技术领域
[0001] 本
发明涉及网络通信技术领域,尤其涉及基于CSRF攻击的防护方法及装置。
背景技术
[0002] 随着网络通信技术的发展,出现了一种权限冒用的攻击方法,即跨站
请求伪造(Cross Site Request Forgery,CSRF)攻击。该CSRF攻击是一种网络攻击形式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击
站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。
[0003]
现有技术中,基于CSRF攻击的防护方法可以采用验证超文本传输协议(Hyper Text Transfer Protocol,HTTP)的Referer字段来实现。其中,根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。但是,采用上述防护方法安全性不高,对CSRF攻击的防护效果很低。
发明内容
[0004] 本发明提供基于CSRF攻击的防护方法及装置,以解决现有技术中采用现有的防护方法安全性不高,对CSRF攻击的防护效果很低的问题。
[0005] 根据本发明
实施例的第一方面,提供一种基于CSRF攻击的防护方法,所述方法包括:
[0006] 接收HTTP报文,并判断所述HTTP报文是否需要基于CSRF攻击的防护;
[0007] 若所述HTTP报文需要进行所述防护,且所述HTTP报文中包含所述HTTP报文的来源网址时,判断所述HTTP报文的来源网址是否为安全网址;
[0008] 若所述来源网址是安全网址时,获取所述HTTP报文的参数,当所述HTTP报文的参数中没有预设的积极模式串,或者所述HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理。
[0009] 根据本发明实施例的第二方面,提供一种基于CSRF攻击的防护装置,所述装置包括:
[0010] 第一判断单元,用于接收超文本传输协议HTTP报文,并判断所述HTTP报文是否需要基于CSRF攻击的防护;
[0011] 第二判断单元,用于若所述HTTP报文需要进行所述防护,且所述HTTP报文中包含所述HTTP报文的来源网址时,判断所述HTTP报文的来源网址是否为安全网址;
[0012] 第一防护单元,用于若所述来源网址是安全网址时,获取所述HTTP报文的参数;当所述HTTP报文的参数中没有预设的积极模式串,或者所述HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行转发处理。
[0013] 应用本发明实施例,通过接收HTTP报文,并判断所述HTTP报文是否需要基于CSRF攻击的防护;若HTTP报文需要进行防护,且HTTP报文中包含HTTP报文的来源网址时,判断HTTP报文的来源网址是否为安全网址;若来源网址是安全网址时,获取HTTP报文的参数,当所述HTTP报文的参数中没有预设的积极模式串,或者所述HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理,从而实现了对HTTP报文进行基于CSRF攻击的防护,而且防护效率较高,不易产生防护错误,还极大提高防护效率。
附图说明
[0014] 图1是应用本发明实施例基于CSRF攻击的防护的应用场景示意图;
[0015] 图2是本发明基于CSRF攻击的防护方法的一个实施例
流程图;
[0016] 图3是本发明基于CSRF攻击的防护方法的另一个实施例流程图;
[0017] 图4是本发明基于CSRF攻击的防护装置所在设备的一种
硬件结构图;
[0018] 图5是本发明基于CSRF攻击的防护装置的一个实施例
框图。
具体实施方式
[0019] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0020] 参见图1,为应用本发明实施例基于CSRF攻击的防护的应用场景示意图:
[0021] 图1中示出了一种基于CSRF攻击的防护的组网架构。该架构中包括
网站(Web)A、网站B和网站A的合法用户。
[0022] 其中,网站A可以接用户发送的HTTP报文。网站B为用户发送的HTTP报文的来源网站。根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址,该来源地址为Web B的网址。
[0023] 如果Web A没有基于CSRF的防护机制,即存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,当用户根据网站B的请求,向网站A发送HTTP报文,而网站A并不知道该HTTP报文其实是由网站B发起的,所以会根据用户C的权限处理该HTTP报文,导致来自网站B的恶意代码被执行。
[0024] 本发明实施例中,当网站A接收到HTTP报文后,首先判断该HTTP报文是否基于CSRF攻击的防护,当判定需要防护时,则进行相应的防护,并根据防护结果决定是对该HTTP报文进行转发处理,还是对该HTTP报文进行丢包处理;以及,只有判定不需要防护时,才直接对该HTTP报文进行转发处理。
[0025] 另外,网站A接收到的HTTP报文可以外网发送的,也可以内网发送的。其中,外网指的是除网站A外的网站,即外网的网站与网站A的域名或网络之间互连的协议(Internet Protocol,IP)地址不同;内网指的是网站A自身,具有相同的域名或IP地址。
[0026] 因此,本发明实施例中,可以从内网、外网发送的HTTP报文进行基于CSRF攻击的有效防护。
[0027] 下面结合附图对本发明基于CSRF攻击的防护的实施例进行详细描述。
[0028] 参见图2,为本发明基于CSRF攻击的防护方法的一个实施例流程图,该方法可以应用于网站上,比如,图1中的网站A,具体包括以下步骤:
[0029] 步骤210:接收HTTP报文,并判断该HTTP报文是否需要基于CSRF攻击的防护。其中,该HTTP报文可以是内网网站发送的,也可以是外网网站发送的。
[0030] 步骤220:若接收到的HTTP报文需要进行基于CSRF攻击的防护,且该HTTP报文中包含发送该HTTP报文的来源网址时,判断该HTTP报文的来源网址是否为安全网址。其中,根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。
[0031] 步骤230:若HTTP报文的来源网址是安全网址时,获取该HTTP报文的参数;当HTTP报文的参数中没有预设的积极模式串,或者HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理。
[0032] 本发明实施例中,积极模式串指的是HTTP报文的统一资源
定位器(Uniform Resource Locator,URL)网址的参数部分中的参数,预设的积极模式串为预设的参数。
[0033] 比如,HTTP报文的URL网址的参数部分为/dp/index.php?name=dptech,其中,name为积极模式串。若预设的积极模式串为name,则确定该HTTP报文没有出现异常,并对该HTTP报文进行转发处理。
[0034] 本发明实施例中使用预设的积极模式串目的是进一步确定接收到的HTTP报文的安全性,只有满足积极模式串匹配准则,才能更好地进行基于CSRF攻击的防护。其中,积极模式串匹配准则为有且只有积极模式串。
[0035] 由上述实施例可见,通过接收HTTP报文,并判断所述HTTP报文是否需要基于CSRF攻击的防护;若HTTP报文需要进行防护,且HTTP报文中包含HTTP报文的来源网址时,判断HTTP报文的来源网址是否为安全网址;若来源网址是安全网址时,获取HTTP报文的参数,[0036] 当所述HTTP报文的参数中没有预设的积极模式串,或者所述HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理,从而实现了对HTTP报文进行基于CSRF攻击的防护,而且防护效率较高,不易产生防护错误,还极大提高防护效率。
[0037] 在一个实施例中,上述基于CSRF攻击的防护方法还包括:
[0038] 若接收到的HTTP报文中不包含所述来源网址,或者该HTTP报文的来源网址不是安全网址时,获取该HTTP报文的参数;当HTTP报文的参数中包含预设的积极模式串时,则确定HTTP报文没有出现异常,并对HTTP报文进行转发处理;当HTTP报文的参数中没有包含预设的积极模式串时,则确定HTTP报文出现异常,并对HTTP报文进行丢包处理。
[0039] 另一个实施例中,上述基于CSRF攻击的防护方法还包括:
[0040] 若接收到的HTTP报文不需要进行基于CSRF攻击的防护时,则确定该HTTP报文没有出现异常,并对该HTTP报文进行转发处理。
[0041] 再一个实施例中,上述步骤210中判断该HTTP报文是否需要基于CSRF攻击的防护时,具体步骤包括:
[0042] (1)获取接收到的HTTP报文的URL网址,并在预设的URL网址中查询HTTP报文的URL网址。其中,预设的URL网址包括需要进行基于CSRF攻击的防护的网址。
[0043] (2)若查询到HTTP报文的URL网址时,则该HTTP报文需要进行基于CSRF攻击的防护;若没有查询到HTTP报文的URL网址时,则该HTTP报文不需要进行基于CSRF攻击的防护。
[0044] 再一个实施例中,上述步骤220中判断HTTP报文的来源网址是否为安全网址时,具体步骤包括:
[0045] (1)在预设的来源网址中查询HTTP报文的来源网址。其中,预设的来源网址皆为安全网址。
[0046] (2)若查询到HTTP报文的来源网址时,则HTTP报文的来源网址是安全网址;若没有查询到HTTP报文的来源网址时,则HTTP报文的来源网址不是安全网址。
[0047] 由上述实施例可见,通过对HTTP报文的URL网址、来源网址、积极模式串等方面进行区分处理,从而实现了对HTTP报文进行基于CSRF攻击的防护,而且防护效率较高,不易产生防护错误,还极大提高防护效率。
[0048] 图3是本发明基于CSRF攻击的防护方法的另一个实施例流程图,该方法可以应用于网站上,比如,图1中的网站A,具体包括以下步骤:
[0049] 步骤301:接收HTTP报文。其中,该HTTP报文可以是内网网站发送的,也可以是外网网站发送的。
[0050] 步骤302:判断HTTP报文是否需要基于CSRF攻击的防护,若需要,则执行步骤303;否则,则执行步骤311。
[0051] 其中,判断HTTP报文是否需要基于CSRF攻击的防护具体包括:
[0052] (1)获取接收到的HTTP报文的URL网址,并在预设的URL网址中查询接收到的HTTP报文的URL网址。其中,预设的URL网址包括需要进行基于CSRF攻击的防护的网址。
[0053] (2)若查询到HTTP报文的URL网址时,则该HTTP报文需要进行基于CSRF攻击的防护;若没有查询到HTTP报文的URL网址时,则该HTTP报文不需要进行基于CSRF攻击的防护。
[0054] 步骤303:获取HTTP报文的来源网址。
[0055] 步骤304:判断是否获取到HTTP报文的来源网址,若获取到,则执行步骤305;否则,则执行步骤309。
[0056] 步骤305:判断HTTP报文的来源网址是否为安全网址,若是安全网址,则执行步骤306;否则,则执行步骤309。
[0057] 其中,判断HTTP报文的来源网址是否为安全网址具体包括:
[0058] (1)在预设的来源网址中查询HTTP报文的来源网址。其中,预设的来源网址皆为安全网址。
[0059] (2)若查询到HTTP报文的来源网址时,则所述HTTP报文的来源网址是安全网址;若没有查询到HTTP报文的来源网址时,则HTTP报文的来源网址不是安全网址。
[0060] 步骤306:获取HTTP报文的参数。
[0061] 步骤307:判断HTTP报文的参数中是否包含预设的积极模式串,若包含,则执行步骤308;否则,执行步骤311。
[0062] 步骤308:判断HTTP报文的参数中是否有且只有预设的积极模式串,若有且只有预设的积极模式串,则执行步骤311;否则,执行步骤312。
[0063] 步骤309:获取HTTP报文的参数。
[0064] 步骤310:判断HTTP报文的参数中是否包含预设的积极模式串,若包含,则执行步骤311;否则,执行步骤312。
[0065] 步骤311:确定HTTP报文没有出现异常,并对HTTP报文进行转发处理,流程结束。
[0066] 步骤312:确定HTTP报文出现异常,并对HTTP报文进行丢包处理,流程结束。
[0067] 由上述实施例可见,通过对HTTP报文的URL网址、来源网址、积极模式串等方面进行区分处理,从而实现了对HTTP报文进行基于CSRF攻击的防护,而且防护效率较高,不易产生防护错误,还极大提高防护效率。
[0068] 与前述基于CSRF攻击的防护方法实施例相对应,本发明还提供了基于CSRF攻击的防护装置的实施例。
[0069] 本发明基于CSRF攻击的防护装置的实施例可以应用在网络设备上。装置实施例可以通过
软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性
存储器中对应的
计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本发明基于CSRF攻击的防护装置所在设备的一种硬件结构图,除了图4所示的处理器、网络
接口、内存以及
非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等;从硬件结构上来讲该设备还可能是分布式的设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
[0070] 参见图5,为本发明基于CSRF攻击的防护装置的一个实施例框图,所述装置可以应用在网络设备上,可以用于执行图2和图3所示的基于CSRF攻击的防护方法,所述装置包括:第一判断单元51、第二判断单元52和第一防护单元53。
[0071] 其中,第一判断单元51用于接收超文本传输协议HTTP报文,并判断所述HTTP报文是否需要基于CSRF攻击的防护。
[0072] 第二判断单元52用于若所述HTTP报文需要进行所述防护,且所述HTTP报文中包含所述HTTP报文的来源网址时,判断所述HTTP报文的来源网址是否为安全网址。
[0073] 第一防护单元53用于若所述来源网址是安全网址时,获取所述HTTP报文的参数;当所述HTTP报文的参数中没有预设的积极模式串,或者所述HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;
当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理。
[0074] 其中,积极模式串指的是HTTP报文的URL网址的参数部分中的参数,预设的积极模式串为预设的参数。
[0075] 在一个可选的实现方式中,所述基于CSRF攻击的防护装置还可以包括:第二防护单元(图5中未示出)。
[0076] 其中,第二防护单元用于若所述HTTP报文中不包含所述来源网址,或者所述HTTP报文的来源网址不是安全网址时,获取所述HTTP报文的参数;当所述HTTP报文的参数中包含预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中没有包含预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理。
[0077] 在另一个可选的实现方式中,所述基于CSRF攻击的防护装置还可以包括:第三防护单元(图5中未示出)。
[0078] 其中,第三防护单元用于若所述HTTP报文不需要进行所述防护时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理。
[0079] 再一个可选的实现方式中,所述第一判断单元51还用于获取所述HTTP报文的统一资源定位器URL网址,并在预设的URL网址中查询所述HTTP报文的URL网址,所述预设的URL网址包括需要进行基于CSRF攻击的防护的网址;若查询到所述HTTP报文的URL网址时,则所述HTTP报文需要进行所述防护;若没有查询到所述HTTP报文的URL网址时,则所述HTTP报文不需要进行所述防护。
[0080] 再一个可选的实现方式中,所述第二判断单元52还用于在预设的来源网址中查询所述HTTP报文的来源网址,所述预设的来源网址皆为安全网址;若查询到所述HTTP报文的来源网址时,则所述HTTP报文的来源网址是安全网址;若没有查询到所述HTTP报文的来源网址时,则所述HTTP报文的来源网址不是安全网址。
[0081] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
[0082] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模
块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0083] 由上述实施例可见,通过接收HTTP报文,并判断所述HTTP报文是否需要基于CSRF攻击的防护;若HTTP报文需要进行防护,且HTTP报文中包含HTTP报文的来源网址时,判断HTTP报文的来源网址是否为安全网址;若来源网址是安全网址时,获取HTTP报文的参数,当所述HTTP报文的参数中没有预设的积极模式串,或者所述HTTP报文的参数中有且只有预设的积极模式串时,则确定所述HTTP报文没有出现异常,并对所述HTTP报文进行转发处理;当所述HTTP报文的参数中不是有且只有预设的积极模式串时,则确定所述HTTP报文出现异常,并对所述HTTP报文进行丢包处理,从而实现了对HTTP报文进行基于CSRF攻击的防护,而且防护效率较高,不易产生防护错误,还极大提高防护效率。
[0084] 本领域技术人员在考虑
说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本
申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的
权利要求指出。
[0085] 应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种
修改和改变。本发明的范围仅由所附的权利要求来限制。
