[发明专利]检测客户端模板系统的注入漏洞

说明书

一种用于检测客户端模板系统的注入漏洞的方法(800)包括，接收网页(200)，确定所述网页实施具有客户端模板的解释编程语言框架(142)，以及从所述网页提取所述解释编程语言框架的版本(144)和插值符号(146)。所述方法还包括，基于所述解释编程语言框架的所述版本和所述插值符号，生成所述网页的至少一个注入漏洞情境(210)的攻击有效载荷(152a)，对所述网页进行插装，以将所述攻击有效载荷注入到所述网页的所述至少一个注入漏洞情境中，以及执行插装后的所述网页。

技术领域

本公开涉及检测客户端模板系统的注入漏洞。

背景技术

现代解释编程语言框架(诸如JavaScript)将新颖的功能引入到网页应用中。在框架(诸如AngularJS、Polymer、Aurelia或Ractive)中变得流行的一个功能是客户端表达式语言。表达式使得以声明性方式来定义用户界面变得容易。在这些表达式中，某些符号标记表达式的开头和结尾。对于标准网页浏览器，这些符号是无意义的，因此浏览器将该符号解释为文本。然而，现代解释编程语言框架解析网页的内容，如果它们遇到这些所谓的插值符号(符号)，则框架使用自定义表达式解析器来解释该内容。表达式的解释发生在用户的浏览器中的客户端上。因此，就应用将表达式解释为代码而言，框架隐式信任表达式。因此，控制表达式等同于能够在网页应用的情境中执行代码。

表达式是要求网页开发者采用新的开发理念的功能。开发者现在需要提供静态模板并且在客户端上将用户输入插入其中，而不是在服务器端上动态地生成超文本标记语言(HTML)。然而，因为许多开发者对此没有经验，所以他们替代地通过在服务器端上插入用户输入来即时(on-the-fly)动态地生成模板。当模板被加载在具有现代解释编程语言框架的应用中时，该框架扫描模板用于寻找插值符号和表达式。这允许跨站点脚本注入漏洞。这些漏洞是特别严重的，因为它们绕过了常见的跨站点脚本缓解方案。

发明内容

本公开的一个方面提供了一种用于检测客户端模板系统的漏洞的方法。所述方法包括，在数据处理硬件处接收应用。所述方法还包括，由所述数据处理硬件确定所述应用是否运行具有客户端模板的编程语言。所述编程语言可以是解释编程语言(例如，JavaScript)。所述方法包括，在所述数据处理硬件处生成攻击有效载荷，以及由所述数据处理硬件对所述应用进行插装以注入所述攻击有效载荷。所述方法还包括，在所述数据处理硬件处执行所述应用。

本公开的另一方面提供了一种用于检测客户端模板系统的注入漏洞的方法。所述方法包括，在数据处理硬件处接收网页，以及由所述数据处理硬件确定所述网页实施具有客户端模板的解释编程语言框架。所述解释编程语言可以是JavaScript。所述方法还包括，由所述数据处理硬件从所述网页提取所述解释编程语言框架的版本和插值符号，由所述数据处理硬件基于所述解释编程语言框架的所述版本和所述插值符号，生成所述网页的至少一个注入漏洞情境的攻击有效载荷，以及由所述数据处理硬件对所述网页进行插装，以将所述攻击有效载荷注入到所述网页的所述至少一个注入漏洞情境中。所述方法还包括，执行插装后的所述网页。

本公开的实施方式可以包括以下可选特征中的一个或多个。在一些实施方式中，所述方法还包括，在执行插装后的所述网页期间，由所述数据处理硬件捕获由所述攻击有效载荷触发的抛出异常，以及由所述数据处理硬件基于所述抛出异常来识别所述网页的漏洞。在一些示例中，所述方法还包括，由所述数据处理硬件修改所述解释编程语言框架的异常处理程序以拦截所述抛出异常。可选地，所述抛出异常可以包括语法异常。