[发明专利]一种Firefox扩展的安全缺陷检测方法

说明书

技术领域

本发明涉及网络与软件安全交叉领域，本发明以Firefox浏览器扩展的安全性作为主要对象，致力于提高Firefox规避网页挂马攻击的能力；同时尽力保证其用户友好性和自由度，特别涉及一种Firefox扩展的安全缺陷检测方法。

背景技术

随着计算机和互联网的普及，浏览器已经成为信息时代资源搜索和获取的重要工具。在这种形势下，浏览器的安全就成为各项工作正常、高效进行的重要保障。而Firefox由于其开源性和较强大的功能(众多可用的插件和扩展)以及稳定性，受到众多用户的推崇和喜爱。从应对Firefox浏览器遭遇挂马攻击的角度讲，及时检测用户安装的扩展是否存在对挂马攻击敏感的缺陷，并尽可能早的发现和检测到攻击注入点和攻击模式，将对后续的防御和应对方案选择产生极为积极的影响，在此基础上，可以确保Firefox用户不受木马攻击的影响，从容浏览网上资源。如何有效的在预处理阶段检测、分析出扩展的安全缺陷和威胁，并给出缓和方案，对于Firefox安全问题的重要性不言自明。扩展可以为Firefox增加新的功能，它们可以通过增加工具条中的按钮的方式增加一项浏览器的全新功能，而且程序规模小、易于下载，在满足用户对Firefox的额外的功能需求方面，表现的很出色。

利用计算机程序漏洞侵入后窃取文件的程序被称为木马，它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序，一般不会直接对电脑产生危害，而是以控制为主。而所谓的挂马，就是黑客通过各种手段，包括SQL(Structured Query Language，结构化查询语言)注入、网站敏感文件扫描、服务器漏洞和网站程序等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库备份/恢复或者上传漏洞获得一个webshell，利用获得的webshell修改网站页面的内容，向网站页面中加入恶意转向代码；也可以直接通过弱口令获得服务器或者网站的FTP(File Transfer Protocol，文件传输协议)，然后直接对网站页面进行修改。当用户应用浏览器访问被加入恶意代码的页面时，未检测到威胁的浏览器将自动访问被转向的地址或者下载木马病毒。被挂马的网站就是对浏览器能否正常、安全完成用户预期的任务的最大威胁之一。因为有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。同时webshell可以穿越服务器防火墙，由于与被控制的服务器或远程主机交换的数据一般都是通过80端口传递的，因此不会被防火墙拦截；并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，对此，没有经验的管理员是很难看出入侵痕迹的。于是网站的挂马就有了可趁之机，出于对此的防范，现存的主要基本途径是从根本上解决动态网页脚本的安全问题，即防注入、防暴库、防COOKIES欺骗和防跨站攻击等等，主要是要求配置好服务器FSO(File System Object，文件系统对象)权限，具体挂马攻击流程如附图1所示，其中，①为制作或准备木马；②为制作网马；③为添加链到网马的恶意导航；④访问；⑤为返回含恶意导航的页面；⑥为导航；⑦返回网马；⑧为系统沦陷。

与之对应的，在客户端，除去主机的防火墙和杀毒软件对一些恶意代码的拦截和对用户的危险信息提示，用户在应用浏览器对服务器端提供的可访网站访问时，存在较大的不可控性，即用户打开的网站可能是存在潜在危险性的网站；或者用户忽略安全提示，强制打开可能被挂马的网站等。同时因为Firefox的扩展可能在带来强大功能的同时，也引入对挂马攻击敏感的安全缺陷。

发明人在实现本发明的过程中，发现现有技术至少存在以下缺点：

对于Firefox浏览器的特定需求就自然导致可能存在安全隐患，而这种威胁的缓和与处理，只能依靠Firefox自身，这就需要Firefox浏览器能够根据威胁，检测和分析出安装的扩展中的安全缺陷，并提供给用户缓和方案，但现有技术还没有给出可行性的方法，无法满足实际应用中的需要。

发明内容

为了能够在保证安全的前提下，检测和分析出安装扩展中的安全缺陷，提供给用户缓和的方案，满足实际应用中的需要，本发明提供了一种Firefox扩展的安全缺陷检测方法，详见下文描述：

一种Firefox扩展的安全缺陷检测方法，所述方法包括以下步骤：

(1)构建用于静态分析的演绎数据库和用于动态分析的非安全动作序列数据库；

(2)提取扩展内容中的源代码信息；

(3)在所述非安全动作序列数据库中，建立起动作序列与威胁、威胁与安全缺陷、安全缺陷与缓和方案之间的映射关系；