网站源代码恶意链接注入监控方法及装置制造方法
【专利摘要】本发明涉及一种网站源代码恶意链接注入监控方法,包括:监控对网站源代码文件的修改操作并获取变更的代码片段;分析所述变更的代码片段以抽取出外部链接;判断所述外部链接是否为可疑或者恶意链接;以及若检测到所述可疑或者恶意链接则发出警告消息。上述的网站源代码恶意链接注入监控方法可实时监控源代码的变更内容,有效的阻止了通过利用操作系统或第三方应用漏洞获取系统写权限后注入恶意的重定向网址到合法网站的页面代码中这样一类常见的病毒传播方式。此外,本发明还提供一种网站源代码恶意链接注入监控装置。
【专利说明】3网站,而从外部抓取网站内容无法在短时1]网站的安全性;这样会导致已经感染的页
0
丨勺源代码动态加载大量的数据库内容,对于[攻击,目前都有较成熟的解决方案,而对源入的攻击点之一。
3恶意链接注入监控方法及装置,其可提升
去,包括:监控对网站源代码文件的修改操3片段以抽取出外部链接;判断所述外部链可疑或者恶意链接则发出警告消息。
I,包括:代码监控单元,用于监控对网站源至接抽取单元,用于分析所述变更的代码片?所述外部链接是否为可疑或者恶意链接;【专利附图】
【附图说明】
[0009]图1为第一实施例提供的一种网站源代码恶意链接注入监控方法流程图。
[0010]图2为第二实施例提供的一种网站源代码恶意链接注入监控装置流程图。
【具体实施方式】
[0011]为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明的【具体实施方式】、结构、特征及其功效,详细说明如后。
[0012]实施例1
[0013]参阅图1,第一实施例提供一种网站源代码恶意链接注入监控方法,上述的监控方法包括:
[0014]步骤S110、监控对网站源代码文件的修改操作并获取变更的代码片段。
[0015]一般来说,网站源代码文件会存储在一个或多个目录下,通过实时监控这些目录下的源代码文件,当有变更的时候,抽取变更的代码段。例如,首先可将网站源代码文件进行备份,并对所有备份源代码文件建立索引,存储其修改时间。然后通过比较监控的目录下源代码文件的修改时间与备份的源代码文件的修改时间即可获知源代码文件是否已经被修改。进一步地,比较两个版本的内容即可提取出变更的代码片段。
[0016]此外,可以理解,监控源代码文件的修改并不限于上述方法,例如,还可通过监测系统对磁盘的写操作,并在检测对网站源代码目录内的文件进行写操作时直接获取变更的代码片段。
[0017]步骤S120、分析所述变更的代码片段以抽取出外部链接。
[0018]变更的代码片段可能是采用不同的编程语言例如HTMUJavascripts、或者PHP等编写完成的。而不同的编程语言具有不同的语法,需要分别进行分析。具体地,步骤S120例如可包括:根据变更的代码片段所采用的编程语言加载相应的代码分析器;以及采用该代码分析器解析所述代码片段以抽取出所述外部链接。例如,采用文件物件模型(DocumentObjectModel, DOM)加载分析HTML格式的代码片段以抽取出外部链接。
[0019]步骤S130、判断所述外部链接是否为可疑或者恶意链接。
[0020]首先,可从链接自身及其父元素的属性来分析外部链接是否属于恶意链接。例如,可判断外部链接是否位于像素值为O的页面元素中,或者是否位于坐标位置明显在屏幕之外的页面元素中。对于这些反常的链接,即位于像素值为O的页面元素中或者坐标位置明显在屏幕之外的页面元素中的外部链接,均视为可疑链接。
[0021]检测到可疑链接后,即可执行步骤S140发出警告消息。此外,为进一步确认可疑链接的安全性,还可进一步将可疑链接发送至第三方网址安全验证服务以检测外部链接是否为已知的恶意链接。例如 http://aq.qq.com/cn2/safe_school/url_query_index 就提供一种线上恶意链接验证服务。若确认所有可疑链接均为安全外部链接,则可不执行步骤S140。
[0022]此外,除了将上述的可疑链接发送至第三方网址安全验证服务进行验证外,还可将所以提取出的外部链接发送至第三方网址安全验证服备进行验证。此时,可以不从链接自身及其父元素的属性来分析外部链接是否属于恶意链接,而直接进行线上验证。若第三方网址安全验证服务返回的结果表明具有可疑或者恶意链接则执行步骤S140。网站源代码恶意链接注入监控装置200,包子析单元230、以及安全警告单元240。氏码文件的修改操作并获取变更的代码片多个目录下,通过实时监控这些目录下的源例如,首先可将网站源代码文件进行备份,时间。然后通过比较监控的目录下源代码0即可获知源代码文件是否已经被修改。进代码片段。
改并不限于上述方法,例如,还可通过监测录内的文件进行写操作时直接获取变更的
[的代码片段以抽取出外部链接。变更的II?、或者?!!?等编写完成的。
进行分析。具体地,链接抽取单元220可加载相应的代码分析器;以及采用该代码I接。例如,采用文件物件模型(000111116111:[0035]此外,链接分析单元230除了将上述的可疑链接发送至第三方网址安全验证服务进行验证外,还可将所以提取出的外部链接发送至第三方网址安全验证服备进行验证。此时,可以不从链接自身及其父元素的属性来分析外部链接是否属于恶意链接,而直接进行线上验证。若第三方网址安全验证服务返回的结果表明具有可疑或者恶意链接则将可疑或者恶意链接发送至安全警告单元240。
[0036]安全警告单元240用于若检测到所述可疑或者恶意链接则发出警告消息。例如,发送邮件或者采用即时通讯软件发送消息告知系统管理员,进行人工确认。
[0037]此外,监控装置200还可包括安全防护单元250,用于在检测到所述可疑或者恶意链接之后启动保护机制以防止监控装置200被恶意删除、服务被恶意卸载或者终止。例如,安全防护单元250可以驱动服务的形式加载于操作系统内,监测并拦截外部程序对于监控装置200各功能模块的操作,以防止监控装置200被恶意删除、服务被恶意卸载或者终止。
[0038]本实施例的网站源代码恶意链接注入监控装置实时监控源代码的变更内容,如果包含一些危险的外部链接元素,则立即发出警告给系统管理员,从而能够实时监控网站的安全性,进而有效的阻止了通过利用操作系统或第三方应用漏洞获取系统写权限后注入恶意的重定向网址到合法网站的页面代码中这样一类常见的病毒传播方式。
[0039]相比于传统的外部抓取方式,可以做到实时保护,避免了在等待被抓取的期间恶意链接的传播。此外,由于网站源代码文件有限,并且相对来说变更的频率较低,故本实施例的方法对系统的性能影响较低。
[0040]此外,本发明实施例还提供一种计算机可读存储介质,其内存储有计算机可执行指令,上述的计算机可读存储介质例如为非易失性存储器例如光盘、硬盘、或者闪存。上述的计算机可执行指令用于让计算机或者类似的运算装置完成上述的网站源代码恶意链接注入监控方法中的各种操作。
[0041]以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明,任何本领域技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简介修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
【权利要求】
1.一种网站源代码恶意链接注入监控方法,包括: 监控对网站源代码文件的修改操作并获取变更的代码片段; 分析所述变更的代码片段以抽取出外部链接; 判断所述外部链接是否为可疑或者恶意链接;以及 若检测到所述可疑或者恶意链接则发出警告消息。
2.如权利要求1所述的网站源代码恶意链接注入监控方法,其特征在于,在检测到所述可疑或者恶意链接之后还包括:启动保护机制以防止系统文件被恶意删除、服务被恶意卸载或者终止。
3.如权利要求1所述的网站源代码恶意链接注入监控方法,其特征在于,判断所述外部链接是否为可疑或者恶意链接包括:判断所述外部链接是否位于像素值为O的页面元素中所包含的链接,或者坐标位置明显在屏幕之外的页面元素所包含的链接。
4.如权利要求1所述的网站源代码恶意链接注入监控方法,其特征在于,判断所述外部链接是否为可疑或者恶意链接包括:将所述外部链接发送至第三方网址验证服务以检测所述外部链接是否为已知的恶意链接。
5.如权利要求1所述的网站源代码恶意链接注入监控方法,其特征在于,分析所述变更的代码片段以抽取出外部链接包括:根据所述代码片段所采用的编程语言加载相应的代码分析器;以及采用该代码分析器解析所述代码片段以抽取出所述外部链接。
6.一种网站源代码恶意链接注入监控装置,包括: 代码监控单元,用于监控对网站源代码文件的修改操作并获取变更的代码片段; 链接抽取单元,用于分析所述变更的代码片段以抽取出外部链接; 链接分析单元,用于判断所述外部链接是否为可疑或者恶意链接; 安全警告单元,用于若检测到所述可疑或者恶意链接则发出警告消息。
7.如权利要求6所述的网站源代码恶意链接注入监控装置,其特征在于,还包括安全防护单元,用于在检测到所述可疑或者恶意链接之后启动保护机制以防止系统文件被恶意删除、服务被恶意卸载或者终止。
8.如权利要求6所述的网站源代码恶意链接注入监控装置,其特征在于,所述链接分析单元,用于根据所述外部链接是否位于像素值为O的页面元素中所包含的链接,或者坐标位置明显在屏幕之外的页面元素所包含的链接判断所述外部链接是否属于可疑或者恶意链接。
9.如权利要求6所述的网站源代码恶意链接注入监控装置,其特征在于,所述链接分析单元,用于将所述外部链接发送至第三方网址验证服务以检测所述外部链接是否为已知的恶意链接。
10.如权利要求6所述的网站源代码恶意链接注入监控装置,其特征在于,所述链接抽取单元,用于根据所述代码片段所采用的编程语言加载相应的代码分析器;以及采用该代码分析器解析所述代码片段以抽取出所述外部链接。
【文档编号】G06F21/56GK103839002SQ201210475499
【公开日】2014年6月4日 申请日期:2012年11月21日 优先权日:2012年11月21日
【发明者】鲁四喜 申请人:腾讯科技(深圳)有限公司