本申請公開了一種框架注入漏洞檢測方法、裝置、設備及介質，該方法包括：獲取包含目標統一資源定位符的請求數據包；通過對所述請求數據包進行修改，以得到嵌入了用于檢測框架注入漏洞的檢測語句的修改后請求數據包；向網站服務器發送所述修改后請求數據包，并接收所述網站服務器反饋的與所述修改后請求數據包對應的響應數據包；基于所述響應數據包判斷所述目標統一資源定位符是否存在框架注入漏洞。本申請，利用包含檢測語句的修改后數據包訪問網站服務器，然后根據網站服務器反饋的相應的響應數據包判斷目標統一資源定位符是否存在框架注入漏洞，由此可以實現框架注入漏洞的檢測，提高了框架注入漏洞檢測的效率。

技術領域

本發明涉及網絡安全領域，特別涉及一種框架注入漏洞檢測方法、裝置、設備及介質。

背景技術

框架注入攻擊是一個基于GUI(即Graphical User Interface，圖形用戶界面)的瀏覽器攻擊，攻擊形式可以為多種代碼，例如JavaScript、VBScript、Flash、AJAX，而代碼被注入是由于腳本沒有對它們正確驗證，攻擊者有可能注入含有惡意內容的frame或iframe標記。如果用戶不夠謹慎，就有可能瀏覽該標記，卻意識不到自己會離開原始站點而進入惡意的站點。之后，攻擊者便可以誘導用戶再次登錄，然后獲取其登錄憑證，極大的影響到用戶的使用安全，因此如何檢測框架注入漏洞是當前廣泛關注的問題。

發明內容

有鑒于此，本發明的目的在于提供一種框架注入漏洞檢測方法、裝置、設備及介質，能夠提高框架注入漏洞的檢測效率。其具體方案如下：

第一方面，本申請公開了一種框架注入漏洞檢測方法，包括：

獲取包含目標統一資源定位符的請求數據包；

通過對所述請求數據包進行修改，以得到嵌入了用于檢測框架注入漏洞的檢測語句的修改后請求數據包；

向網站服務器發送所述修改后請求數據包，并接收所述網站服務器反饋的與所述修改后請求數據包對應的響應數據包；

基于所述響應數據包判斷所述目標統一資源定位符是否存在框架注入漏洞。

可選的，所述獲取包含目標統一資源定位符的請求數據包，包括：

獲取目標統一資源定位符；

訪問所述目標統一資源定位符，并獲取在訪問所述目標統一資源定位符時，生成的包含所述目標統一資源定位符的請求數據包。

可選的，所述獲取目標統一資源定位符，包括：

利用爬蟲技術獲取目標網頁包含的所有統一資源定位符，以得到所述目標統一資源定位符。

可選的，所述通過對所述請求數據包進行修改，以得到嵌入了用于檢測框架注入漏洞的檢測語句的修改后請求數據包，包括：

從所述請求數據包中確定出可替換目標字段；

將預設數量的所述可替換目標字段修改為所述檢測語句，以得到所述修改后請求數據包。

可選的，所述可替換目標字段包括所述目標統一資源定位符中的參數名和參數值，以及數據包頭部信息中的參數值和參數名。

可選的，其特征在于，所述基于所述響應數據包判斷所述目標統一資源定位符是否存在框架注入漏洞，包括：

判斷所述響應數據包中是否存在與所述檢測語句對應的特征信息；

若存在與所述檢測語句對應的所述特征信息，則判定所述目標統一資源定位符存在所述框架注入漏洞。

第二方面，本申請公開了一種框架注入漏洞檢測裝置，包括：

獲取模塊，用于獲取包含目標統一資源定位符的請求數據包；