一種漏洞檢測的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全技術(shù)領(lǐng)域,尤其涉及一種漏洞檢測的方法及裝置�。
【背景技術(shù)】
[0002]JS0N(JavaScriptObjectNotation,JS0N)是一種輕量級的數(shù)據(jù)交換格式�����,JS0N 劫持(JS0N化jacking)是利用JS0N格式數(shù)據(jù)來進(jìn)行攻擊��,當(dāng)服務(wù)器存在JS0N劫持漏洞時�����, 黑客可W利用該漏洞����,在合法用戶不知情的情況下獲取到該用戶的敏感信息,例如��,郵件內(nèi) 容、銀行賬戶���,甚至是支付密碼�����,等等����,給用戶的信息安全造成了巨大的危害����。
[0003] 對于JS0N劫持的漏洞檢測,目前僅能夠簡單地實現(xiàn)對頁面與服務(wù)器交互過程中 產(chǎn)生的JS0N數(shù)據(jù)的抓取����,在數(shù)據(jù)抓取完成之后,還需要人工地通過抓取到的數(shù)據(jù)來確認(rèn)頁 面與服務(wù)器的交互接口是否存在JS0N劫持漏洞����。上述方法的檢測效率低下,完全無法滿足 互聯(lián)網(wǎng)中海量交互接口的漏洞檢測需求���。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明實施例的目的在于提供一種漏洞檢測的方法��,旨在解決現(xiàn)有技術(shù)中只能通 過人工的方式對JS0N劫持漏洞進(jìn)行檢測�����,導(dǎo)致檢測效率低的問題����。
[0005] 本發(fā)明實施例是該樣實現(xiàn)的��,一種漏洞檢測的方法��,包括:
[0006] 通過攜帶用戶身份標(biāo)識的第一訪問方式訪問服務(wù)器提供的統(tǒng)一資源定位符U化�, 獲取所述服務(wù)器返回的第一數(shù)據(jù)內(nèi)容;
[0007] 通過不攜帶所述用戶身份標(biāo)識的第二訪問方式訪問所述U化��,獲取所述服務(wù)器返 回的第二數(shù)據(jù)內(nèi)容�;
[0008] 判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件,所述預(yù)設(shè)的漏洞檢測條件包括所述 第一數(shù)據(jù)內(nèi)容和所述第二數(shù)據(jù)內(nèi)容不相同��;
[0009]當(dāng)所述訪問結(jié)果符合預(yù)設(shè)的漏洞檢測條件時���,判定所述URL存在漏洞��。
[0010] 本發(fā)明實施例的另一目的在于提供一種漏洞檢測的裝置�,包括:
[0011] 第一訪問單元,用于通過攜帶用戶身份標(biāo)識的第一訪問方式訪問服務(wù)器提供的統(tǒng) 一資源定位符U化�,獲取所述服務(wù)器返回的第一數(shù)據(jù)內(nèi)容;
[0012] 第二訪問單元��,用于通過不攜帶所述用戶身份標(biāo)識的第二訪問方式訪問所述U化�����, 獲取所述服務(wù)器返回的第二數(shù)據(jù)內(nèi)容�����;
[0013] 判斷單元�����,用于判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件���,所述預(yù)設(shè)的漏洞檢 測條件包括所述第一數(shù)據(jù)內(nèi)容和所述第二數(shù)據(jù)內(nèi)容不相同�����;
[0014] 判定單元�����,用于當(dāng)所述訪問結(jié)果符合預(yù)設(shè)的漏洞檢測條件時�,判定所述URL存在 漏洞。
[0015] 在本發(fā)明實施例中��,通過自動向服務(wù)器提供的U化發(fā)起不同方式的訪問���,根據(jù)服 務(wù)器針對每一種訪問方式所返回的數(shù)據(jù)內(nèi)容進(jìn)行對比判斷�����,W檢測出該U化是否存在JS0N 劫持漏洞�,由此提高了漏洞檢測的效率�����。
【附圖說明】
[0016] 圖1是本發(fā)明實施例提供的漏洞檢測的方法的實現(xiàn)流程圖����;
[0017] 圖2是本發(fā)明另一實施例提供的漏洞檢測的方法的實現(xiàn)流程圖�;
[0018] 圖3是本發(fā)明另一實施例提供的漏洞檢測的方法的實現(xiàn)流程圖;
[0019] 圖4是本發(fā)明實施例提供的漏洞檢測的裝置的結(jié)構(gòu)框圖�。
【具體實施方式】
[0020] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,W下結(jié)合附圖及實施例���,對 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明���。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用W解釋本發(fā)明����,并 不用于限定本發(fā)明。
[0021] 在本發(fā)明實施例中���,通過自動向服務(wù)器提供的統(tǒng)一資源定位符(化iform Resource Locator, U化)發(fā)起不同方式的訪問�����,根據(jù)服務(wù)器針對每一種訪問方式所返回的 數(shù)據(jù)內(nèi)容進(jìn)行對比判斷�,W檢測出該U化是否存在JS0N劫持漏洞����,由此提高了漏洞檢測的 效率。
[0022] 首先��,關(guān)于所述JS0N劫持漏洞:
[0023] 當(dāng)在客戶端通過超文本標(biāo)記語言(HypedextMarkupLanguage,HTML)頁面訪問 服務(wù)器提供的某個U化時�,便開始了客戶端與服務(wù)器的交互過程�。例如�,服務(wù)器可W在該 U化上定義通用網(wǎng)關(guān)接口(CommonGatewayInte計ace,CGI),當(dāng)服務(wù)器接收到客戶端對該 U化的請求時,與該CGI相關(guān)的程序就會被調(diào)用����,將客戶端發(fā)送的數(shù)據(jù)作為該程序的輸入, 而該程序的輸出則會由服務(wù)器返回給客戶端����,該部分返回的數(shù)據(jù)內(nèi)容中可能包括了與該用 戶相關(guān)的信息,在該情況下���,稱該個U化存在JS0N劫持漏洞��,正是基于該JS0N劫持漏洞����,黑 客能夠引誘用戶通過客戶端點擊該URレ從而截取到服務(wù)器返回的該用戶相關(guān)的信息�����,導(dǎo)致 用戶信息遭到泄露����。
[0024] 例如,某互聯(lián)網(wǎng)公司的郵箱業(yè)務(wù)存在JS0N劫持漏洞�,通過訪問郵箱業(yè)務(wù)的服務(wù) 器,能夠獲取到用戶的郵件列表�,從而進(jìn)一步獲取到用戶郵件中的私密信息?��;谠揓S0N 劫持漏洞�,黑客可W在其站點中嵌入W下代碼:
[00 巧]
【主權(quán)項】
1. 一種漏洞檢測的方法�����,其特征在于�,包括: 通過攜帶用戶身份標(biāo)識的第一訪問方式訪問服務(wù)器提供的統(tǒng)一資源定位符URL,獲取 所述服務(wù)器返回的第一數(shù)據(jù)內(nèi)容��; 通過不攜帶所述用戶身份標(biāo)識的第二訪問方式訪問所述URL�,獲取所述服務(wù)器返回的 第二數(shù)據(jù)內(nèi)容; 判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件��,所述預(yù)設(shè)的漏洞檢測條件包括所述第一 數(shù)據(jù)內(nèi)容和所述第二數(shù)據(jù)內(nèi)容不相同���; 當(dāng)所述訪問結(jié)果符合預(yù)設(shè)的漏洞檢測條件時��,判定所述URL存在漏洞�。
2. 如權(quán)利要求1所述的方法,其特征在于�����,在所述獲取所述服務(wù)器返回的第一數(shù)據(jù)內(nèi) 容之后��,所述判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件之前��,所述方法還包括: 將所述第一數(shù)據(jù)內(nèi)容與預(yù)置的敏感信息進(jìn)行字符串匹配�����; 則所述預(yù)設(shè)的漏洞檢測條件還包括: 所述第一數(shù)據(jù)內(nèi)容中包含與預(yù)置的敏感信息匹配的內(nèi)容����。
3. 如權(quán)利要求1或2所述的方法,其特征在于�,所述第一訪問方式和所述第二訪問方式 均攜帶所述URL的第一超文本傳輸協(xié)議HTTP來源地址,所述第一 HTTP來源地址為預(yù)先構(gòu) 造的HTTP來源地址�����。
4. 如權(quán)利要求1或2所述的方法�����,其特征在于����,所述第一訪問方式和所述第二訪問方式 均攜帶所述URL的第二HTTP來源地址,所述第二HTTP來源地址為所述服務(wù)器提供的HTTP 來源地址��。
5. 如權(quán)利要求4所述的方法����,其特征在于,在所述獲取所述服務(wù)器返回的第一數(shù)據(jù)內(nèi) 容之后����,所述判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件之前,所述方法還包括: 通過攜帶所述用戶身份標(biāo)識且不攜帶所述URL的所述第二HTTP來源地址的第三訪問 方式訪問所述URL��,獲取所述服務(wù)器返回的所述第三數(shù)據(jù)內(nèi)容���; 所述預(yù)設(shè)的漏洞檢測條件還包括: 所述第一數(shù)據(jù)內(nèi)容和所述第三數(shù)據(jù)內(nèi)容相同�����。
6. -種漏洞檢測的裝置��,其特征在于����,包括: 第一訪問單元,用于通過攜帶用戶身份標(biāo)識的第一訪問方式訪問服務(wù)器提供的統(tǒng)一資 源定位符URL��,獲取所述服務(wù)器返回的第一數(shù)據(jù)內(nèi)容���; 第二訪問單元�����,用于通過不攜帶所述用戶身份標(biāo)識的第二訪問方式訪問所述URL��,獲取 所述服務(wù)器返回的第二數(shù)據(jù)內(nèi)容�����; 判斷單元��,用于判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件�����,所述預(yù)設(shè)的漏洞檢測條 件包括所述第一數(shù)據(jù)內(nèi)容和所述第二數(shù)據(jù)內(nèi)容不相同����; 判定單元,用于當(dāng)所述訪問結(jié)果符合預(yù)設(shè)的漏洞檢測條件時��,判定所述URL存在漏洞��。
7. 如權(quán)利要求6所述的裝置���,其特征在于,所述裝置還包括: 匹配單元�����,用于將所述第一數(shù)據(jù)內(nèi)容與預(yù)置的敏感信息進(jìn)行字符串匹配���; 則所述預(yù)設(shè)的漏洞檢測條件還包括: 所述第一數(shù)據(jù)內(nèi)容中包含與預(yù)置的敏感信息匹配的內(nèi)容����。
8. 如權(quán)利要求6或7所述的裝置��,其特征在于����,所述第一訪問方式和所述第二訪問方式 均攜帶所述URL的第一超文本傳輸協(xié)議HTTP來源地址,所述第一 HTTP來源地址為預(yù)先構(gòu) 造的HTTP來源地址。
9. 如權(quán)利要求6或7所述的裝置��,其特征在于�����,所述第一訪問方式和所述第二訪問方式 均攜帶所述URL的第二HTTP來源地址���,所述第二HTTP來源地址為所述服務(wù)器提供的HTTP 來源地址��。
10. 如權(quán)利要求9所述的裝置�����,其特征在于��,所述裝置還包括: 第三訪問單元����,用于通過攜帶所述用戶身份標(biāo)識且不攜帶所述URL的所述第二HTTP來 源地址的第三訪問方式訪問所述URL����,獲取所述服務(wù)器返回的所述第三數(shù)據(jù)內(nèi)容; 則所述預(yù)設(shè)的漏洞檢測條件還包括: 所述第一數(shù)據(jù)內(nèi)容和所述第三數(shù)據(jù)內(nèi)容相同�����。
【專利摘要】本發(fā)明適用于信息安全技術(shù)領(lǐng)域,提供了一種漏洞檢測的方法及裝置��,包括:通過攜帶用戶身份標(biāo)識的第一訪問方式訪問服務(wù)器提供的URL�,獲取所述服務(wù)器返回的第一數(shù)據(jù)內(nèi)容;通過不攜帶所述用戶身份標(biāo)識的第二訪問方式訪問所述URL����,獲取所述服務(wù)器返回的第二數(shù)據(jù)內(nèi)容���;判斷訪問結(jié)果是否符合預(yù)設(shè)的漏洞檢測條件����,所述預(yù)設(shè)的漏洞檢測條件包括所述第一數(shù)據(jù)內(nèi)容和所述第二數(shù)據(jù)內(nèi)容不相同�����;當(dāng)所述訪問結(jié)果符合預(yù)設(shè)的漏洞檢測條件時����,判定所述URL存在漏洞。在本發(fā)明中�����,通過自動向服務(wù)器提供的URL發(fā)起不同方式的訪問,根據(jù)服務(wù)器針對每一種訪問方式所返回的數(shù)據(jù)內(nèi)容進(jìn)行對比判斷����,以檢測出該URL是否存在漏洞,由此提高了漏洞檢測的效率�。
【IPC分類】H04L29-08, H04L29-06, H04L12-26
【公開號】CN104753730
【申請?zhí)枴緾N201310744434
【發(fā)明人】羅嘉飛
【申請人】騰訊科技(深圳)有限公司
【公開日】2015年7月1日
【申請日】2013年12月30日