[发明专利]一种检测CSRF漏洞的方法和装置有效
| 申请号: | 201210328780.3 | 申请日: | 2012-09-06 |
| 公开(公告)号: | CN103679018B | 公开(公告)日: | 2018-06-12 |
| 发明(设计)人: | 张娜 | 申请(专利权)人: | 百度在线网络技术(北京)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京鸿德海业知识产权代理事务所(普通合伙) 11412 | 代理人: | 倪志华 |
| 地址: | 100085 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种检测CSRF漏洞的方法和装置,其中方法包括:S1、获取待检测URL对应的登录页面的源代码;S2、从获取登录页面的源代码中提取请求表单;S3、对提取的请求表单分别检测是否存在CSRF漏洞。本发明从待检测URL对应的登录页面的源代码中提取请求表单进行CSRF漏洞检测,从而减少了对大量没有危害性的请求表单的分析,节约了时间,提高了检测效率。更进一步地,在对提取的请求表单进行检测时,首先基于标签和属性值进行分析将请求表单分为存在CSRF漏洞的请求表单、安全的请求表单和嫌疑表单,对嫌疑表单进一步基于构造伪造请求并对比返回结果的方式分析是否存在CSRF漏洞,双重保险的方式提高了检测精度。 | ||
| 搜索关键词: | 检测 源代码 登录 方法和装置 种检测 返回结果 方式分析 双重保险 危害性 标签 分析 伪造 节约 安全 | ||
【主权项】:
一种检测跨站请求伪造(CSRF)漏洞的方法,其特征在于,该方法包括:S1、将不带cookie请求待检测URL获得的页面源代码和带cookie请求所述待检测URL获得的页面的源代码进行对比,获取带cookie请求所述待检测URL获得的页面的源代码中与不带cookie请求所述待检测URL获得的页面源代码不同部分的源代码;S2、从获取的所述不同部分的源代码中提取请求表单;S3、对提取的请求表单分别检测是否存在CSRF漏洞。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于百度在线网络技术(北京)有限公司,未经百度在线网络技术(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201210328780.3/,转载请声明来源钻瓜专利网。
- 上一篇:石墨烯制造用铜箔以及石墨烯的制造方法
- 下一篇:低电源电压的开关架构
