[发明专利]跨站伪造请求漏洞检测的方法及装置

权利要求书

1.一种跨站伪造请求漏洞检测的方法，其特征在于，该方法包括：

获取待检测的网页入口，生成对应网页入口的唯一特征，所述特征包含网页入口描述信息；

将生成的特征作为待检测的网页入口的参数内容，包含在网页请求中，提交至目标网站；

爬取目标网站的网页，查找网页上是否包含所述特征，如果是，则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口；

其中，所述生成对应网页入口的唯一特征之前，还包括：

向目标网站发送带登录态的网页入口访问请求，接收目标网站返回的网页入口内容，表示为内容A；

向目标网站发送不带登录态的网页入口访问请求，接收目标网站返回的网页入口内容，表示为内容B；

判断内容A和内容B是否相同，如果不是，则执行所述生成对应网页入口的唯一特征的步骤。

2.如权利要求1所述的方法，其特征在于，确定出内容A和内容B不相同之后，该方法还包括：

查找网页请求的请求头中的来源地址字段；

将查找到的来源地址字段设置为非法来源地址。

3.如权利要求1所述的方法，其特征在于，确定出内容A和内容B不相同之后，该方法还包括：

查找网页请求中的token值；

将查找到的token值修改为错误的token值。

4.如权利要求1所述的方法，其特征在于，所述生成对应网页入口的唯一特征之前，该方法还包括：

判断待检测的网页入口是否满足入口检测条件，如果是，则执行所述生成对应网页入口的唯一特征的步骤。

5.如权利要求4所述的方法，其特征在于，所述网页入口描述信息包含域名、网页名和参数名；所述入口检测条件包括：网页入口可输入参数，网页入口输入的参数通过POST方式提交至目标网站，或通过FORM表单方式提交至目标网站。

6.一种跨站伪造请求漏洞检测的装置，其特征在于，该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块；

所述待检测入口确定模块，获取待检测的网页入口，发送给所述特征生成模块；

所述特征生成模块，接收来自所述待检测入口确定模块的待检测的网页入口，生成对应待检测的网页入口的唯一特征，所述特征包含网页入口描述信息；将生成的特征作为待检测的网页入口的参数内容，包含在网页请求中，提交至目标网站；

所述爬取模块，爬取目标网站的网页，查找网页上是否包含所述特征，如果是，则将所述特征发送给所述漏洞确定模块；

所述漏洞确定模块，接收来自所述爬取模块的特征，由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口；

其中，所述特征生成模块包括第一漏洞筛选子模块和特征生成子模块；

所述第一漏洞筛选子模块，接收来自所述待检测入口确定模块的待检测的网页入口，向目标网站发送带登录态的网页入口访问请求，接收目标网站返回的网页入口内容，表示为内容A；向目标网站发送不带登录态的网页入口访问请求，接收目标网站返回的网页入口内容，表示为内容B；判断内容A和内容B是否相同，如果不是，则向所述特征生成子模块发送启动指令；

所述特征生成子模块，接收来自所述第一漏洞筛选子模块的启动指令，生成对应待检测的网页入口的唯一特征，将生成的特征作为待检测的网页入口的参数内容，包含在网页请求中，提交至目标网站。

7.如权利要求6所述的装置，其特征在于，所述第一漏洞筛选子模块，在确定出内容A和内容B不相同之后，还查找网页请求的请求头中的来源地址字段，将查找到的来源地址字段设置为非法来源地址。

8.如权利要求6所述的装置，其特征在于，所述第一漏洞筛选子模块，在确定出内容A和内容B不相同之后，还查找网页请求中的token值，将查找到的token值修改为错误的token值。

9.如权利要求6所述的装置，其特征在于，所述特征生成模块包括第二漏洞筛选子模块和特征生成子模块；

所述第二漏洞筛选子模块，接收来自所述待检测入口确定模块的待检测的网页入口，判断待检测的网页入口是否满足入口检测条件，如果是，则向所述特征生成子模块发送启动指令；

所述特征生成子模块，接收来自所述第二漏洞筛选子模块的启动指令，生成对应待检测的网页入口的唯一特征，将生成的特征作为待检测的网页入口的参数内容，包含在网页请求中，提交至目标网站。