本发明专利技术公开了跨站伪造请求漏洞检测的方法及装置,其中,该方法包括:获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。本发明专利技术方案能够提高跨站伪造请求漏洞检测的准确率。
【技术实现步骤摘要】
跨站伪造请求漏洞检测的方法及装置
本专利技术涉及网页安全检测技术,尤其涉及跨站伪造请求漏洞检测的方法及装置。
技术介绍
跨站伪造请求(CSRF,CrossSiteRequestForgery)攻击,主要指攻击者可以在网页中植入恶意代码或链接,当受害人的浏览器访问恶意代码或点击恶意链接后,攻击者就利用受害人浏览器所带的合法身份验证(通常存储在浏览器cookie中)向目标站点发起恶意操作请求,当目标站点的网页未验证请求来源的合法性时,该恶意操作请求将成功执行,此时就认为目标站点网页存在CSRF漏洞。CSRF攻击的一个典型例子是,用户登录一家银行网站的网页,合法身份验证存储在浏览器本地的cookie中,后续浏览器向银行网站发送的信息中将携带cookie中保存的合法身份验证。在用户访问银行网站的过程中,如果用户使用浏览器点击一个包含恶意代码的链接,恶意代码使用户在不知情的情况下获取合法身份验证,带着合法身份验证向银行网站发送恶意请求,如请求将资金从受害用户的银行账户转到攻击者的银行帐户;具体地,在关于转账的FORM表单网页中,转入账户一栏为网页入口,用户可输入参数,攻击过程中,攻击者在转入账户一栏输入攻击者的银行账户,然后携带合法身份验证提交转账请求至银行网站,实现将受害用户的银行账户转出。这里的银行网页因其没有验证请求来源的合法性而存在CSRF漏洞,针对该实例,银行网页的转入账户一栏为存在CSRF漏洞的网页入口。实际应用中,因CSRF漏洞,给用户造成了无法估量的损失。由于CSRF漏洞攻击方式十分隐蔽且无明显特征,目前业界还没有有效的自动化检测工具。国际知名网络漏洞扫描器(WVS,WebVulnerabilityScanner)通过简单判断FORM表单中是否验证token参数来检测CSRF漏洞,误报率达到95%以上,基本上没有实际检测能力。下面对通过验证token参数检测CSRF漏洞的方案进行实例说明。token是一种验证机制,浏览器与目标网站之间将预先协商进行检测的token参数,浏览器发送网页请求时将token参数携带在URL地址内;本实例中,进行检测时,检测装置在url地址中查找有无与token参数类似的关键字,如果找到,则认为无CSRF漏洞,例如发起的网页请求是http://t.tt.com/publish.php?token=123456&content=aaaaa&user=zhouhua,其中包含“token”,则认为无CSRF漏洞;否则有漏洞;这种方式的误报极大。目前,很多网站都实现了token验证机制,在实际应用中发现,各网站都自行设定token值,某些token参数中并不包含“token”字样,随便取任何参数名。例如,在用户登录时,将“abc=123456”设置为token参数,假设发起的网页请求是http://t.tt.com/publish.php?abc=123456&content=aaaaa&user=zhouhua;对于这种情况,其中并不包含“token”,检测装置便认为有CSRF漏洞,这属于错报CSRF漏洞的情况。即使url地址中包含token参数类似的关键字,由于目前目标网站不对token的合法性进行验证,例如浏览器和目标网站预先协商的token参数为“token=123456”,而攻击者在url中添加的token参数为“token=111111”,而检测装置检测到url中包含“token”,就确定无CSRF漏洞,这就导致漏报,漏掉了一些存在CSRF漏洞的情况。综上,现有CSRF漏洞检测方案存在大量错报、漏报的情况,导致误报率高、准确率低。
技术实现思路
本专利技术提供了一种跨站伪造请求漏洞检测的方法,该方法能够提高跨站伪造请求漏洞检测的准确率。本专利技术提供了一种跨站伪造请求漏洞检测的装置,该装置能够提高跨站伪造请求漏洞检测的准确率。一种跨站伪造请求漏洞检测的方法,该方法包括:获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。一种跨站伪造请求漏洞检测的装置,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。从上述方案可以看出,本专利技术中,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。采用本专利技术的检测方案,模拟攻击者在网页入口输入特征,提交网页请求;然后爬取目标网站的网页,如果查找到网页上包含有所述特征,则表明存在CSRF漏洞,并由所述特征包含的网页入口描述信息确定出存在CSRF漏洞的网页入口;这样,实现了自动、准确、快速地检测出存在CSRF漏洞的网页入口。附图说明图1为本专利技术CSRF漏洞检测的方法示意性流程图;图2为本专利技术CSRF漏洞检测中进行特征设置的流程图实例;图3为待检测的网页入口原始信息实例;图4为本专利技术CSRF漏洞检测中进行特征爬取的流程图实例;图5为黑客对网页入口进行修改的实例;图6为本专利技术CSRF漏洞检测的装置结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本专利技术进一步详细说明。本专利技术中,先模拟攻击者在网页入口输入特征,提交网页请求,然后爬取目标网站的网页,如果查找到网页上包含输入的特征,则表明存在CSRF漏洞,进而由特征确定出存在跨站伪造请求漏洞的网页入口。参见图1,为本专利技术CSRF漏洞检测的方法示意性流程图,其包括以下步骤:步骤101,获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息。目标网站提供了众多网页,某些网页上包含网页入口;将需要进行检测的对象作为待检测的网页入口,例如可以将目标网站下所有的网页入口都确定为待检测的网页入口。目标网站服务器存储了网页列表,网页列表中包含关于目标网站所有网页的网页信息,该网页信息中包含网页入口信息;获取待检测的网页入口时,可以从目标网站服务器网页列表中获取待检测的网页入口。还可以,采用爬虫对目标网站提供的网页进行爬取,以获取网页上的网页入口。进一步地,确定待检测的网页入口后,可以对网页入口进行初步筛选,对筛选后满足要求的网页入口才进行检测,执行步骤102本文档来自技高网...
【技术保护点】
一种跨站伪造请求漏洞检测的方法,其特征在于,该方法包括:获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
【技术特征摘要】
1.一种跨站伪造请求漏洞检测的方法,其特征在于,该方法包括:获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口;其中,所述生成对应网页入口的唯一特征之前,还包括:向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;判断内容A和内容B是否相同,如果不是,则执行所述生成对应网页入口的唯一特征的步骤。2.如权利要求1所述的方法,其特征在于,确定出内容A和内容B不相同之后,该方法还包括:查找网页请求的请求头中的来源地址字段;将查找到的来源地址字段设置为非法来源地址。3.如权利要求1所述的方法,其特征在于,确定出内容A和内容B不相同之后,该方法还包括:查找网页请求中的token值;将查找到的token值修改为错误的token值。4.如权利要求1所述的方法,其特征在于,所述生成对应网页入口的唯一特征之前,该方法还包括:判断待检测的网页入口是否满足入口检测条件,如果是,则执行所述生成对应网页入口的唯一特征的步骤。5.如权利要求4所述的方法,其特征在于,所述网页入口描述信息包含域名、网页名和参数名;所述入口检测条件包括:网页入口可输入参数,网页入口输入的参数通过POST方式提交至目标网站,或通过FORM表单方式提交至目标网站。6.一种跨站伪造请求漏洞检测的装置,其特征在于,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所...
【专利技术属性】
技术研发人员:翁家才,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。