本發明公開了一種點擊劫持漏洞檢測方法、裝置及計算機設備，其中方法為：獲取待檢測頁面的統一資源定位符URL，并根據所述URL確定是否對所述待檢測頁面執行模擬點擊操作；若確定對所述待檢測頁面執行模擬點擊操作，則獲取基于所述模擬點擊操作返回的超文本傳輸協議HTTP響應報文；根據所述HTTP響應報文中的至少一項結果確定所述待檢測頁面是否存在點擊劫持漏洞；所述至少一項結果包括所述HTTP響應報文是否含有內容安全策略CSP的頁面嵌套屬性，或，所述HTTP響應報文是否含有用于禁止所述待檢測頁面加載內聯框iframe頁面的預設防劫持代碼，該方法應用于金融科技(Fintech)時，可及時檢測出點擊劫持漏洞。

技術領域

本發明涉及金融科技(Fintech)領域和信息安全領域，尤其涉及一種點擊劫持漏洞檢測方法、裝置及計算機設備。

背景技術

隨著計算機技術的發展，越來越多的技術(大數據、分布式、區塊鏈(Blockchain)、人工智能等)應用在金融領域，傳統金融業正在逐步向金融科技(Fintech)轉變。目前，金融科技領域中，信息安全至關重要，點擊劫持是一種視覺上的欺騙手段，攻擊者可以使用一個透明的、不可見的內聯框(iframe)，覆蓋在一個網頁上，然后誘使用戶在該網頁上進行操作，通過調整iframe頁面的位置，可以誘使用戶恰好點擊在iframe頁面的一些功能性按鈕上和一些操作。因此，一些網頁上是存在點擊挾持漏洞的，需要將這些點擊挾持漏洞檢測出來。

目前檢測點擊挾持漏洞方式為人工測試網頁，通過人工任意點擊網頁，測試會不會點擊在iframe頁面的一些功能性按鈕上，來確定一個頁面是否存在點擊挾持漏洞。然而，人工檢測方式下，很難辨別是否點擊在iframe頁面的一些功能性按鈕上還是待檢測頁面上，因此，現有技術中檢測點擊劫持漏洞時很容易出現漏報或誤報，檢測準確率較低。

發明內容

本申請實施例提供一種點擊劫持漏洞檢測方法、裝置及計算機設備，解決了現有技術中檢測點擊劫持漏洞時很容易出現漏報或誤報，檢測準確率較低的問題。

第一方面、本申請實施例提供一種點擊劫持漏洞檢測方法：獲取待檢測頁面的統一資源定位符URL，并根據所述URL確定是否對所述待檢測頁面執行模擬點擊操作；若確定對所述待檢測頁面執行模擬點擊操作，則獲取基于所述模擬點擊操作返回的超文本傳輸協議HTTP響應報文；根據所述HTTP響應報文中的至少一項結果確定所述待檢測頁面是否存在點擊劫持漏洞；所述至少一項結果包括所述HTTP響應報文是否含有內容安全策略CSP的頁面嵌套屬性，或，所述HTTP響應報文是否含有用于禁止所述待檢測頁面加載內聯框iframe頁面的預設防劫持代碼。

上述方法中，首先獲取待檢測頁面的統一資源定位符URL，并根據所述URL確定是否對所述待檢測頁面執行模擬點擊操作，若確定對所述待檢測頁面執行模擬點擊操作，則獲取HTTP響應報文，并根據所述HTTP響應報文中的至少一項結果確定是否存在點擊劫持漏洞；從而根據所述URL減少了點擊劫持漏洞的一部分漏報，另外，對所述待檢測頁面進行點擊劫持漏洞時，通過對所述待檢測頁面執行模擬點擊操作的至少一項結果確定所述待檢測頁面是否存在點擊劫持漏洞，而CSP的頁面嵌套屬性，表征了待檢測頁面能否被iframe頁面嵌套，另外再結合用于禁止所述待檢測頁面加載內聯框iframe頁面的預設防劫持代碼，全面考慮了待檢測頁面是否存在點擊劫持漏洞，從而提升了檢測準確率。

一種可選實施方式中，所述HTTP響應報文包括HTTP資源部分，按照以下方式確定所述HTTP響應報文是否含有所述預設防劫持代碼：將所述HTTP資源部分與預設正則表達式進行正則匹配，根據正則匹配的結果確定所述HTTP響應報文是否含有所述預設防劫持代碼。

上述方法中，通過對HTTP資源部分與預設正則表達式進行正則匹配的結果，確定所述HTTP響應報文是否含有所述預設防劫持代碼，由于正則表達式具有較強的邏輯性和靈活性，因此可以準確檢驗出是否含有所述預設防劫持代碼。