一種檢測csrf漏洞的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種檢測CSRF漏洞的方法和裝置���,其中方法包括:S1�、獲取待檢測URL對(duì)應(yīng)的登錄頁面的源代碼�;S2、從獲取登錄頁面的源代碼中提取請(qǐng)求表單�����;S3���、對(duì)提取的請(qǐng)求表單分別檢測是否存在CSRF漏洞。本發(fā)明從待檢測URL對(duì)應(yīng)的登錄頁面的源代碼中提取請(qǐng)求表單進(jìn)行CSRF漏洞檢測���,從而減少了對(duì)大量沒有危害性的請(qǐng)求表單的分析���,節(jié)約了時(shí)間,提高了檢測效率�。更進(jìn)一步地�����,在對(duì)提取的請(qǐng)求表單進(jìn)行檢測時(shí)����,首先基于標(biāo)簽和屬性值進(jìn)行分析將請(qǐng)求表單分為存在CSRF漏洞的請(qǐng)求表單�、安全的請(qǐng)求表單和嫌疑表單,對(duì)嫌疑表單進(jìn)一步基于構(gòu)造偽造請(qǐng)求并對(duì)比返回結(jié)果的方式分析是否存在CSRF漏洞���,雙重保險(xiǎn)的方式提高了檢測精度�����。
【專利說明】—種檢測CSRF漏洞的方法和裝置
【【技術(shù)領(lǐng)域】】
[0001]本發(fā)明涉及計(jì)算機(jī)安全【技術(shù)領(lǐng)域】�����,特別涉及一種檢測跨站請(qǐng)求偽造(CSRF)漏洞的方法和裝置�����。
【【背景技術(shù)】】
[0002]產(chǎn)品的安全涉及到用戶的利益�,若攻擊者利用跨站請(qǐng)求偽造(CSRF,Cross-siterequest forgery)漏洞對(duì)合法用戶進(jìn)行攻擊,便可以在合法用戶無意識(shí)的情況下進(jìn)行某些隱私操作���,比如進(jìn)行轉(zhuǎn)賬操作�,這就會(huì)直接關(guān)系到用戶的經(jīng)濟(jì)利益�����,因此�,檢測CSRF漏洞十分重要。
[0003]現(xiàn)有檢測CSRF漏洞的方式是對(duì)某一頁面的所有請(qǐng)求表單(HTTP請(qǐng)求信息)都進(jìn)行收集和識(shí)別以檢測是否存在CSRF嫌疑���,然后通過構(gòu)造偽造請(qǐng)求并對(duì)比偽造請(qǐng)求的返回信息之間的相似度來確定是否是有CSRF攻擊傾向的偽造請(qǐng)求����。然而這種方式需要針對(duì)所有HTTP請(qǐng)求信息都進(jìn)行收集分析��,但有些請(qǐng)求表單是良性的�����,所謂良性的表單是指即使這個(gè)表單存在CSRF漏洞但也不影響到業(yè)務(wù)邏輯�,那么此表單就沒有危害性����。由于對(duì)請(qǐng)求表單進(jìn)行CSRF識(shí)別的復(fù)雜度較高����,對(duì)大量沒有危害性的請(qǐng)求表單進(jìn)行分析顯然浪費(fèi)了時(shí)間���,降低了檢測效率��。
【
【發(fā)明內(nèi)容】
】
[0004] 本發(fā)明提供了一種檢測CSRF漏洞的方法和裝置�����,以便于提高CSRF漏洞的檢測效率�����。
[0005]具體技術(shù)方案如下:
[0006]一種檢測跨站請(qǐng)求偽造(CSRF)漏洞的方法��,該方法包括:
[0007]S1�、獲取待檢測URL對(duì)應(yīng)的登錄頁面的源代碼�;
[0008]S2、從獲取的登錄頁面的源代碼中提取請(qǐng)求表單�����;
[0009]S3、對(duì)提取的請(qǐng)求表單分別檢測是否存在CSRF漏洞�。
[0010]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,所述步驟SI具體包括:
[0011]將不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼和帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼進(jìn)行對(duì)比�����,獲取帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼不同的部分為所述待檢測URL對(duì)應(yīng)的登錄頁面的源代碼����。
[0012]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,在所述步驟SI之前還包括對(duì)待檢測URL的頁面源代碼進(jìn)行的噪聲過濾步驟:
[0013]對(duì)所述待檢測URL進(jìn)行N次請(qǐng)求��,對(duì)N次請(qǐng)求得到的頁面源代碼取交集���,在取交集得到的頁面源代碼基礎(chǔ)上執(zhí)行步驟SI��,所述N為2以上的整數(shù)����。
[0014]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�,在所述獲取不同部分的源代碼過程中,記錄帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼不同的請(qǐng)求表單ID;
[0015]在所述步驟S2中獲取所述不同的請(qǐng)求表單ID對(duì)應(yīng)的請(qǐng)求表單�����。
[0016]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�,所述步驟S3中對(duì)各請(qǐng)求表單檢測是否存在CSRF漏洞具體包括:
[0017]判斷請(qǐng)求表單是否存在表示提交操作的標(biāo)簽且不存在包含隱藏域的標(biāo)簽,如果是�����,確定該請(qǐng)求表單存在CSRF漏洞���,所述待檢測URL存在CSRF漏洞�����。
[0018]根據(jù)本發(fā)明一優(yōu)選實(shí)施例��,如果請(qǐng)求表單不存在表示提交操作的標(biāo)簽���,則確定該請(qǐng)求表單安全;如果存在表示提交操作的標(biāo)簽且存在包含隱藏域的標(biāo)簽���,則確定該請(qǐng)求表單為嫌疑表單��。
[0019]根據(jù)本發(fā)明一優(yōu)選實(shí)施例��,如果確定為嫌疑表單的請(qǐng)求表單中不包含Token數(shù)據(jù)�����,則確定該請(qǐng)求表單為存在CSRF漏洞的表單����;如果確定為嫌疑表單的請(qǐng)求表單中包含Token數(shù)據(jù),則從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求����,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞。
[0020]根據(jù)本發(fā)明一優(yōu)選實(shí)施例�,所述步驟S3中對(duì)各請(qǐng)求表單檢測是否存在CSRF漏洞具體包括:
[0021]從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞�。
[0022]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,所述從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求具體包括:
[0023]遍歷請(qǐng)求表單中的input標(biāo)簽,將input標(biāo)簽中的參數(shù)作為嫌疑參數(shù),為嫌疑請(qǐng)求和偽造請(qǐng)求中的嫌疑參數(shù)賦予相同的值���,嫌疑請(qǐng)求和偽造請(qǐng)求采用請(qǐng)求表單中的Token數(shù)據(jù)�����,對(duì)嫌疑請(qǐng)求和偽造請(qǐng)求中的cookie賦予不同的可登陸的值���。
[0024]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,所述從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求具體包括:
[0025]遍歷嫌疑表單中的input標(biāo)簽,將input標(biāo)簽中的參數(shù)作為嫌疑參數(shù),為嫌疑請(qǐng)求和偽造請(qǐng)求中的嫌疑參數(shù)賦予相同的值��,保持cookie不變,在嫌疑請(qǐng)求中采用請(qǐng)求表單中的Token數(shù)據(jù),對(duì)偽造請(qǐng)求中的token數(shù)據(jù)進(jìn)行隨機(jī)賦值�。
[0026]根據(jù)本發(fā)明一優(yōu)選實(shí)施例,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞具體包括:
[0027]如果- TH���,則確定該請(qǐng)求表單不存在CSRF漏洞,否則確定該請(qǐng)求表單存在
【權(quán)利要求】
1.一種檢測跨站請(qǐng)求偽造(CSRF)漏洞的方法�����,其特征在于���,該方法包括: 51���、獲取待檢測URL對(duì)應(yīng)的登錄頁面的源代碼; 52��、從獲取的登錄頁面的源代碼中提取請(qǐng)求表單�����; 53����、對(duì)提取的請(qǐng)求表單分別檢測是否存在CSRF漏洞��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述步驟SI具體包括: 將不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼和帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼進(jìn)行對(duì)比����,獲取帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼不同的部分為所述待檢測URL對(duì)應(yīng)的登錄頁面的源代碼�����。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,在所述步驟SI之前還包括對(duì)待檢測URL的頁面源代碼進(jìn)行的噪聲過濾步驟: 對(duì)所述待檢測URL進(jìn)行N次請(qǐng)求���,對(duì)N次請(qǐng)求得到的頁面源代碼取交集,在取交集得到的頁面源代碼基礎(chǔ)上執(zhí)行步驟SI,所述N為2以上的整數(shù)����。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于���,在所述獲取不同部分的源代碼過程中����,記錄帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼不同的請(qǐng)求表單ID ��; 在所述步驟S2中獲取所述不同的請(qǐng)求表單ID對(duì)應(yīng)的請(qǐng)求表單���。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述步驟S3中對(duì)各請(qǐng)求表單檢測是否存在CSRF漏洞具體包括: 判斷請(qǐng)求表單是否存在表示提交操作的標(biāo)簽且不存在包含隱藏域的標(biāo)簽�����,如果是����,確定該請(qǐng)求表單存在CSRF漏洞�,所述待檢測URL存在CSRF漏洞���。
6.根據(jù)權(quán)利要求5所述的方法���,其特征在于,如果請(qǐng)求表單不存在表示提交操作的標(biāo)簽�,則確定該請(qǐng)求表單安全;如果存在表示提交操作的標(biāo)簽且存在包含隱藏域的標(biāo)簽����,則確定該請(qǐng)求表單為嫌疑表單。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于����,如果確定為嫌疑表單的請(qǐng)求表單中不包含Token數(shù)據(jù),則確定該請(qǐng)求表單為存在CSRF漏洞的表單���;如果確定為嫌疑表單的請(qǐng)求表單中包含Token數(shù)據(jù)���,則從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞。
8.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述步驟S3中對(duì)各請(qǐng)求表單檢測是否存在CSRF漏洞具體包括: 從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞����。
9.根據(jù)權(quán)利要求7或8所述的方法,其特征在于�,所述從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求具體包括: 遍歷請(qǐng)求表單中的input標(biāo)簽,將input標(biāo)簽中的參數(shù)作為嫌疑參數(shù),為嫌疑請(qǐng)求和偽造請(qǐng)求中的嫌疑參數(shù)賦予相同的值,嫌疑請(qǐng)求和偽造請(qǐng)求采用請(qǐng)求表單中的Token數(shù)據(jù)�����,對(duì)嫌疑請(qǐng)求和偽造請(qǐng)求中的cookie賦予不同的可登陸的值�����。
10.根據(jù)權(quán)利要求7所述的方法���,其特征在于,所述從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求具體包括:遍歷嫌疑表單中的input標(biāo)簽,將input標(biāo)簽中的參數(shù)作為嫌疑參數(shù),為嫌疑請(qǐng)求和偽造請(qǐng)求中的嫌疑參數(shù)賦予相同的值�����,保持cookie不變,在嫌疑請(qǐng)求中采用請(qǐng)求表單中的Token數(shù)據(jù),對(duì)偽造請(qǐng)求中的token數(shù)據(jù)進(jìn)行隨機(jī)賦值����。
11.根據(jù)權(quán)利要求7或8所述的方法,其特征在于��,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞具體包括: 如果
12.—種檢測跨站請(qǐng)求偽造CSRF漏洞的裝置�,其特征在于,該裝置包括: 代碼獲取單元����,用于獲取待檢測URL對(duì)應(yīng)的登錄頁面的源代碼; 表單提取單元��,用于從所述代碼獲取單元獲取的登錄頁面的源代碼中提取請(qǐng)求表單����; 漏洞檢測單元,用于對(duì)所述表單提取單元提取的請(qǐng)求表單分別檢測是否存在CSRF漏洞���。
13.根據(jù)權(quán)利要求12所述的裝置�����,其特征在于����,所述代碼獲取單元具體配置為: 將不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼和帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼進(jìn)行對(duì)比,獲取帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼不同的部分為所述待檢測URL對(duì)應(yīng)的登錄頁面的源代碼�。
14.根據(jù)權(quán)利要求12所述的裝置,其特征在于�,該裝置還包括: 噪聲過濾單元,用于對(duì)所述待檢測URL進(jìn)行N次請(qǐng)求����,對(duì)N次請(qǐng)求得到的頁面源代碼取交集,所述N為2以上的整數(shù)��; 所述代碼獲取單元在所述噪聲過濾單元取交集得到的頁面源代碼基礎(chǔ)上���,獲取待檢測URL對(duì)應(yīng)的登錄頁面的源代碼��。
15.根據(jù)權(quán)利要求13所述的裝置,其特征在于�����,所述代碼獲取單元在獲取不同部分的源代碼過程中��,記錄帶cookie請(qǐng)求所述待檢測URL獲得的頁面源代碼中與不帶cookie請(qǐng)求所述待檢測URL獲得的頁面的源代碼不同的請(qǐng)求表單ID ��; 所述表單提取單元獲取所述不同的請(qǐng)求表單ID對(duì)應(yīng)的請(qǐng)求表單。
16.根據(jù)權(quán)利要求12所述的裝置�����,其特征在于��,所述漏洞檢測單元包括: 表單分類子單元����,用于判斷請(qǐng)求表單是否存在表示提交操作的標(biāo)簽且不存在包含隱藏域的標(biāo)簽,如果是���,確定該請(qǐng)求表單存在CSRF漏洞�,所述待檢測URL存在CSRF漏洞���。
17.根據(jù)權(quán)利要求16所述的裝置���,其特征在于,如果請(qǐng)求表單不存在表示提交操作的標(biāo)簽����,則所述表單分類子單元確定該請(qǐng)求表單安全;如果存在表示提交操作的標(biāo)簽且存在包含隱藏域的標(biāo)簽��,則所述表單分類子單元確定該請(qǐng)求表單為嫌疑表單。
18.根據(jù)權(quán)利要求17所述的裝置�,其特征在于,所述漏洞檢測單元還包括:漏洞檢測子單元���; 所述表單分類子單元還用于如果確定為嫌疑表單的請(qǐng)求表單中不包含Token數(shù)據(jù)�����,則確定該請(qǐng)求表單為存在CSRF漏洞的表單��;如果確定為嫌疑表單的請(qǐng)求表單中包含Token數(shù)據(jù)��,則將該請(qǐng)求表單提供給所述漏洞檢測子單元�����; 所述漏洞檢測子單元��,用于從該請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求�����,對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞。
19.根據(jù)權(quán)利要求12所述的裝置�����,其特征在于,所述漏洞檢測單元具體包括: 請(qǐng)求偽造子單元�����,用于從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求�; 相似度判斷子單元,用于對(duì)比嫌疑請(qǐng)求和偽造請(qǐng)求的返回結(jié)果之間的相似程度以確定是否存在CSRF漏洞��。
20.根據(jù)權(quán)利要求18或19所述的裝置��,其特征在于����,所述從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求具體為: 遍歷請(qǐng)求表單中的input標(biāo)簽,將input標(biāo)簽中的參數(shù)作為嫌疑參數(shù),為嫌疑請(qǐng)求和偽造請(qǐng)求中的嫌疑參數(shù)賦予相同的值,嫌疑請(qǐng)求和偽造請(qǐng)求采用請(qǐng)求表單中的Token數(shù)據(jù)��,對(duì)嫌疑請(qǐng)求和偽造請(qǐng)求中的cookie賦予不同的可登陸的值�。
21.根據(jù)權(quán)利要求18所述的裝置,其特征在于�,所述從請(qǐng)求表單中提取嫌疑參數(shù)并構(gòu)造嫌疑請(qǐng)求和偽造請(qǐng)求具體為: 遍歷嫌疑表單中的input標(biāo)簽,將input標(biāo)簽中的參數(shù)作為嫌疑參數(shù),為嫌疑請(qǐng)求和偽造請(qǐng)求中的嫌疑參數(shù)賦予相同的值�����,保持cookie不變,在嫌疑請(qǐng)求中采用請(qǐng)求表單中的Token數(shù)據(jù),對(duì)偽造請(qǐng)求中的token數(shù)據(jù)進(jìn)行隨機(jī)賦值��。
22.根據(jù)權(quán)利要求18或19所述的裝置�����,其特征在于����,如果
【文檔編號(hào)】G06F21/56GK103679018SQ201210328780
【公開日】2014年3月26日 申請(qǐng)日期:2012年9月6日 優(yōu)先權(quán)日:2012年9月6日
【發(fā)明者】張娜 申請(qǐng)人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司