[发明专利]Firefox浏览器扩展行为自动检测系统及方法

说明书

技术领域

本发明涉及软件功能检测技术，特别是涉及一种浏览器功能的检测方法。

背景技术

随着计算机和Internet的普及，浏览器已经成为绝大部分计算机用户搜索和获取信息的重要工具。与此同时，浏览器自身在功能上也发生了极大的变化，例如绝大多数主流浏览器都已支持扩展机制来增强浏览器自身的功能。浏览器扩展机制是一种允许为浏览器添加个性化功能的机制。通过该机制，浏览器扩展为浏览器添加了新的功能，允许用户可以通过定制应用程序来满足其自身的个性化需求。

然而，这一机制在极大地增强了浏览器表现能力的同时，也使浏览器暴露在了更多的攻击之下。具体来说，浏览器的扩展机制在为用户带来良好体验的同时，也为用户使用浏览器增添了更多的不安全因素。例如，Liverani对已经发现的恶意或有安全漏洞的扩展(如Coolpreview2.7、skype3.8、UpdateScanner3.0等)进行了总结，并详细分析了其原因及攻击方法。文献将通过扩展攻击Firefox的方法分为三种：跨站脚本攻击(XSS)、安装恶意的扩展以及修改已安装的扩展，同时识别出五种常见的攻击场景：创建按键监听器、损坏访问的网页、钓鱼攻击、盗取密码以及将Firefox作为僵尸。此外，安全评估组织Security-Assessment.com对专门针对Firefox扩展进行跨站脚本攻击进行了详细总结。在其发布的白皮书中，详细总结了八类可能被攻击者通过扩展进行XCS(Cross Context Scripting)攻击的缺陷。同时，在其另一份白皮书中，对常见的攻击Firefox扩展的恶意代码进行了总结，如访问本地文件、远程代码执行以及盗取密码等。

针对Firefox浏览器扩展安全问题，Mozilla采取了多种措施来缓和这一安全问题，具体包括：(1)签名机制：开发者可以对扩展进行签名，用户在安装扩展时对签名进行校验。(2)审查机制：Mozilla对新提交的扩展在发布之前要进行一系列审查，对于未通过的扩展不予发布，从而一定程度降低了恶意扩展流入最终用户的可能性。(3)JavaScript沙窗：JavaScript沙窗机制使得扩展与网页之间没有直接的信息交互。尽管上述机制能够在一定程度上缓和浏览器扩展所引发的安全问题，但是由于签名机制并不是强制的、审查机制经常存在人为疏漏以及JavaScript沙窗机制又可以被轻易绕过，所以现有技术中的这些机制并不能满足用户对于浏览器扩展的安全需求。

发明内容

基于上述现有技术存在的问题，本发明提出了一种Firefox浏览器扩展行为自动检测系统及方法，通过对浏览器扩展的行为进行自动检测和记录，以便能够发现并规避浏览器扩展的危险或不良行为。

本发明提出了

1.一种Firefox浏览器扩展行为自动检测系统，利用插桩的Firefox浏览器抽取扩展行该系统包括浏览器插桩模块(101)、扩展下载模块(102)、测试站点模块(103)、扩展信息提取模块(104)、事件模拟模块(105)、注入对象跟踪模块(106)以及控制模块(107)，扩展下载储存库(108)，其中：

浏览器插桩模块(101)，通过将动态链接库中的各钩子函数插入到浏览器源代码各扩展行为操作开始的位置以截获不同的浏览器内部扩展行为事件；

扩展下载模块(102)，用于将适合的Firefox扩展从Mozilla的官方网站下载到本地系统，该模块流程包括以下步骤：访问Mozilla，当监测到有未访问的扩展目录时，进行扩展目录访问；当监测到该扩展目录中有未访问的扩展时，访问该扩展，获得该扩展的元信息，判断该元信息是否包含下载要求，对于满足下载要求的扩展进行下载；

测试站点模块(103)，用于访问被测站点并模拟浏览器用户行为；

扩展信息提取模块(104)：用于识别浏览器界面元素中哪些是由待测扩展填加的，并将其位置信息传递给事件模拟模块以触发该元素上的事件；

事件模拟模块(105)：用于模拟被测浏览器操作的用户行为以触发扩展中相应的事件处理，该模块一方面接受来自扩展信息提取模块的指令然后模拟用户的相应行为，另一方面为控制模块提供关于浏览器窗口的相关信息；

注入对象跟踪模块(106)，设置于在浏览器内部，用于跟踪、识别注入到网页中的代码，该模块在扩展调用浏览器提供的方法时识别并记录这一注入的路径信息，然后通过这一信息确定该扩展行为间接地触发了哪些其他的扩展行为；