[发明专利]一种点击劫持的测试方法及装置

说明书

本发明实施例公开了一种点击劫持的测试方法及装置，包括创建HTTP会话，获取目标网页源代码，依次检查响应头中是否存在安全字段X‑Frame‑Options；检查网页源代码中的标签，判断标签内是否存在iframe表单；检索所述标签内是否存在button；根据检测结果确定是否进行点击劫持漏洞的测试。本发明通过对点击劫持发生所需要必要条件的分析，在进行测试之前，首先对形成点击劫持风险的必要条件：不存在安全字段、标签中存在iframe以及标签中存在button进行依次测试，若具备上述条件，则证明当网页不存在点击劫持风险，避免对标签中的button进行测试，节省测试时间，大幅提高测试效率。

技术领域

本发明涉及漏洞防御技术领域,具体地说是一种点击劫持的测试方法及装置。

背景技术

点击劫持是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户在不知情的情况下点击了透明的iframe页面。该透明的页面可能包含一些危险的动作，比如支付、下载木马等，但实际用户并不能看到该透明的页面，而是看到攻击者想要你看到的看似安全的网站。攻击者通过CSS调整iframe页面的位置，诱使用户恰好点击在iframe页面的一些功能性按钮上，完成攻击。

传统的点击劫持检测是遍历网页的按钮，针对所有的网页的按钮，进行逐个测试，对每个页面逐一进行数据的匹配，测试效率低。

发明内容

本发明实施例中提供了一种点击劫持的测试方法及装置，以解决现有技术中测试效率低的问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

本发明第一方面提供了一种点击劫持的测试方法，所述测试方法包括以下步骤：

创建HTTP会话，获取目标网页源代码，检查响应头中是否存在安全字段X-Frame-Options；

若不存在安全字段，则检查网页源代码中的标签，判断标签内是否存在iframe表单；

若存在iframe表单，则检索所述标签内是否存在button；

若否，则无点击劫持风险，若是，则提示存在点击劫持风险。

进一步地，通过网络爬虫获取所述目标网页源代码，通过正则匹配检查是否存在安全字段。

进一步地，所述检索所述标签内是否存在button的具体过程为：

定义按钮关键字，所述按钮关键字为button必用关键字；

查找网页源码中是否存在所述按钮关键字；

若存在，则存在button，否则不存在button。

进一步地，其特征是，在提示存在点击劫持风险后，所述方法还包括步骤：

测试是否存在点击劫持漏洞。

进一步地，所述测试是否存在点击劫持漏洞的具体过程为：

对当前网页的所有button进行白名单撞库测试，若所述所有button均在白名单内，则当前网页不存在点击劫持漏洞，否则当前网页存在点击劫持漏洞。

进一步地，所述测试是否存在点击劫持漏洞的具体过程为：

对当前网页的所有button进行模拟点击测试，若所有button在模拟点击后均安全，则当前页面不存在点击劫持漏洞，否则当前网页存在点击劫持漏洞。

本发明第二方面提供了一种点击劫持的测试装置，所述装置包括：