[发明专利]一种网页重定向漏洞检测方法及装置

权利要求书

1.一种网页重定向漏洞检测方法，其特征在于，包括：

获取目标网页内的输入参数；

通过浏览器引擎发出第一网络请求将测试网址作为所述输入参数的值提交至所述目标网页；

在浏览器引擎发送网络请求的时候向应用层发送一条消息，而在该消息中至少包括网络请求的目标网址，在应用层监测所述浏览器引擎发出的第二网络请求并将所述第二网络请求的目标网址与所述测试网址进行比较；所述监测所述浏览器引擎发出的第二网络请求包括监听所述浏览器引擎发给应用层的消息；以及从所述消息中解析出所述第二网络请求的目标网址；

若检测到所述第二网络请求的目标网址与所述测试网址相匹配则记录所述目标网页的参数存在网页重定向漏洞。

2.如权利要求1所述的网页重定向漏洞检测方法，其特征在于，所述通过浏览器引擎发出第一网络请求将测试网址作为所述输入参数的值提交至所述目标网页包括：

根据所述测试网址以及所述输入参数的名称构造符合预定格式的参数值对字符串；

将所述参数值对字符串连接至所述目标网页的网址后得到第一网址；以及

通过所述浏览器引擎向所述第一网址发出所述第一网络请求。

3.如权利要求1所述的网页重定向漏洞检测方法，其特征在于，若超过预定时间未检测到目标网址与所述测试网址相匹配的第二网络请求则停止监测所述浏览器引擎发出的第二网络请求并开始进行下一个输入参数的检测。

4.如权利要求1所述的网页重定向漏洞检测方法，其特征在于，所述输入参数包括多个输入参数；

所述通过浏览器引擎发出第一网络请求将测试网址作为所述输入参数的值提交至所述目标网页包括：将多个不同的测试网址分别作为所述多个输入参数的值提交至所述目标网页并记录不同测试网址与输入参数之间的对应关系。

5.一种网页重定向漏洞检测装置，其特征在于，包括：

参数获取模块，用于获取目标网页内的输入参数；

请求发送模块，用于通过浏览器引擎发出第一网络请求将测试网址作为所述输入参数的值提交至所述目标网页；

监测模块，用于在浏览器引擎发送网络请求的时候向应用层发送一条消息，而在该消息中至少包括网络请求的目标网址的前提下，在应用层监测所述浏览器引擎发出的第二网络请求并将所述第二网络请求的目标网址与所述测试网址进行比较；

所述监测模块具体用于监听所述浏览器引擎发给应用层的消息；以及从所述消息中解析出所述第二网络请求的目标网址；

漏洞检测模块，用于若检测到所述第二网络请求的目标网址与所述测试网址相匹配则记录所述目标网页的参数存在网页重定向漏洞。

6.如权利要求5所述的网页重定向漏洞检测装置，其特征在于，所述请求发送模块用于：

根据所述测试网址以及所述输入参数的名称构造符合预定格式的参数值对字符串；

将所述参数值对字符串连接至所述目标网页的网址后得到第一网址；以及

通过所述浏览器引擎向所述第一网址发出所述第一网络请求。

7.如权利要求6所述的网页重定向漏洞检测装置，其特征在于，所述监测模块还用于：若超过预定时间未检测到目标网址与所述测试网址相匹配的第二网络请求则停止监测所述浏览器引擎发出的第二网络请求并通知所述请求发送模块开始进行下一个输入参数的检测。

8.如权利要求5所述的网页重定向漏洞检测装置，其特征在于，所述输入参数包括多个输入参数；

所述请求发送模块用于：将多个不同的测试网址分别作为所述多个输入参数的值同时提交至所述目标网页并记录不同测试网址与输入参数之间的对应关系。