[发明专利]一种框架注入漏洞检测方法、装置、设备及介质

说明书

本申请公开了一种框架注入漏洞检测方法、装置、设备及介质，该方法包括：获取包含目标统一资源定位符的请求数据包；通过对所述请求数据包进行修改，以得到嵌入了用于检测框架注入漏洞的检测语句的修改后请求数据包；向网站服务器发送所述修改后请求数据包，并接收所述网站服务器反馈的与所述修改后请求数据包对应的响应数据包；基于所述响应数据包判断所述目标统一资源定位符是否存在框架注入漏洞。本申请，利用包含检测语句的修改后数据包访问网站服务器，然后根据网站服务器反馈的相应的响应数据包判断目标统一资源定位符是否存在框架注入漏洞，由此可以实现框架注入漏洞的检测，提高了框架注入漏洞检测的效率。

技术领域

本发明涉及网络安全领域，特别涉及一种框架注入漏洞检测方法、装置、设备及介质。

背景技术

框架注入攻击是一个基于GUI(即Graphical User Interface，图形用户界面)的浏览器攻击，攻击形式可以为多种代码，例如JavaScript、VBScript、Flash、AJAX，而代码被注入是由于脚本没有对它们正确验证，攻击者有可能注入含有恶意内容的frame或iframe标记。如果用户不够谨慎，就有可能浏览该标记，却意识不到自己会离开原始站点而进入恶意的站点。之后，攻击者便可以诱导用户再次登录，然后获取其登录凭证，极大的影响到用户的使用安全，因此如何检测框架注入漏洞是当前广泛关注的问题。

发明内容

有鉴于此，本发明的目的在于提供一种框架注入漏洞检测方法、装置、设备及介质，能够提高框架注入漏洞的检测效率。其具体方案如下：

第一方面，本申请公开了一种框架注入漏洞检测方法，包括：

获取包含目标统一资源定位符的请求数据包；

通过对所述请求数据包进行修改，以得到嵌入了用于检测框架注入漏洞的检测语句的修改后请求数据包；

向网站服务器发送所述修改后请求数据包，并接收所述网站服务器反馈的与所述修改后请求数据包对应的响应数据包；

基于所述响应数据包判断所述目标统一资源定位符是否存在框架注入漏洞。

可选的，所述获取包含目标统一资源定位符的请求数据包，包括：

获取目标统一资源定位符；

访问所述目标统一资源定位符，并获取在访问所述目标统一资源定位符时，生成的包含所述目标统一资源定位符的请求数据包。

可选的，所述获取目标统一资源定位符，包括：

利用爬虫技术获取目标网页包含的所有统一资源定位符，以得到所述目标统一资源定位符。

可选的，所述通过对所述请求数据包进行修改，以得到嵌入了用于检测框架注入漏洞的检测语句的修改后请求数据包，包括：

从所述请求数据包中确定出可替换目标字段；

将预设数量的所述可替换目标字段修改为所述检测语句，以得到所述修改后请求数据包。

可选的，所述可替换目标字段包括所述目标统一资源定位符中的参数名和参数值，以及数据包头部信息中的参数值和参数名。

可选的，其特征在于，所述基于所述响应数据包判断所述目标统一资源定位符是否存在框架注入漏洞，包括：

判断所述响应数据包中是否存在与所述检测语句对应的特征信息；

若存在与所述检测语句对应的所述特征信息，则判定所述目标统一资源定位符存在所述框架注入漏洞。

第二方面，本申请公开了一种框架注入漏洞检测装置，包括：

获取模块，用于获取包含目标统一资源定位符的请求数据包；