[发明专利]跨站伪造请求漏洞检测的方法及装置

说明书

本发明公开了跨站伪造请求漏洞检测的方法及装置，其中，该方法包括：获取待检测的网页入口，生成对应网页入口的唯一特征，所述特征包含网页入口描述信息；将生成的特征作为待检测的网页入口的参数内容，包含在网页请求中，提交至目标网站；爬取目标网站的网页，查找网页上是否包含所述特征，如果是，则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。本发明方案能够提高跨站伪造请求漏洞检测的准确率。

技术领域

本发明涉及网页安全检测技术，尤其涉及跨站伪造请求漏洞检测的方法及装置。

背景技术

跨站伪造请求（CSRF，Cross Site Request Forgery）攻击，主要指攻击者可以在网页中植入恶意代码或链接，当受害人的浏览器访问恶意代码或点击恶意链接后，攻击者就利用受害人浏览器所带的合法身份验证（通常存储在浏览器cookie中）向目标站点发起恶意操作请求，当目标站点的网页未验证请求来源的合法性时，该恶意操作请求将成功执行，此时就认为目标站点网页存在CSRF漏洞。

CSRF攻击的一个典型例子是，用户登录一家银行网站的网页，合法身份验证存储在浏览器本地的cookie中，后续浏览器向银行网站发送的信息中将携带cookie中保存的合法身份验证。在用户访问银行网站的过程中，如果用户使用浏览器点击一个包含恶意代码的链接，恶意代码使用户在不知情的情况下获取合法身份验证，带着合法身份验证向银行网站发送恶意请求，如请求将资金从受害用户的银行账户转到攻击者的银行帐户；具体地，在关于转账的FORM表单网页中，转入账户一栏为网页入口，用户可输入参数，攻击过程中，攻击者在转入账户一栏输入攻击者的银行账户，然后携带合法身份验证提交转账请求至银行网站，实现将受害用户的银行账户转出。这里的银行网页因其没有验证请求来源的合法性而存在CSRF漏洞，针对该实例，银行网页的转入账户一栏为存在CSRF漏洞的网页入口。

实际应用中，因CSRF漏洞，给用户造成了无法估量的损失。

由于CSRF漏洞攻击方式十分隐蔽且无明显特征，目前业界还没有有效的自动化检测工具。国际知名网络漏洞扫描器（WVS，Web Vulnerability Scanner）通过简单判断FORM表单中是否验证token参数来检测CSRF漏洞，误报率达到95%以上，基本上没有实际检测能力。下面对通过验证token参数检测CSRF漏洞的方案进行实例说明。

token是一种验证机制，浏览器与目标网站之间将预先协商进行检测的token参数，浏览器发送网页请求时将token参数携带在URL地址内；本实例中，进行检测时，检测装置在url地址中查找有无与token参数类似的关键字，如果找到，则认为无CSRF漏洞，例如发起的网页请求是http://t.tt.com/publish.php?token=123456&content=aaaaa&user=zhouhua，其中包含“token”，则认为无CSRF漏洞；否则有漏洞；这种方式的误报极大。目前，很多网站都实现了token验证机制，在实际应用中发现，各网站都自行设定token值，某些token参数中并不包含“token”字样，随便取任何参数名。例如，在用户登录时，将“abc=123456”设置为token参数，假设发起的网页请求是http://t.tt.com/publish.php?abc=123456&content=aaaaa&user=zhouhua；对于这种情况，其中并不包含“token”，检测装置便认为有CSRF漏洞，这属于错报CSRF漏洞的情况。

即使url地址中包含token参数类似的关键字，由于目前目标网站不对token的合法性进行验证，例如浏览器和目标网站预先协商的token参数为“token=123456”，而攻击者在url中添加的token参数为“token=111111”，而检测装置检测到url中包含“token”，就确定无CSRF漏洞，这就导致漏报，漏掉了一些存在CSRF漏洞的情况。

综上，现有CSRF漏洞检测方案存在大量错报、漏报的情况，导致误报率高、准确率低。