【技术实现步骤摘要】
一种CSRF漏洞识别方法、装置及计算机可读存储介质
[0001]本申请涉及网络安全
,尤其涉及一种CSRF漏洞识别方法、装置及计算机可读存储介质。
技术介绍
[0002]CSRF(Cross
‑
site request forgery,跨站请求伪造),通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通常是利用站点对已经身份认证的用户的信任,即攻击者伪装成站点受信用户进行攻击,目前业界检测请求中是否存在CSRF通常有两种方法,其中一种,通过拦截,修改请求中的字段并重发,判断网站是否对除cookie以外的字段进行身份验证,基于单纯的流量重发会存在请求防重放功能的干扰。另一种,通过插桩一些敏感操作诸如文件读写或者数据库操作,并且判断请求中是否存在一些额外的身份标识来判断是否存在CSRF。只判断是否存在文件读写或者数据库操作和请求中是否存在一些额外的身份标识,出于有些文件读写或者数据库操作并不是用户输入引起的,从而会出现较高的CSRF误报率。
技术实现思路
[0003]本申请实施例提供...
【技术保护点】
【技术特征摘要】
1.一种CSRF漏洞识别方法,其特征在于,包括:获取用户输入的访问请求中的目标数据;其中,所述目标数据包括额外的身份标识数据以及执行敏感操作的数据;对所述目标数据添加状态位标识;根据所述访问请求在执行过程中所包含的所有状态位标识,识别所述访问请求是否存在CSRF漏洞。2.根据权利要求1所述的一种CSRF漏洞识别方法,其特征在于,所述目标数据包括如下至少一种:查询字符串数据、表单输入数据、JSON请求体数据、额外的token令牌;所述对所述目标数据添加状态位标识的步骤,包括:若所述访问请求包括所述查询字符串数据,则对所述查询字符串数据添加查询字符串状态位标识;若所述访问请求包括所述表单输入数据或所述JSON请求体数据,则对所述表单输入数据或所述JSON请求体数据添加请求体状态位标识;若所述访问请求包括所述额外的token令牌,则对所述额外的token令牌添加token令牌状态位标识。3.根据权利要求2所述的一种CSRF漏洞识别方法,其特征在于,所述对所述目标数据添加状态位标识的步骤之后,还包括:对所述目标数据添加污点数据标识;根据所述污点数据标识对应的污点数据在执行过程中的传播路径,确定所述污点数据标识对应的污点数据是否执行敏感操作;其中,所述敏感操作包括文件读写操作、数据库读写操作;当确定所述污点数据执行所述敏感操作时,对所述敏感操作添加CSRF操作状态位标识。4.根据权利要求3所述的一种CSRF漏洞识别方法,其特征在于,所述对所述敏感操作添加CSRF操作状态位标识的步骤之前,还包括:检测所述污点数据中是否包括token令牌状态位标识;若所述污点数据中包括token令牌状态位标识,则对所述敏感操作添加安全状态位标识;若所述污点数据中不包括token令牌状态位标识,则执行所述对所述敏感操作添加CSRF操作状态位标识的步骤。5.根据权利要求3所述的一种CSRF漏洞识别方法,其特征在于,所述根据所述访问请求在执行过程中所包含的所有状态位标识,识别所述访问请求是否存在CSRF漏洞的步骤,包括:若所述访问请求在执行过程中所包含的所有状态...
【专利技术属性】
技术研发人员:刘海涛,万振华,王颉,李华,郑明,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。