一種Firefox擴(kuò)展的安全缺陷檢測(cè)方法技術(shù)

本發(fā)明專利技術(shù)公開了Firefox擴(kuò)展的安全缺陷檢測(cè)方法，涉及網(wǎng)絡(luò)與軟件安全交叉領(lǐng)域，構(gòu)建用于靜態(tài)分析的演繹數(shù)據(jù)庫和用于動(dòng)態(tài)分析的非安全動(dòng)作序列數(shù)據(jù)庫；提取擴(kuò)展內(nèi)容中的源代碼信息；在非安全動(dòng)作序列數(shù)據(jù)庫中，建立起映射關(guān)系；將預(yù)處理后的源代碼信息導(dǎo)入演繹數(shù)據(jù)庫，按照預(yù)設(shè)規(guī)則查詢演繹數(shù)據(jù)庫中關(guān)系，將查詢到的演繹數(shù)據(jù)庫中的關(guān)系添加進(jìn)預(yù)設(shè)結(jié)果集，獲取靜態(tài)分析結(jié)果；當(dāng)預(yù)處理后的源代碼信息需要檢測(cè)，采用追蹤方法檢測(cè)注入內(nèi)容的類型，并記錄自惡意代碼注入點(diǎn)之后的源代碼信息的動(dòng)作序列，與非安全動(dòng)作序列數(shù)據(jù)庫中的相應(yīng)信息對(duì)比、匹配，若存在對(duì)掛馬攻擊敏感的安全缺陷，根據(jù)映射關(guān)系輸出安全缺陷分析結(jié)果信息及可行的緩和方案建議。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及網(wǎng)絡(luò)與軟件安全交叉領(lǐng)域，本專利技術(shù)以Firefox瀏覽器擴(kuò)展的安全性作為主要對(duì)象，致力于提高Firefox規(guī)避網(wǎng)頁掛馬攻擊的能力；同時(shí)盡力保證其用戶友好性和自由度，特別涉及。
技術(shù)介紹
隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的普及，瀏覽器已經(jīng)成為信息時(shí)代資源搜索和獲取的重要工具。在這種形勢(shì)下，瀏覽器的安全就成為各項(xiàng)工作正常、高效進(jìn)行的重要保障。而Firefox 由于其開源性和較強(qiáng)大的功能(眾多可用的插件和擴(kuò)展)以及穩(wěn)定性，受到眾多用戶的推崇和喜愛。從應(yīng)對(duì)Firefox瀏覽器遭遇掛馬攻擊的角度講，及時(shí)檢測(cè)用戶安裝的擴(kuò)展是否存在對(duì)掛馬攻擊敏感的缺陷，并盡可能早的發(fā)現(xiàn)和檢測(cè)到攻擊注入點(diǎn)和攻擊模式，將對(duì)后續(xù)的防御和應(yīng)對(duì)方案選擇產(chǎn)生極為積極的影響，在此基礎(chǔ)上，可以確保Firefox用戶不受木馬攻擊的影響，從容瀏覽網(wǎng)上資源。如何有效的在預(yù)處理階段檢測(cè)、分析出擴(kuò)展的安全缺陷和威脅，并給出緩和方案，對(duì)于Firefox安全問題的重要性不言自明。擴(kuò)展可以為 Firefox增加新的功能，它們可以通過增加工具條中的按鈕的方式增加一項(xiàng)瀏覽器的全新功能，而且程序規(guī)模小、易于下載，在滿足用戶對(duì)Firefox的額外的功能需求方面，表現(xiàn)的很出色。利用計(jì)算機(jī)程序漏洞侵入后竊取文件的程序被稱為木馬，它是一種具有隱藏性的、自發(fā)性的可被用來進(jìn)行惡意行為的程序，一般不會(huì)直接對(duì)電腦產(chǎn)生危害，而是以控制為主。而所謂的掛馬，就是黑客通過各種手段，包括SQLGtructured Query Language，結(jié)構(gòu)化查詢語言)注入、網(wǎng)站敏感文件掃描、服務(wù)器漏洞和網(wǎng)站程序等各種方法獲得網(wǎng)站管理員賬號(hào)，然后登陸網(wǎng)站后臺(tái)，通過數(shù)據(jù)庫備份/恢復(fù)或者上傳漏洞獲得一個(gè)webshell，利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容，向網(wǎng)站頁面中加入惡意轉(zhuǎn)向代碼；也可以直接通過弱口令獲得服務(wù)器或者網(wǎng)站的FTP (File Transfer Protocol，文件傳輸協(xié)議)，然后直接對(duì)網(wǎng)站頁面進(jìn)行修改。當(dāng)用戶應(yīng)用瀏覽器訪問被加入惡意代碼的頁面時(shí)，未檢測(cè)到威脅的瀏覽器將自動(dòng)訪問被轉(zhuǎn)向的地址或者下載木馬病毒。被掛馬的網(wǎng)站就是對(duì)瀏覽器能否正常、安全完成用戶預(yù)期的任務(wù)的最大威脅之一。因?yàn)橛行阂饩W(wǎng)頁腳本可以嵌套在正常網(wǎng)頁中運(yùn)行，且不容易被查殺。同時(shí)webshell可以穿越服務(wù)器防火墻，由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)一般都是通過80端口傳遞的，因此不會(huì)被防火墻攔截；并且使用 webshell 一般不會(huì)在系統(tǒng)日志中留下記錄，只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，對(duì)此，沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡的。于是網(wǎng)站的掛馬就有了可趁之機(jī)，出于對(duì)此的防范，現(xiàn)存的主要基本途徑是從根本上解決動(dòng)態(tài)網(wǎng)頁腳本的安全問題，即防注入、 防暴庫、防COOKIES欺騙和防跨站攻擊等等，主要是要求配置好服務(wù)器FS0(File System Object，文件系統(tǒng)對(duì)象)權(quán)限，具體掛馬攻擊流程如附圖1所示，其中，①為制作或準(zhǔn)備木馬；②為制作網(wǎng)馬；③為添加鏈到網(wǎng)馬的惡意導(dǎo)航；④訪問；⑤為返回含惡意導(dǎo)航的頁面； ⑥為導(dǎo)航；⑦返回網(wǎng)馬；⑧為系統(tǒng)淪陷。與之對(duì)應(yīng)的，在客戶端，除去主機(jī)的防火墻和殺毒軟件對(duì)一些惡意代碼的攔截和對(duì)用戶的危險(xiǎn)信息提示，用戶在應(yīng)用瀏覽器對(duì)服務(wù)器端提供的可訪網(wǎng)站訪問時(shí)，存在較大的不可控性，即用戶打開的網(wǎng)站可能是存在潛在危險(xiǎn)性的網(wǎng)站；或者用戶忽略安全提示，強(qiáng)制打開可能被掛馬的網(wǎng)站等。同時(shí)因?yàn)镕irefox的擴(kuò)展可能在帶來強(qiáng)大功能的同時(shí)，也引入對(duì)掛馬攻擊敏感的安全缺陷。專利技術(shù)人在實(shí)現(xiàn)本專利技術(shù)的過程中，發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺點(diǎn)對(duì)于Firefox瀏覽器的特定需求就自然導(dǎo)致可能存在安全隱患，而這種威脅的緩和與處理，只能依靠Firefox自身，這就需要Firefox瀏覽器能夠根據(jù)威脅，檢測(cè)和分析出安裝的擴(kuò)展中的安全缺陷，并提供給用戶緩和方案，但現(xiàn)有技術(shù)還沒有給出可行性的方法， 無法滿足實(shí)際應(yīng)用中的需要。
技術(shù)實(shí)現(xiàn)思路
為了能夠在保證安全的前提下，檢測(cè)和分析出安裝擴(kuò)展中的安全缺陷，提供給用戶緩和的方案，滿足實(shí)際應(yīng)用中的需要，本專利技術(shù)提供了，詳見下文描述，所述方法包括以下步驟(1)構(gòu)建用于靜態(tài)分析的演繹數(shù)據(jù)庫和用于動(dòng)態(tài)分析的非安全動(dòng)作序列數(shù)據(jù)庫；(2)提取擴(kuò)展內(nèi)容中的源代碼信息；(3)在所述非安全動(dòng)作序列數(shù)據(jù)庫中，建立起動(dòng)作序列與威脅、威脅與安全缺陷、 安全缺陷與緩和方案之間的映射關(guān)系；(4)對(duì)所述源代碼信息進(jìn)行預(yù)處理，將預(yù)處理后的源代碼信息導(dǎo)入所述演繹數(shù)據(jù)庫，按照預(yù)設(shè)規(guī)則查詢所述演繹數(shù)據(jù)庫中關(guān)系，判斷查詢值是否為真，如果是，執(zhí)行步驟 (5)；如果否，流程結(jié)束；(5)將查詢到的所述演繹數(shù)據(jù)庫中的關(guān)系添加進(jìn)預(yù)設(shè)結(jié)果集，獲取靜態(tài)分析結(jié)果；(6)根據(jù)所述靜態(tài)分析結(jié)果，采用動(dòng)態(tài)分析判斷所述預(yù)處理后的源代碼信息是否需要檢測(cè)，如果是，執(zhí)行步驟(7)；如果否，流程結(jié)束；(7)采用追蹤方法檢測(cè)注入內(nèi)容的類型，并記錄自惡意代碼注入點(diǎn)之后的源代碼信息的動(dòng)作序列；(8)將所述惡意代碼注入點(diǎn)之后的源代碼信息的動(dòng)作序列與所述非安全動(dòng)作序列數(shù)據(jù)庫中的相應(yīng)信息對(duì)比、匹配，判斷是否存在對(duì)掛馬攻擊敏感的安全缺陷，如果是，執(zhí)行步驟(9)；如果否，流程結(jié)束；(9)根據(jù)所述映射關(guān)系輸出安全缺陷分析結(jié)果信息及可行的緩和方案建議，將所述安全缺陷分析結(jié)果信息及所述可行的緩和方案建議給用戶，流程結(jié)束。在步驟(9)中所述根據(jù)所述映射關(guān)系輸出安全缺陷分析結(jié)果信息及可行的緩和方案建議之后，所述方法還包括對(duì)所述安全缺陷分析結(jié)果信息及所述可行的緩和方案建議進(jìn)行人工審查。本專利技術(shù)提供的技術(shù)方案的有益效果是本專利技術(shù)提供了，本專利技術(shù)中的演繹數(shù)據(jù)庫和非安全動(dòng)作序列數(shù)據(jù)庫的構(gòu)建完成了已有常用惡意代碼、惡意代碼注入點(diǎn)(IP)、注入內(nèi)容 (IC)、注入后動(dòng)作序列(EQ以及相應(yīng)的威脅，安全缺陷及緩和方案的總結(jié)、整理和分類，提供了標(biāo)準(zhǔn)的、較為全面的數(shù)據(jù)庫，有助于動(dòng)態(tài)分析和匹配過程的進(jìn)行；而且為Firefox用戶應(yīng)用本專利技術(shù)提供的方法及時(shí)、正確的檢測(cè)、分析出所要應(yīng)用的擴(kuò)展是否包含安全威脅或者對(duì)掛馬攻擊敏感的安全缺陷奠定了基礎(chǔ)；輸入及預(yù)處理可以成功完成擴(kuò)展的基本信息提取；靜態(tài)分析利用指針分析查找到相關(guān)注入點(diǎn)(IP)以及注入內(nèi)容(IC)，并從靜態(tài)角度分析出潛在威脅及缺陷；動(dòng)態(tài)分析與匹配中采用動(dòng)態(tài)分析對(duì)注入內(nèi)容(IC)和動(dòng)作序列(ES)進(jìn)行分析，并檢索非安全動(dòng)作序列數(shù)據(jù)庫中相關(guān)內(nèi)容，兩者比較、匹配，從而達(dá)到檢測(cè)擴(kuò)展的目的；通過最后的輸出部分，將所有的檢測(cè)結(jié)果提交給用戶查看，包括威脅、安全缺陷的相關(guān)信息及可選的緩和方案，使得用戶可以結(jié)合實(shí)際應(yīng)用中的需求情況進(jìn)行權(quán)衡，選擇。該方法能夠讓用戶在應(yīng)用Firefox時(shí)，在保證安全的前提下，有較大的安裝擴(kuò)展的自由度；能夠在安全的基礎(chǔ)上充分發(fā)揮Firefox擁有強(qiáng)大擴(kuò)展功能且人性化程度高的優(yōu)勢(shì)；可以有效的檢測(cè)擴(kuò)展中是否隱含威脅或者安全缺陷，在擴(kuò)展的開發(fā)中或者在用戶面對(duì)所需擴(kuò)展時(shí)明確其可能面對(duì)的安全問題，有利于及早修改和解決，有利于Firefox瀏覽器功能的強(qiáng)化和安全性的提升。附圖說明圖1為現(xiàn)有技術(shù)提供的掛馬攻擊過程的示意圖；圖2為本專利技術(shù)提供的Firefox擴(kuò)展的安全缺陷檢測(cè)的結(jié)構(gòu)示意圖；圖3為本專利技術(shù)提供的Firefox擴(kuò)展的安全缺陷檢測(cè)方法的流程圖；圖4為本本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
１．一種Ｆｉｒｅｆｏｘ擴(kuò)展的安全缺陷檢測(cè)方法，其特征在于，所述方法包括以下步驟：（１）構(gòu)建用于靜態(tài)分析的演繹數(shù)據(jù)庫和用于動(dòng)態(tài)分析的非安全動(dòng)作序列數(shù)據(jù)庫；（２）提取擴(kuò)展內(nèi)容中的源代碼信息；（３）在所述非安全動(dòng)作序列數(shù)據(jù)庫中，建立起動(dòng)作序列與威脅、威脅與安全缺陷、安全缺陷與緩和方案之間的映射關(guān)系；（４）對(duì)所述源代碼信息進(jìn)行預(yù)處理，將預(yù)處理后的源代碼信息導(dǎo)入所述演繹數(shù)據(jù)庫，按照預(yù)設(shè)規(guī)則查詢所述演繹數(shù)據(jù)庫中關(guān)系，判斷查詢值是否為真，如果是，執(zhí)行步驟（５）；如果否，流程結(jié)束；（５）將查詢到的所述演繹數(shù)據(jù)庫中的關(guān)系添加進(jìn)預(yù)設(shè)結(jié)果集，獲取靜態(tài)分析結(jié)果；（６）根據(jù)所述靜態(tài)分析結(jié)果，采用動(dòng)態(tài)分析判斷所述預(yù)處理后的源代碼信息是否需要檢測(cè)，如果是，執(zhí)行步驟（７）；如果否，流程結(jié)束；（７）采用追蹤方法檢測(cè)注入內(nèi)容的類型，并記錄自惡意代碼注入點(diǎn)之后的源代碼信息的動(dòng)作序列；（８）將所述惡意代碼注入點(diǎn)之后的源代碼信息的動(dòng)作序列與所述非安全動(dòng)作序列數(shù)據(jù)庫中的相應(yīng)信息對(duì)比、匹配，判斷是否存在對(duì)掛馬攻擊敏感的安全缺陷，如果是，執(zhí)行步驟（９）；如果否，流程結(jié)束；（９）根據(jù)所述映射關(guān)系輸出安全缺陷分析結(jié)果信息及可行的緩和方案建議，將所述安全缺陷分析結(jié)果信息及所述可行的緩和方案建議給用戶，流程結(jié)束。...

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：李曉紅，王欽，王建剛，孟國(guó)柱，劉豐煦，胡昌，
申請(qǐng)(專利權(quán))人：天津大學(xué)，
類型：發(fā)明
國(guó)別省市：12