一种针对跨站请求伪造攻击的防御方法技术

本发明专利技术公开了一种针对跨站请求伪造攻击的防御方法，属于网络安全技术领域；本发明专利技术基于浏览器的同站策略思想，通过对浏览器扩展进行修改，使其能够避免遭受

【技术实现步骤摘要】
一种针对跨站请求伪造攻击的防御方法


[0001]本专利技术涉及网络安全
，具体涉及一种针对跨站请求伪造攻击的防御方法
。

技术介绍

[0002]跨站请求伪造
(CSRF)
攻击一直被列为
web
最危险的攻击之一，该攻击可以在用户毫不知情的情况下以用户的名义发送伪造请求给被攻击站点，从而在未授权的情况下执行权限保护内的操作
。
具体来讲，可以这样理解
CSRF
攻击，攻击者借用用户的名义，向某一服务器发送恶意请求，对服务器来讲这一请求是完全合法的，但攻击者确实完成了一个恶意操作，执行成功的
CSRF
攻击可能会给用户造成严重损失，包括以用户的身份发送邮件
、
非法转账
、
购买商品
、
远程服务端执行命令等
。
[0003]浏览器是用于上网和访问
Web
的软件应用程序
。Chrome
浏览器是使用人数最多的浏览器，其所占市场份额达
66.53
％
。Chrome
浏览器之所以成为最流行的浏览器，得益于其丰富的扩展功能，使用户能够安装第三方扩展和应用程序，将浏览器的功能进一步扩展和定制化，能够满足不同用户的需求
。
虽然一些扩展只是自定义用户浏览器界面，但是有很多扩展用于承担安全和隐私的关键任务，例如，广告拦截器为了成功拦截广告需要修改网页内容或拦截网络请求
。
为了实现这些，扩展中的
JavaScript
与网页中常规的
JavaScript
不一样，扩展具有更高权限的功能，例如下载任意文件或访问任意跨域数据
。
扩展的高权限功能，使得扩展具有潜在的安全风险，同时也给攻击者提供了新的攻击思路
。
由于扩展便捷的跨域访问功能，我们发现了使用扩展漏洞发起
CSRF
攻击
(
简称，
VE
‑
CSRF
攻击
)
的新攻击路径
。
[0004]为了应对
CSRF
攻击，浏览器供应商和
web
供应商采取了一系列防御手段，但这些防御手段针对
VE
‑
CSRF
攻击却并不有效
。
现有的浏览器安全机制有同源策略
(SOP)、
跨域资源共享
(CORS)、
跨域读取阻塞
(CORB)、
同站策略等等，同站策略对
CSRF
攻击防范十分有效，它可以清除
CSRF
攻击请求时携带的目标网站的
cookie
导致攻击无法发生，这也就打断了攻击者进行简单的
CSRF
攻击尝试的想法，但
VE
‑
CSRF
攻击却可以绕过同站策略，依然发出带有
cookie
的请求；
Web
开发人员针对
CSRF
攻击使用的最普遍的防御方法是验证请求携带的
token
令牌，
VE
‑
CSRF
攻击可以被设计绕过
token
令牌
。
在安全界
CSRF
攻击被称为“沉睡的巨人”，攻击一旦发生，对用户安全隐私危害极大，因此对于新攻击路径的
VE
‑
CSRF
攻击的防御刻不容缓
。
[0005]现有的
CSRF
攻击防御方法主要分为两种类型，第一种类型为服务端和客户端配合的防御方法
(
例如反
CSRF\_TOKEN
令牌
)
，第二种类型为纯客户端的防御方法
(
例如浏览器安全策略
)
，但这两种类型的防御方法都无法防御新攻击路径的
VE
‑
CSRF
攻击
。
为了应对
VE
‑
CSRF
攻击，我们迫切需要一个易于实施并且有效的防御方法
。

技术实现思路

[0006]本专利技术的目的在于提供一种针对跨站请求伪造攻击的防御方法，防御基于浏览器扩展漏洞发起的跨站请求伪造攻击
(
简称，
VE
‑
CSRF
攻击
)
，使同站策略在扩展层面生效，去除扩展发出的跨站请求携带的
cookie。
[0007]为了实现上述目的，本专利技术采用了如下技术方案：
[0008]一种针对跨站请求伪造攻击的防御方法，基于浏览器的同站策略思想，通过对浏览器扩展进行修改，使其能够避免遭受
VE
‑
CSRF
攻击，具体包括以下内容：
[0009]S1、
拓展下载：用户下载若干个目前浏览器上已经存在的拓展，将其作为“输入”；
[0010]S2、
拓展修改：对浏览器拓展的配置文件
manifest.json
进行修改，添加“扩展同源
.js”文件到浏览器扩展目录中；
[0011]S3、
重新安装：输入经过
S2
修改后的拓展，用户对其重新安装后使用
。
[0012]优选地，
S2
中所述修改
manifest.json
配置文件，具体包括如下内容：对配置文件
manifest.json
中的“permissions”和“background”两个字段进行修改；其中，修改字段“permissions”具体指增添实现“扩张同源
.js”功能所需的权限，首先检测“permissions”字段是否具有实现“扩展同源
.js”功能所需的权限，并添加所缺少的权限；修改字段“background”具体指添加“扩展同源
.js”到该字段中
。
[0013]优选地，
S2
及修改字段“background”中所述添加“扩展同源
.js”文件，具体包括如下内容：将“扩展同源
.js”代码文件添加到浏览器扩展文件的根目录下；所述“扩展同源
.js”代码文件中包含有实现扩展安全修改的所有主要功能，其代码功能是使浏览器扩展层与用户当前所浏览的网站页面具有状态联系，使同站策略在浏览器扩展层面生效，以此来防御
VE
‑
CSRF
攻击
。
[0014]与现有技术相比，本专利技术提供了一种针对跨站请求伪造攻击的防御方法，具备以下有益效果：
[0015]本专利技术基于同站策略提出的针对
VE
‑
CSRF
攻击防御本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种针对跨站请求伪造攻击的防御方法，基于浏览器的同站策略思想，通过对浏览器扩展进行修改，使其能够避免遭受
VE
‑
CSRF
攻击，具体包括以下内容：
S1、
拓展下载：用户下载若干个目前浏览器上已经存在的拓展，将其作为“输入”；
S2、
拓展修改：对浏览器拓展的配置文件
manifest.json
进行修改，添加“扩展同源
.js”文件到浏览器扩展目录中；
S3、
重新安装：输入经过
S2
修改后的拓展，用户对其重新安装后使用
。2.
根据权利要求1所述的一种针对跨站请求伪造攻击的防御方法，其特征在于，
S2
中所述修改
manifest.json
配置文件，具体包括如下内容：对配置文件
manifest.json
中的“permissions”...

【专利技术属性】
技术研发人员：冷和博，赵来平，聂力海，周晓波，
申请(专利权)人：天津大学，
类型：发明
国别省市：