞。

4.  根据权利要求1或2所述的方法，其特征在于，所述敏感元素包括能够造成点击劫持攻击的按钮元素代码。

5.  根据权利要求1或2所述的方法，其特征在于，所述网址白名单中包含业务需求中允许被其他网页嵌入的网址URL信息。

6.  一种点击劫持安全检测装置，其特征在于，包括：
按钮元素分离模块，用于将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离；
敏感元素存储模块，用于存储敏感元素；
网址白名单存储模块，用于存储网址白名单；
第一比对模块，用于将所述按钮元素与敏感元素存储模块中的敏感元素进行比对；
第二比对模块，用于如果所述按钮元素中存在敏感元素存储模块中的敏感元素，则将 待检测网页的网页URL信息与网址白名单进行比对；
点击劫持安全检测模块，用于如果所述待检测网页的网页URL信息在所述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。

7.  根据权利要求6所述的装置，其特征在于，还包括：
网页动态解析模块，用于获取待检测网页，对待检测网页进行动态解析后发送给所述按钮元素分离模块。

8.  根据权利要求6或7所述的装置，其特征在于，所述点击劫持安全检测模块，具体用于发送待检测网页的超文本传输协议HTTP请求；检测返回的HTTP报头中是否含有X-FRAME-OPTIONS头，如果不含有X-FRAME-OPTIONS头，则判定该待检测网页存在点击劫持漏洞，否则，该待检测网页不存在点击劫持漏洞。

9.  根据权利要求6或7所述的装置，其特征在于，所述敏感元素存储模块中存储的敏感元素包括能够造成点击劫持攻击的按钮元素代码。

10.  根据权利要求6或7所述的装置，其特征在于，所述网址白名单存储模块中存储的网址白名单中包含业务需求中允许被其他网页嵌入的网址URL信息。

点击劫持安全检测方法和装置
技术领域
本发明涉及计算机网络安全技术领域，具体涉及应用于社会性网络站点SNS中的点击劫持安全检测方法和装置。
背景技术
Clickjacking(点击劫持)是一种视觉欺骗的Web攻击方式，通过诱骗用户点击包含隐藏按钮的网页的某些部分来执行恶意程序，隐藏按钮是通过隐形的iframe(iframe是HTML标签，iframe元素会创建包含另外一个文档的内联框架(即行内框架))实现的，黑客则可以通过iframe将其他内容载入目标网站。如果是黑客精心设计Clickjacking攻击页面，那么无论用户进行正常鼠标点击还是无意间的鼠标点击动作，都可能会点击导致下载木马程序等恶意行为。
在实现本发明过程中，发明人发现上述现有的点击劫持的防御技术的至少存在如下问题：
目前大型网站的页面众多，有的页面根据业务需求，是必须要被其他网站嵌套的。但是有的敏感页面是不允许被其他页面嵌套，这样给几乎无法进行自动化检测点击劫持漏洞，误报率很高，几乎不可用。
尤其是对于SNS(SNS：专指在帮助人们建立社会性网络的互联网应用服务。也指社会现有已成熟普及的信息载体，如短信SMS服务。SNS的另一种常用解释：全称Social Network Site，即“社交网站”或“社交网”)网站，交互性的特点会放大点击劫持攻击的效果，可能造成大规模蠕虫爆发，给用户造成极大的损失。
由于点击劫持漏洞的利用难度低，检测困难，所以曾经发生过很多大规模的攻击案例，造成很大的安全风险。
目前基于SNS类的网站的防护都是基于人工发现和自主配置的，但不能实现进行自动化的点击劫持安全检测。
发明内容
本发明的目的是提供一种点击劫持安全检测方法和装置，以实现SNS类网站的点击劫持攻击的自动化安全检测。
一方面，本发明实施例提供了一种点击劫持安全检测方法，所述方法包括：
将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离；
将所述按钮元素与敏感元素数据库中的敏感元素进行比对，如果所述按钮元素中存在敏感元素数据库中的敏感元素，则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对；
如果所述待检测网页的网页URL信息在所述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。
另一方面，本发明实施例提供了一种点击劫持安全检测装置，其包括：
按钮元素分离模块，用于将待检测网页中的按钮元素和网页统一资源定位符URL信息进行分离；
敏感元素存储模块，用于存储敏感元素；
网址白名单存储模块，用于存储网址白名单；
第一比对模块，用于将所述按钮元素与敏感元素存储模块中的敏感元素进行比对；
第二比对模块，用于如果所述按钮元素中存在敏感元素存储模块中的敏感元素，则将待检测网页的网页URL信息与网址白名单进行比对；
点击劫持安全检测模块，用于如果所述待检测网页的网页URL信息在所述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。
上述技术方案具有如下有益效果：由于采用了按钮元素分离、网址白名单等技术，使得点击劫持漏洞的自动化检测变得可控和可持续迭代，因而有大大提高了点击劫持漏洞的检测速度和检测准确度，检测成本低，检测效果好。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明的实施例的点击劫持安全检测方法的流程图；
图2为本发明的实施例的点击劫持安全检测装置的逻辑框图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明通过检测SNS网站(Social Networking Site，社会性网络站点，主要作用是为一群拥有相同兴趣与活动的人建立线上社区，比较知名的有FaceBook，Twitter，微博等)网页内敏感元素，确定是否需要进行点击劫持的安全检测，然后通过检测网页是否含有相应的安全HTTP响应来进行自动化的点击劫持自动化检测，提出了相应的方法和装置，解决了SNS类网站的点击劫持攻击的自动化安全检测问题。
本发明实施例提供了一种应用于SNS中的点击劫持安全检测的方法和装置，从而完成SNS类网站点击劫持的自动化安全检测。
图1为本发明的实施例的点击劫持安全检测方法的流程图。如图1所示，该点击劫持安全检测方法包括：
步骤102：将待检测网页中的按钮元素和网页URL信息进行分离；
步骤104：将按钮元素与敏感元素数据库中的敏感元素进行比对，如果该按钮元素中不存在敏感元素，则不执行点击劫持的安全检测，即判定该网页不存在点击劫持漏洞；如果所述按钮元素中存在敏感元素数据库中的敏感元素，则将待检测网页的网页URL信息与网址白名单数据库中的网址白名单进行比对；
较佳地，该敏感元素包括能够造成点击劫持攻击的按钮元素代码。
较佳地，该网址白名单中可包含业务需求中允许被其他网页嵌入的网址URL信息。
步骤106：如果该待检测网页的网页URL信息在上述网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。
可选地，在步骤102之前可以包括步骤101：获取待检测的网页，对待检测的网页进行动态解析。动态解析的目的是为了解析出javascript语言，得到的是含有html和javascript语言被运行后生成的DOM树，常规情况下，javascript生成的DOM树无法通过源代码发 现，所以要进行动态解析。在后续相应步骤中可将动态解析后的网页中所有按钮元素和待检测的网页URL信息分离(提取)出来。
较佳地，上述步骤106中执行点击劫持的安全检测的具体处理过程可以包括：向URL信息所在的服务器发送待检测网页的HTTP请求，检测返回的HTTP报头中是否含有X-FRAME-OPTIONS头，如果不含有X-FRAME-OPTIONS头，则判定该待检测的网页存在点击劫持漏洞，否则，判定该待检测的网页进行了点击劫持防御，该网页不存在点击劫持漏洞。
X-FRAME-OPTIONS是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击。
并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。
这个头有三个值：
DENY  //拒绝任何域加载
SAMEORIGIN  //允许同源域下加载
ALLOW-FROM  //可以定义允许frame加载的页面地址
程序通过给HTTP响应包增加该响应头，浏览器在加载页面的时候会通过判断响应头来确定如何加载iframe的页面，这样达到了防御点击劫持攻击的效果。
该应用于SNS中的点击劫持安全检测方法由于采用了按钮元素分离、网址白名单等技术，使得点击劫持漏洞的自动化检测变得可控和可持续迭代，因而有大大提高了点击劫持漏洞的检测速度和检测准确度，检测成本低，检测效果好的有益效果。
由于需要检测的网页有很多，网页上的按钮元素也有很多，但是很多按钮元素对应的请求都是一样的，落到后端的请求都是一致的。本发明的实施例将按钮元素所对应的请求作为上述第一比对模块中的按钮元素进行对比，这样在检测时不管有多少个按钮，只要对应到后端的请求符合敏感元素，即视为需要进行点击劫持的安全检测。这样实际的计算量小了很多，因而可以大大提高检测速度。
点击劫持的自动化检测难点之一在于很多按钮根据功能需求，是可以被嵌入其他网页的。功能需求是千变万化的，这样的情况由于不可控导致了点击劫持漏洞的自动化检测误报率非常之高，甚至不可用。本发明的实施例由于采用了网址白名单，功能需求导致的不可控因素在白名单中进行控制，尤其是SNS类网站，此类需求单一且可控性高，所以大大提升了检测准确度。
根据本发明的实施例提供的上述方法，本发明的实施例还提供了点击劫持安全检测装 置。图2为本发明的实施例的应用于社会性网络站点SNS中的点击劫持安全检测装置的功能框图。如图2所示，该装置包括：
按钮元素分离模块220，用于将待检测网页中的按钮元素和网页URL信息进行分离；
敏感元素存储模块230，用于存储敏感元素；该敏感元素存储模块230中存储的敏感元素包括可能或能够造成点击劫持攻击的按钮元素代码；典型地，敏感元素信息可以是“关注”，“赞”，“发布”等。
网址白名单存储模块240，用于存储网址白名单；该网址白名单存储模块240中存储的网址白名单中可包含业务需求中允许被其他网页嵌入的网址URL信息；
第一比对模块250，用于将上述按钮元素与敏感元素存储模块230中的敏感元素进行比对，如果该按钮元素中不存在敏感元素，则不执行点击劫持的安全检测；
第二比对模块260，用于如果上述按钮元素中存在敏感元素存储模块230中的敏感元素，则将待检测网页的网页URL信息与网址白名单进行比对；
点击劫持安全检测模块270，用于如果该待检测网页的网页URL信息在网址白名单中，则不执行点击劫持的安全检测；如果待检测网页的网页URL信息不在网址白名单中，则执行点击劫持的安全检测。
进一步，该装置还包括：网页动态解析模块210，用于获取待检测网页，对待检测网页进行动态解析后发送给按钮元素分离模块220。
较佳地，该点击劫持安全检测模块270，具体可用于发送待检测网页的HTTP请求；检测返回的/响应的HTTP报头中是否含有X-FRAME-OPTIONS头，如果不含有X-FRAME-OPTIONS头，则判定该待检测网页存在点击劫持漏洞，否则，该待检测网页不存在点击劫持漏洞。
该装置的工作过程可参阅前述方法实施例，在此不再赘述。
上述装置的优点在于：
该装置由于采用了按钮元素分离、网址白名单等技术，使得点击劫持漏洞的自动化检测变得可控和可持续迭代，因而有大大提高了点击劫持漏洞的检测速度和检测准确度，检测成本低，检测效果好的有益效果。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block)，单元，和步骤可以通过电子硬件、电脑软件，或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability)，上述的各种说明性部件(illustrative components)，单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软 件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用，可以使用各种方法实现所述的功能，但这种实现不应被理解为超出本发明实施例保护的范围。
以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。