跨站伪造请求漏洞检测的方法及装置
阅读:123发布:2020-05-16
专利汇可以提供跨站伪造请求漏洞检测的方法及装置专利检索,专利查询,专利分析的服务。并且本 发明 公开了跨站伪造 请求 漏洞检测的方法及装置,其中,该方法包括:获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标 网站 ;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。本发明方案能够提高跨站伪造请求漏洞检测的准确率。,下面是跨站伪造请求漏洞检测的方法及装置专利的具体信息内容。
1.一种跨站伪造请求漏洞检测的方法,其特征在于,该方法包括:
获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;
将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口;
其中,所述生成对应网页入口的唯一特征之前,还包括:
向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;
向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;
判断内容A和内容B是否相同,如果不是,则执行所述生成对应网页入口的唯一特征的步骤。
2.如权利要求1所述的方法,其特征在于,确定出内容A和内容B不相同之后,该方法还包括:
查找网页请求的请求头中的来源地址字段;
将查找到的来源地址字段设置为非法来源地址。
3.如权利要求1所述的方法,其特征在于,确定出内容A和内容B不相同之后,该方法还包括:
查找网页请求中的token值;
将查找到的token值修改为错误的token值。
4.如权利要求1所述的方法,其特征在于,所述生成对应网页入口的唯一特征之前,该方法还包括:
判断待检测的网页入口是否满足入口检测条件,如果是,则执行所述生成对应网页入口的唯一特征的步骤。
5.如权利要求4所述的方法,其特征在于,所述网页入口描述信息包含域名、网页名和参数名;所述入口检测条件包括:网页入口可输入参数,网页入口输入的参数通过POST方式提交至目标网站,或通过FORM表单方式提交至目标网站。
6.一种跨站伪造请求漏洞检测的装置,其特征在于,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口;
其中,所述特征生成模块包括第一漏洞筛选子模块和特征生成子模块;
所述第一漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;判断内容A和内容B是否相同,如果不是,则向所述特征生成子模块发送启动指令;
所述特征生成子模块,接收来自所述第一漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
7.如权利要求6所述的装置,其特征在于,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求的请求头中的来源地址字段,将查找到的来源地址字段设置为非法来源地址。
8.如权利要求6所述的装置,其特征在于,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求中的token值,将查找到的token值修改为错误的token值。
9.如权利要求6所述的装置,其特征在于,所述特征生成模块包括第二漏洞筛选子模块和特征生成子模块;
所述第二漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,判断待检测的网页入口是否满足入口检测条件,如果是,则向所述特征生成子模块发送启动指令;
所述特征生成子模块,接收来自所述第二漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
跨站伪造请求漏洞检测的方法及装置
技术领域
[0001] 本发明涉及网页安全检测技术,尤其涉及跨站伪造请求漏洞检测的方法及装置。
背景技术
[0002] 跨站伪造请求(CSRF,Cross Site Request Forgery)攻击,主要指攻击者可以在网页中植入恶意代码或链接,当受害人的浏览器访问恶意代码或点击恶意链接后,攻击者就利用受害人浏览器所带的合法身份验证(通常存储在浏览器cookie中)向目标站点发起恶意操作请求,当目标站点的网页未验证请求来源的合法性时,该恶意操作请求将成功执行,此时就认为目标站点网页存在CSRF漏洞。
[0003] CSRF攻击的一个典型例子是,用户登录一家银行网站的网页,合法身份验证存储在浏览器本地的cookie中,后续浏览器向银行网站发送的信息中将携带cookie中保存的合法身份验证。在用户访问银行网站的过程中,如果用户使用浏览器点击一个包含恶意代码的链接,恶意代码使用户在不知情的情况下获取合法身份验证,带着合法身份验证向银行网站发送恶意请求,如请求将资金从受害用户的银行账户转到攻击者的银行帐户;具体地,在关于转账的FORM表单网页中,转入账户一栏为网页入口,用户可输入参数,攻击过程中,攻击者在转入账户一栏输入攻击者的银行账户,然后携带合法身份验证提交转账请求至银行网站,实现将受害用户的银行账户转出。这里的银行网页因其没有验证请求来源的合法性而存在CSRF漏洞,针对该实例,银行网页的转入账户一栏为存在CSRF漏洞的网页入口。
[0004] 实际应用中,因CSRF漏洞,给用户造成了无法估量的损失。
[0005] 由于CSRF漏洞攻击方式十分隐蔽且无明显特征,目前业界还没有有效的自动化检测工具。国际知名网络漏洞扫描器(WVS,Web Vulnerability Scanner)通过简单判断FORM表单中是否验证token参数来检测CSRF漏洞,误报率达到95%以上,基本上没有实际检测能力。下面对通过验证token参数检测CSRF漏洞的方案进行实例说明。
[0006] token是一种验证机制,浏览器与目标网站之间将预先协商进行检测的token参数,浏览器发送网页请求时将token参数携带在URL地址内;本实例中,进行检测时,检测装置在url地址中查找有无与token参数类似的关键字,如果找到,则认为无CSRF漏洞,例如发起的网页请求是http://t.tt.com/publish.php?token=123456&content=aaaaa&user=zhouhua,其中包含“token”,则认为无CSRF漏洞;否则有漏洞;这种方式的误报极大。目前,很多网站都实现了token验证机制,在实际应用中发现,各网站都自行设定token值,某些token参数中并不包含“token”字样,随便取任何参数名。例如,在用户登录时,将“abc=123456”设置为token参数,假设发起的网页请求是http://t.tt.com/publish.php?abc=
123456&content=aaaaa&user=zhouhua;对于这种情况,其中并不包含“token”,检测装置便认为有CSRF漏洞,这属于错报CSRF漏洞的情况。
123456&content=aaaaa&user=zhouhua;对于这种情况,其中并不包含“token”,检测装置便认为有CSRF漏洞,这属于错报CSRF漏洞的情况。
[0007] 即使url地址中包含token参数类似的关键字,由于目前目标网站不对token的合法性进行验证,例如浏览器和目标网站预先协商的token参数为“token=123456”,而攻击者在url中添加的token参数为“token=111111”,而检测装置检测到url中包含“token”,就确定无CSRF漏洞,这就导致漏报,漏掉了一些存在CSRF漏洞的情况。
[0008] 综上,现有CSRF漏洞检测方案存在大量错报、漏报的情况,导致误报率高、准确率低。
发明内容
[0009] 本发明提供了一种跨站伪造请求漏洞检测的方法,该方法能够提高跨站伪造请求漏洞检测的准确率。
[0010] 本发明提供了一种跨站伪造请求漏洞检测的装置,该装置能够提高跨站伪造请求漏洞检测的准确率。
[0011] 一种跨站伪造请求漏洞检测的方法,该方法包括:
[0012] 获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;
[0013] 将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
[0014] 爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0015] 一种跨站伪造请求漏洞检测的装置,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
[0016] 所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
[0017] 所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
[0018] 所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
[0019] 所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0020] 从上述方案可以看出,本发明中,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。采用本发明的检测方案,模拟攻击者在网页入口输入特征,提交网页请求;然后爬取目标网站的网页,如果查找到网页上包含有所述特征,则表明存在CSRF漏洞,并由所述特征包含的网页入口描述信息确定出存在CSRF漏洞的网页入口;这样,实现了自动、准确、快速地检测出存在CSRF漏洞的网页入口。附图说明
[0021] 图1为本发明CSRF漏洞检测的方法示意性流程图;
[0022] 图2为本发明CSRF漏洞检测中进行特征设置的流程图实例;
[0023] 图3为待检测的网页入口原始信息实例;
[0024] 图4为本发明CSRF漏洞检测中进行特征爬取的流程图实例;
[0026] 图6为本发明CSRF漏洞检测的装置结构示意图。
具体实施方式
[0027] 为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
[0028] 本发明中,先模拟攻击者在网页入口输入特征,提交网页请求,然后爬取目标网站的网页,如果查找到网页上包含输入的特征,则表明存在CSRF漏洞,进而由特征确定出存在跨站伪造请求漏洞的网页入口。参见图1,为本发明CSRF漏洞检测的方法示意性流程图,其包括以下步骤:
[0029] 步骤101,获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息。
[0030] 目标网站提供了众多网页,某些网页上包含网页入口;将需要进行检测的对象作为待检测的网页入口,例如可以将目标网站下所有的网页入口都确定为待检测的网页入口。目标网站服务器存储了网页列表,网页列表中包含关于目标网站所有网页的网页信息,该网页信息中包含网页入口信息;获取待检测的网页入口时,可以从目标网站服务器网页列表中获取待检测的网页入口。还可以,采用爬虫对目标网站提供的网页进行爬取,以获取网页上的网页入口。
[0031] 进一步地,确定待检测的网页入口后,可以对网页入口进行初步筛选,对筛选后满足要求的网页入口才进行检测,执行步骤102,以提升检测效率。下面对初步筛选的方式进行举例说明:
[0032] 方式一:判断待检测的网页入口是否满足入口检测条件,如果是,则确定为通过初步筛选,执行步骤102。检测条件可根据需要设置,例如包括:网页入口可输入参数,网页入口输入的参数通过POST方式提交至目标网站,或通过表单(FORM)方式提交至目标网站。
[0033] POST是一种HTTP请求方法,表示向指定的资源提交要被处理的数据,是在浏览器和服务器之间进行请求-响应时,最常被用到的一种方法。POST方式比较安全,在提交地址栏看不见用户提交的信息;FORM方式,网页入口以表单形式显示在网页。
[0034] 方式二:通过比较带登录态(浏览器向目标网站发送信息时携带cookie中保存的合法身份验证)及不带登录态访问网页入口的返回内容是否一致来判断网页入口是否需要登录,如果一致,则不存在被黑客截获合法身份认证的情形,可直接认为该网页入口不存在CSRF漏洞;如果不一致,则该网页入口可能存在CSRF漏洞,需要进行检测。具体包括:
[0035] 向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;
[0036] 向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;
[0037] 判断内容A和内容B是否相同,如果不是,则执行步骤102;如果是,则确认相应的网页入口不存在CSRF漏洞,无需进行检测。
[0038] 进一步地,确定出内容A和内容B不相同之后,该方法还包括:
[0039] 查找网页请求的请求头中的来源地址字段;
[0040] 将查找到的来源地址字段设置为非法来源地址。
[0041] 来源地址字段是HTTP请求头的一个字段它记录了该HTTP请求的来源地址,所述来源地址字段例如为Referer字段。目标网站接收网页请求后,判断referer是否合法,如果合法,则接受网页请求;否则拒绝网页请求。本发明中,由于采用模拟攻击者的方式对网页入口的特征进行输入,为非法操作,这里设置为非法referer;目标网站接收后,如果进行了合法性检验,将拒绝网页请求,以进一步提高安全性。在实际应用中,大多情况不进行referer合法性检验,直接接受网页请求。
[0042] 进一步地,确定出内容A和内容B不相同之后,该方法还包括:
[0043] 查找网页请求中的token值;
[0044] 将查找到的token值修改为错误的token值。
[0045] token是一种安全验证机制,网页请求中可能包含token值,为用户登录时目标网站配置给该用户的,后续浏览器向目标网站发送信息时都携带配置的token值;理想情况下,目标网站接收网页请求后,判断token值是否合法,即判断携带的token值与配置给用户的token值是否相同,如果相同,则合法,接受网页请求;否则拒绝网页请求。本发明中,由于采用模拟攻击者的方式对网页入口的特征进行输入,为非法操作,这里设置为非法token值;目标网站接收后,如果进行了合法性检验,将拒绝网页请求,以进一步提高安全性。在实际应用中,大多情况不进行token值合法性检验,只粗略判断网页请求中是否包含token参数类似的关键字,如果是,则直接接受网页请求。
[0046] 步骤102,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
[0047] 目标网站接收网页请求后进行相应的网页处理。
[0048] 步骤103,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0049] 所述网页入口描述信息可根据需要设置,例如包含域名、网页名和参数名,其中的域名和网页名用于指示网页入口所在的网页,参数名用于标识网页入口在该网页中的位置,这样,通过域名、网页名和参数名便可确定出存在CSRF漏洞的网页入口。
[0050] 下面通过图2和图5的流程,对本发明CSRF漏洞检测的方法进行实例说明。参见图2,为本发明进行特征设置的流程图实例,其包括以下步骤:
[0051] 步骤201,获取待检测的网页入口。
[0052] 步骤202,判断待检测的网页入口是否满足入口检测条件,如果是,则执行步骤203;否则结束流程。
[0053] 步骤203,向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A。
[0054] 也就是,用户先进行登录,将登录认证信息存储到浏览器cookie中;然后带着登录认证信息,向目标网站发送关于某网页入口的访问请求;目标网站将对访问请求进行处理,并返回关于该网页入口的内容,这里表示为内容A。
[0055] 步骤204,向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B。
[0056] 这里,向目标网站发送网页入口访问请求时,不携带cookie中存储的登录认证信息,并将目标网站返回的关于该网页入口的内容,表示为内容B。
[0057] 步骤205,判断内容A和内容B是否相同,如果不是,则执行步骤206;否则结束流程。
[0058] 通过比较带登录态及不带登录态访问网页入口的返回内容是否一致来判断网页入口是否需要登录,如果一致,则可直接认为该网页入口不存在CSRF漏洞;如果不一致,表明步骤203携带登录态的网页入口访问请求时,可能被攻击者截获登录态并进行了攻击,该网页入口可能存在CSRF漏洞,需要进行检测。
[0059] 步骤206,查找HTTP请求的请求头中的referer,将查找到的referer设置为非法referer。
[0060] 步骤207,查找HTTP请求中的token值,将查找到的token值修改为错误的token值。
[0061] 本实例中,假设HTTP请求中包含token值。
[0062] 步骤208,由当前网页的所有网页入口组成入口集合,从入口集合中选取一个网页入口。
[0063] 所述当前网页为当前正在进行检测的网页。
[0064] 步骤209,针对选取的网页入口,生成唯一的特征,该特征包含域名、网页名和参数名。
[0065] 步骤210,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
[0066] 步骤211,判断入口集合中是否还有未被检测的网页入口,如果是,则选取下一个网页入口,执行步骤209;否则,结束流程。
[0067] 参见图3的网页,待检测的网页入口为图中的“真实姓名”,原始赋值为“test”;本实例中,将对应该网页入口的特征设置为“my.tt.com_my_userinfo_update.php_name”,其中“my.tt.com”为域名,“my_userinfo_update.php”为网页名,“name”为参数名。
[0068] 参见图4,为本发明CSRF漏洞检测的方法中进行特征爬取的流程图实例,其包括以下步骤:
[0069] 步骤401,获取登录目标网站的登录态。
[0070] 登录态通常指用户登录时存储在浏览器cookie中的登录认证信息,也即是前述的合法身份验证。
[0071] 步骤402,带登录态访问目标网站的网页并接收响应。
[0072] 步骤403,爬取目标网站的网页,查找网页上是否包含图2流程中设置的特征,如果是,则执行步骤404;否则执行步骤405。
[0073] 本步骤中爬取的目标网站网页,可以是步骤402访问目标网站后由目标网站返回的网页内容。
[0074] 假设图2流程中访问的是即时通讯业务tt,用户通过tt号进行登录访问。图2中采用哪个tt号登录,以进行特征设置;这里就相应用哪个tt号登录进行网页爬取。以图3所示的情况为例,相应地,这里需要对tt号为12345678的所有网页进行爬取,以确定出存在CSRF漏洞的网页入口。
[0075] 步骤404,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0076] 该实例中,网页入口描述信息包含域名、网页名和参数名,由域名、网页名和参数名便可确定出网页入口,确定的该网页入口存在跨站伪造请求漏洞。
[0077] 步骤405,判断是继续访问下一网页,如果是,则执行步骤402;否则结束流程。
[0078] 采用本发明的检测方案,模拟攻击者在网页入口输入特征,提交网页请求;然后爬取目标网站的网页,如果查找到网页上包含有所述特征,则表明存在CSRF漏洞,并由所述特征包含的网页入口描述信息确定出存在CSRF漏洞的网页入口;这样,实现了自动、准确、快速地检测出存在CSRF漏洞的网页入口。
[0079] 举一个具体的应用场景。某tt用户原来的个人资料真实姓名为“test”,如图3所示;如果黑客构造一个恶意页面,该恶意页面例如采用下述的网页代码实现(网页代码附在本段后面),当tt用户的浏览器带着my.tt.com的登录cookie访问黑客构造的恶意页面时,该tt用户的真实姓名就在自己不知情的情况下被黑客改成了abc(如图5所示),如果黑客随便改造一下就可以造成危害巨大的蠕虫;FORM表单my_userinfo_update.php的参数name就是存在CSRF漏洞的网页入口。将“真实姓名”更新为“abc”的相应网页代码为:
[0080] //html起始标签
[0081] //body起始标签
[0082] //form表单定义,post方式提交内容到目标通用网关界面:http://my.tt.com:80/my_userinfo_update.php
[0083]
[0086]
[0087]
[0088]
[0091] //body结束标签
[0092] //html结束标签
[0093] 本发明检测漏洞时,向该FORM表单提交特征my.tt.com_my_userinfo_update.php_name,也就是,将图3中的“test”修改为“my.tt.com_my_userinfo_update.php_name”,则该特征会在my_userinfo.html页面中找到,由该特征便可确定存在漏洞的网页入口,从而有效检测到该CSRF漏洞。
[0094] 参见图6,为本发明CSRF漏洞检测的装置结构示意图,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
[0095] 所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
[0096] 所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
[0097] 所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
[0098] 所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0099] 较佳地,所述特征生成模块包括第一漏洞筛选子模块和特征生成子模块;
[0100] 所述第一漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;判断内容A和内容B是否相同,如果不是,则向所述特征生成子模块发送启动指令;
[0101] 所述特征生成子模块,接收来自所述第一漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
[0102] 较佳地,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求的请求头中的来源地址字段,将查找到的来源地址字段设置为非法来源地址。
[0103] 较佳地,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求中的token值,将查找到的token值修改为错误的token值。
[0104] 较佳地,所述特征生成模块包括第二漏洞筛选子模块和特征生成子模块;
[0105] 所述第二漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,判断待检测的网页入口是否满足入口检测条件,如果是,则向所述特征生成子模块发送启动指令;
[0106] 所述特征生成子模块,接收来自所述第二漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
[0107] 进一步地,所述第一漏洞帅选子模块和所述第二漏洞帅选子模块可以都设置在装置中。
[0108] 本发明CSRF漏洞检测的方案,其主要思路分为两大步骤,第一步主要是向目标网站的各个可疑网页入口提交可辨识的唯一特征,第二步主要是利用爬虫爬取站点页面并寻找特征,一旦找到特征则认为发现某网页入口存在CSRF漏洞。举例说明,待检测的网页入口为http://www.test.com/publish.php?content=test&user=aaa,首先会生成形如域名_网页名_参数名的可辨识的唯一特征,如本例中针对参数content的特征则是www.test.com_publish.php_content,生成特征后通过http请求访问http://www.test.com/publish.php?content=www.test.com_publish.php_content&user=aaa,将此访问请求提交至目标网站。第二步中,爬取站点页面时,只要在任意页面如http://www.test.com/view.html中发现所提交的特征,则可确认网站www.test.com下网页publish.php的参数content存在CSRF漏洞。
[0109] 本发明模拟CSRF的攻击方式,不会存在误报。需要强调的是,通常向网站A下网页X提交的特征会在网页Y下显示,更有甚者会跨域在网站B的页面显示,这正是CSRF漏洞难以检测的本质原因,本发明的检测方案很好的解决了这个问题。如上述实例中若在爬取http://children.test.com/view.html时发现之前生成的特征,则亦能确认网站www.test.com下网页publish.php的参数content存在CSRF漏洞。
[0110] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | 2020-05-08 | 286 |
| 一种CSRF攻击的快速定位与识别系统和方法 | 2020-05-17 | 769 |
| 跨站伪造请求漏洞检测的方法及装置 | 2020-05-25 | 232 |
| 保护当前系统免受网络攻击的方法 | 2020-05-12 | 851 |
| 一种防御跨站请求伪造CSRF攻击的方法、系统和装置 | 2020-05-21 | 111 |
| 一种针对React框架的防止跨站请求伪造CSRF攻击的方法及系统 | 2020-05-13 | 748 |
| CSRF攻击检测方法及装置 | 2020-05-11 | 584 |
| 一种跨站漏洞扫描方法及系统 | 2020-05-24 | 106 |
| Client-side prevention of cross-site request forgeries | 2020-05-31 | 200 |
| STREAMING INSERTION OF TOKENS INTO CONTENT TO PROTECT AGAINST CSRF | 2020-05-30 | 964 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
跨站请求伪造热门专利
QQ群二维码
意见反馈
意见反馈