检测WebSocket跨站请求伪造漏洞的方法和装置制造方法及图纸

本发明专利技术实施例涉及通信领域，尤其涉及一种检测WebSocket跨站请求伪造漏洞的方法和装置，用于检测待测试服务器是否存在WebSocket跨站请求伪造的漏洞。本发明专利技术实施例中，由于确定所述握手链接请求为基于WebSocket协议的握手链接请求时，根据所述握手连接请求生成基于WebSocket协议的至少一个伪造请求，进而可通过将伪造请求发送给待测试服务器的方式，判断待测试服务器是否会被基于WebSocket协议的伪造请求骗过，从而可验证待测试服务器是否存在WebSocket跨站请求伪造漏洞，以及存在漏洞的风险等级。

【技术实现步骤摘要】

本专利技术实施例涉及通信领域，尤其涉及一种检测WebSocket跨站请求伪造漏洞的方法和装置。
技术介绍
很多网站为了实现即时通讯，所用的技术都是轮询(英文称为polling)。轮询是在特定的的时间间隔(如每1秒)，由浏览器对待测试服务器发出HTTP请求(英文称为HTTPrequest)，然后由待测试服务器返回最新的数据给浏览器。这种传统的HTTPrequest的模式带来很明显的缺点：浏览器需要不断的向待测试服务器发出请求，然而HTTPrequest的头域(英文称为header)非常长，HTTPrequest中包含的有用数据可能只是一个很小的值，如此会占用很多的带宽。基于上述内容，出现了一种新的网络套接字协议(英文称为WebSocketprotocol)，它实现了浏览器与待测试服务器全双工通信(full-duplex)。在WebSocket应用程序编程接口(ApplicationProgrammingInterface，简称API)，浏览器和待测试服务器只需要做一个握手的动作，然后，浏览器和待测试服务器之间就形成了一条快速通道。两者之间就直接可以数据互相传送。具体来说，浏览器与待测本文档来自技高网...

【技术保护点】
一种检测网络套接字WebSocket跨站请求伪造漏洞的方法，其特征在于，包括：获取待测试服务器接收到的握手链接请求；在确定所述握手链接请求为基于WebSocket协议的握手链接请求时，根据所述握手连接请求生成基于WebSocket协议的至少一个伪造请求；根据所述至少一个伪造请求，对所述待测试服务器进行至少一项测试，得到所述至少一项测试的测试结果；根据所述至少一项测试的测试结果，确定所述待测试服务器存在漏洞的风险等级。

【技术特征摘要】
1.一种检测网络套接字WebSocket跨站请求伪造漏洞的方法，其特征在于，包括：获取待测试服务器接收到的握手链接请求；在确定所述握手链接请求为基于WebSocket协议的握手链接请求时，根据所述握手连接请求生成基于WebSocket协议的至少一个伪造请求；根据所述至少一个伪造请求，对所述待测试服务器进行至少一项测试，得到所述至少一项测试的测试结果；根据所述至少一项测试的测试结果，确定所述待测试服务器存在漏洞的风险等级。2.如权利要求1所述的方法，其特征在于，所述根据所述至少一个伪造请求，对所述待测试服务器进行至少一项测试，得到所述至少一项测试的测试结果，包括：针对所述至少一个伪造请求中的每个伪造请求，执行：将该伪造请求发送给待测试服务器；确定所述待测试服务器的反馈；若所述待测试服务器的反馈为：未反馈针对该伪造请求的响应消息，或者所述待测试服务器对该伪造请求鉴权失败时反馈的响应消息；则，确定根据该伪造请求进行的测试的测试结果为：测试不通过；若所述待测试服务器的反馈为：所述待测试服务器对该伪造请求鉴权成功时反馈的响应消息；则，确定根据该伪造请求进行的测试的测试结果为：测试通过。3.如权利要求1所述的方法，其特征在于，所述根据所述至少一个伪造请求，对所述待测试服务器进行的至少一项测试，得到所述至少一项测试的测试结果，包括：获取所述握手链接请求中的源origin域信息；将所述origin域信息进行修改，生成第一伪造请求；将所述第一伪造请求发送给所述待测试服务器，以对所述待测试服务器进行进行同源测试；若确定未接收到所述待测试服务器基于所述第一伪造请求反馈的第一响应，或者确定接收到的所述第一响应与所述待测试服务器向所述客户端反馈的握手连接响应不相同时，则确定所述待测试服务器的同源测试的结果为：测试通过；若确定接收到的所述第一响应与所述握手连接响应相同时，则确定所述待测试服务器的同源测试的结果为：测试不通过。4.如权利要求3所述的方法，其特征在于，所述根据所述至少一个伪造请求，对所述待测试服务器进行的至少一项测试，得到所述至少一项测试的测试结果，包括：获取所述握手链接请求中携带的cookie信息；根据所述cookie信息，生成携带所述cookie信息的第二伪造请求；将所述第二伪造请求发送给所述待测试服务器，以对所述待测试服务器进行进行cookie认证测试；若确定未接收到所述待测试服务器基于所述第二伪造请求反馈的第二响应，或者确定所述第二响应为所述待测试服务器对所述cookie信息鉴权失败时所反馈的，则确定所述待测试服务器的cookie认证测试的结果为：测试通过；若确定接收到的所述第二响应为所述待测试服务器对所述cookie信息鉴权成功后所反馈的，则确定所述待测试服务器的cookie认证测试的结果为：测试不通过。5.如权利要求4所述的方法，其特征在于，所述根据所述至少一个伪造请求，对所述待测试服务器进行的至少一项测试，得到所述至少一项测试的测试结果，包括：获取所述握手链接请求中携带的电子令牌token信息；根据所述token信息，生成携带所述token信息的第三伪造请求；将所述第三伪造请求发送给所述待测试服务器，以对所述待测试服务器进行进行token认证测试；若确定未接收到所述待测试服务器基于所述第三伪造请求反馈的第三响应，或者确定所述第三响应为所述待测试服务器对所述token信息鉴权失败时所反馈的，则确定所述待测试服务器的token认证测试的结果为：测试通过；若确定接收到的所述第三响应为所述待测试服务器对所述token信息鉴权成功后所反馈的，则确定所述待测试服务器的token认证测试的结果为：测试不通过。6.如权利要求5所述的方法，其特征在于，所述根据所述至少一项测试的测试结果，确定所述待测试服务器存在漏洞的风险等级，包括：若确定所述待测试服务器同源测试不通过和/或cookie认证测试不通过，则确定所述待测试服务器存在严重风险的漏洞；若确定所述待测试服务器的同源测试通过、cookie认证测试通过，且token认...

【专利技术属性】
技术研发人员：王旸，陈舟，杨阳，胡景秀，尹亚伟，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海;31