CN104660556B - 跨站伪造请求漏洞检测的方法及装置 - Google Patents
跨站伪造请求漏洞检测的方法及装置 Download PDFInfo
- Publication number
- CN104660556B CN104660556B CN201310586010.3A CN201310586010A CN104660556B CN 104660556 B CN104660556 B CN 104660556B CN 201310586010 A CN201310586010 A CN 201310586010A CN 104660556 B CN104660556 B CN 104660556B
- Authority
- CN
- China
- Prior art keywords
- web portal
- feature
- content
- detected
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了跨站伪造请求漏洞检测的方法及装置,其中,该方法包括:获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。本发明方案能够提高跨站伪造请求漏洞检测的准确率。
Description
技术领域
本发明涉及网页安全检测技术,尤其涉及跨站伪造请求漏洞检测的方法及装置。
背景技术
跨站伪造请求(CSRF,Cross Site Request Forgery)攻击,主要指攻击者可以在网页中植入恶意代码或链接,当受害人的浏览器访问恶意代码或点击恶意链接后,攻击者就利用受害人浏览器所带的合法身份验证(通常存储在浏览器cookie中)向目标站点发起恶意操作请求,当目标站点的网页未验证请求来源的合法性时,该恶意操作请求将成功执行,此时就认为目标站点网页存在CSRF漏洞。
CSRF攻击的一个典型例子是,用户登录一家银行网站的网页,合法身份验证存储在浏览器本地的cookie中,后续浏览器向银行网站发送的信息中将携带cookie中保存的合法身份验证。在用户访问银行网站的过程中,如果用户使用浏览器点击一个包含恶意代码的链接,恶意代码使用户在不知情的情况下获取合法身份验证,带着合法身份验证向银行网站发送恶意请求,如请求将资金从受害用户的银行账户转到攻击者的银行帐户;具体地,在关于转账的FORM表单网页中,转入账户一栏为网页入口,用户可输入参数,攻击过程中,攻击者在转入账户一栏输入攻击者的银行账户,然后携带合法身份验证提交转账请求至银行网站,实现将受害用户的银行账户转出。这里的银行网页因其没有验证请求来源的合法性而存在CSRF漏洞,针对该实例,银行网页的转入账户一栏为存在CSRF漏洞的网页入口。
实际应用中,因CSRF漏洞,给用户造成了无法估量的损失。
由于CSRF漏洞攻击方式十分隐蔽且无明显特征,目前业界还没有有效的自动化检测工具。国际知名网络漏洞扫描器(WVS,Web Vulnerability Scanner)通过简单判断FORM表单中是否验证token参数来检测CSRF漏洞,误报率达到95%以上,基本上没有实际检测能力。下面对通过验证token参数检测CSRF漏洞的方案进行实例说明。
token是一种验证机制,浏览器与目标网站之间将预先协商进行检测的token参数,浏览器发送网页请求时将token参数携带在URL地址内;本实例中,进行检测时,检测装置在url地址中查找有无与token参数类似的关键字,如果找到,则认为无CSRF漏洞,例如发起的网页请求是http://t.tt.com/publish.php?token=123456&content=aaaaa&user=zhouhua,其中包含“token”,则认为无CSRF漏洞;否则有漏洞;这种方式的误报极大。目前,很多网站都实现了token验证机制,在实际应用中发现,各网站都自行设定token值,某些token参数中并不包含“token”字样,随便取任何参数名。例如,在用户登录时,将“abc=123456”设置为token参数,假设发起的网页请求是http://t.tt.com/publish.php?abc=123456&content=aaaaa&user=zhouhua;对于这种情况,其中并不包含“token”,检测装置便认为有CSRF漏洞,这属于错报CSRF漏洞的情况。
即使url地址中包含token参数类似的关键字,由于目前目标网站不对token的合法性进行验证,例如浏览器和目标网站预先协商的token参数为“token=123456”,而攻击者在url中添加的token参数为“token=111111”,而检测装置检测到url中包含“token”,就确定无CSRF漏洞,这就导致漏报,漏掉了一些存在CSRF漏洞的情况。
综上,现有CSRF漏洞检测方案存在大量错报、漏报的情况,导致误报率高、准确率低。
发明内容
本发明提供了一种跨站伪造请求漏洞检测的方法,该方法能够提高跨站伪造请求漏洞检测的准确率。
本发明提供了一种跨站伪造请求漏洞检测的装置,该装置能够提高跨站伪造请求漏洞检测的准确率。
一种跨站伪造请求漏洞检测的方法,该方法包括:
获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;
将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
一种跨站伪造请求漏洞检测的装置,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
从上述方案可以看出,本发明中,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。采用本发明的检测方案,模拟攻击者在网页入口输入特征,提交网页请求;然后爬取目标网站的网页,如果查找到网页上包含有所述特征,则表明存在CSRF漏洞,并由所述特征包含的网页入口描述信息确定出存在CSRF漏洞的网页入口;这样,实现了自动、准确、快速地检测出存在CSRF漏洞的网页入口。
附图说明
图1为本发明CSRF漏洞检测的方法示意性流程图;
图2为本发明CSRF漏洞检测中进行特征设置的流程图实例;
图3为待检测的网页入口原始信息实例;
图4为本发明CSRF漏洞检测中进行特征爬取的流程图实例;
图5为黑客对网页入口进行修改的实例;
图6为本发明CSRF漏洞检测的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
本发明中,先模拟攻击者在网页入口输入特征,提交网页请求,然后爬取目标网站的网页,如果查找到网页上包含输入的特征,则表明存在CSRF漏洞,进而由特征确定出存在跨站伪造请求漏洞的网页入口。参见图1,为本发明CSRF漏洞检测的方法示意性流程图,其包括以下步骤:
步骤101,获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息。
目标网站提供了众多网页,某些网页上包含网页入口;将需要进行检测的对象作为待检测的网页入口,例如可以将目标网站下所有的网页入口都确定为待检测的网页入口。目标网站服务器存储了网页列表,网页列表中包含关于目标网站所有网页的网页信息,该网页信息中包含网页入口信息;获取待检测的网页入口时,可以从目标网站服务器网页列表中获取待检测的网页入口。还可以,采用爬虫对目标网站提供的网页进行爬取,以获取网页上的网页入口。
进一步地,确定待检测的网页入口后,可以对网页入口进行初步筛选,对筛选后满足要求的网页入口才进行检测,执行步骤102,以提升检测效率。下面对初步筛选的方式进行举例说明:
方式一:判断待检测的网页入口是否满足入口检测条件,如果是,则确定为通过初步筛选,执行步骤102。检测条件可根据需要设置,例如包括:网页入口可输入参数,网页入口输入的参数通过POST方式提交至目标网站,或通过表单(FORM)方式提交至目标网站。
POST是一种HTTP请求方法,表示向指定的资源提交要被处理的数据,是在浏览器和服务器之间进行请求-响应时,最常被用到的一种方法。POST方式比较安全,在提交地址栏看不见用户提交的信息;FORM方式,网页入口以表单形式显示在网页。
方式二:通过比较带登录态(浏览器向目标网站发送信息时携带cookie中保存的合法身份验证)及不带登录态访问网页入口的返回内容是否一致来判断网页入口是否需要登录,如果一致,则不存在被黑客截获合法身份认证的情形,可直接认为该网页入口不存在CSRF漏洞;如果不一致,则该网页入口可能存在CSRF漏洞,需要进行检测。具体包括:
向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;
向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;
判断内容A和内容B是否相同,如果不是,则执行步骤102;如果是,则确认相应的网页入口不存在CSRF漏洞,无需进行检测。
进一步地,确定出内容A和内容B不相同之后,该方法还包括:
查找网页请求的请求头中的来源地址字段;
将查找到的来源地址字段设置为非法来源地址。
来源地址字段是HTTP请求头的一个字段它记录了该HTTP请求的来源地址,所述来源地址字段例如为Referer字段。目标网站接收网页请求后,判断referer是否合法,如果合法,则接受网页请求;否则拒绝网页请求。本发明中,由于采用模拟攻击者的方式对网页入口的特征进行输入,为非法操作,这里设置为非法referer;目标网站接收后,如果进行了合法性检验,将拒绝网页请求,以进一步提高安全性。在实际应用中,大多情况不进行referer合法性检验,直接接受网页请求。
进一步地,确定出内容A和内容B不相同之后,该方法还包括:
查找网页请求中的token值;
将查找到的token值修改为错误的token值。
token是一种安全验证机制,网页请求中可能包含token值,为用户登录时目标网站配置给该用户的,后续浏览器向目标网站发送信息时都携带配置的token值;理想情况下,目标网站接收网页请求后,判断token值是否合法,即判断携带的token值与配置给用户的token值是否相同,如果相同,则合法,接受网页请求;否则拒绝网页请求。本发明中,由于采用模拟攻击者的方式对网页入口的特征进行输入,为非法操作,这里设置为非法token值;目标网站接收后,如果进行了合法性检验,将拒绝网页请求,以进一步提高安全性。在实际应用中,大多情况不进行token值合法性检验,只粗略判断网页请求中是否包含token参数类似的关键字,如果是,则直接接受网页请求。
步骤102,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
目标网站接收网页请求后进行相应的网页处理。
步骤103,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
所述网页入口描述信息可根据需要设置,例如包含域名、网页名和参数名,其中的域名和网页名用于指示网页入口所在的网页,参数名用于标识网页入口在该网页中的位置,这样,通过域名、网页名和参数名便可确定出存在CSRF漏洞的网页入口。
下面通过图2和图5的流程,对本发明CSRF漏洞检测的方法进行实例说明。参见图2,为本发明进行特征设置的流程图实例,其包括以下步骤:
步骤201,获取待检测的网页入口。
步骤202,判断待检测的网页入口是否满足入口检测条件,如果是,则执行步骤203;否则结束流程。
步骤203,向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A。
也就是,用户先进行登录,将登录认证信息存储到浏览器cookie中;然后带着登录认证信息,向目标网站发送关于某网页入口的访问请求;目标网站将对访问请求进行处理,并返回关于该网页入口的内容,这里表示为内容A。
步骤204,向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B。
这里,向目标网站发送网页入口访问请求时,不携带cookie中存储的登录认证信息,并将目标网站返回的关于该网页入口的内容,表示为内容B。
步骤205,判断内容A和内容B是否相同,如果不是,则执行步骤206;否则结束流程。
通过比较带登录态及不带登录态访问网页入口的返回内容是否一致来判断网页入口是否需要登录,如果一致,则可直接认为该网页入口不存在CSRF漏洞;如果不一致,表明步骤203携带登录态的网页入口访问请求时,可能被攻击者截获登录态并进行了攻击,该网页入口可能存在CSRF漏洞,需要进行检测。
步骤206,查找HTTP请求的请求头中的referer,将查找到的referer设置为非法referer。
步骤207,查找HTTP请求中的token值,将查找到的token值修改为错误的token值。
本实例中,假设HTTP请求中包含token值。
步骤208,由当前网页的所有网页入口组成入口集合,从入口集合中选取一个网页入口。
所述当前网页为当前正在进行检测的网页。
步骤209,针对选取的网页入口,生成唯一的特征,该特征包含域名、网页名和参数名。
步骤210,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
步骤211,判断入口集合中是否还有未被检测的网页入口,如果是,则选取下一个网页入口,执行步骤209;否则,结束流程。
参见图3的网页,待检测的网页入口为图中的“真实姓名”,原始赋值为“test”;本实例中,将对应该网页入口的特征设置为“my.tt.com_my_userinfo_update.php_name”,其中“my.tt.com”为域名,“my_userinfo_update.php”为网页名,“name”为参数名。
参见图4,为本发明CSRF漏洞检测的方法中进行特征爬取的流程图实例,其包括以下步骤:
步骤401,获取登录目标网站的登录态。
登录态通常指用户登录时存储在浏览器cookie中的登录认证信息,也即是前述的合法身份验证。
步骤402,带登录态访问目标网站的网页并接收响应。
步骤403,爬取目标网站的网页,查找网页上是否包含图2流程中设置的特征,如果是,则执行步骤404;否则执行步骤405。
本步骤中爬取的目标网站网页,可以是步骤402访问目标网站后由目标网站返回的网页内容。
假设图2流程中访问的是即时通讯业务tt,用户通过tt号进行登录访问。图2中采用哪个tt号登录,以进行特征设置;这里就相应用哪个tt号登录进行网页爬取。以图3所示的情况为例,相应地,这里需要对tt号为12345678的所有网页进行爬取,以确定出存在CSRF漏洞的网页入口。
步骤404,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
该实例中,网页入口描述信息包含域名、网页名和参数名,由域名、网页名和参数名便可确定出网页入口,确定的该网页入口存在跨站伪造请求漏洞。
步骤405,判断是继续访问下一网页,如果是,则执行步骤402;否则结束流程。
采用本发明的检测方案,模拟攻击者在网页入口输入特征,提交网页请求;然后爬取目标网站的网页,如果查找到网页上包含有所述特征,则表明存在CSRF漏洞,并由所述特征包含的网页入口描述信息确定出存在CSRF漏洞的网页入口;这样,实现了自动、准确、快速地检测出存在CSRF漏洞的网页入口。
举一个具体的应用场景。某tt用户原来的个人资料真实姓名为“test”,如图3所示;如果黑客构造一个恶意页面,该恶意页面例如采用下述的网页代码实现(网页代码附在本段后面),当tt用户的浏览器带着my.tt.com的登录cookie访问黑客构造的恶意页面时,该tt用户的真实姓名就在自己不知情的情况下被黑客改成了abc(如图5所示),如果黑客随便改造一下就可以造成危害巨大的蠕虫;FORM表单my_userinfo_update.php的参数name就是存在CSRF漏洞的网页入口。将“真实姓名”更新为“abc”的相应网页代码为:
<html>//html起始标签
<body>//body起始标签
<form id="sulishi"name="sulishi"action="http://my.tt.com:80/my_userinfo_update.php"method="post">//form表单定义,post方式提交内容到目标通用网关界面:http://my.tt.com:80/my_userinfo_update.php
<input type="hidden"name="name"value="abc"/>//姓名输入框,默认值为abc
<input type="hidden"name="sex"value="1"/>//性别输入框,默认值为"男"
<input type="hidden"name="type_card"value="1"/>//证件类型
<input type="submit"value="submit"/>//提交按钮
</form>
<script>
Document.sulishi.submit();//js代码,用户访问本恶意页面后,就会自动提交form表单内容到目标通用网关界面:http://my.tt.com:80/my_userinfo_update.php,从而将用户姓名更新为"abc"
</script>
</body>//body结束标签
</html>//html结束标签
本发明检测漏洞时,向该FORM表单提交特征my.tt.com_my_userinfo_update.php_name,也就是,将图3中的“test”修改为“my.tt.com_my_userinfo_update.php_name”,则该特征会在my_userinfo.html页面中找到,由该特征便可确定存在漏洞的网页入口,从而有效检测到该CSRF漏洞。
参见图6,为本发明CSRF漏洞检测的装置结构示意图,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
较佳地,所述特征生成模块包括第一漏洞筛选子模块和特征生成子模块;
所述第一漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;判断内容A和内容B是否相同,如果不是,则向所述特征生成子模块发送启动指令;
所述特征生成子模块,接收来自所述第一漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
较佳地,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求的请求头中的来源地址字段,将查找到的来源地址字段设置为非法来源地址。
较佳地,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求中的token值,将查找到的token值修改为错误的token值。
较佳地,所述特征生成模块包括第二漏洞筛选子模块和特征生成子模块;
所述第二漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,判断待检测的网页入口是否满足入口检测条件,如果是,则向所述特征生成子模块发送启动指令;
所述特征生成子模块,接收来自所述第二漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
进一步地,所述第一漏洞帅选子模块和所述第二漏洞帅选子模块可以都设置在装置中。
本发明CSRF漏洞检测的方案,其主要思路分为两大步骤,第一步主要是向目标网站的各个可疑网页入口提交可辨识的唯一特征,第二步主要是利用爬虫爬取站点页面并寻找特征,一旦找到特征则认为发现某网页入口存在CSRF漏洞。举例说明,待检测的网页入口为http://www.test.com/publish.php?content=test&user=aaa,首先会生成形如域名_网页名_参数名的可辨识的唯一特征,如本例中针对参数content的特征则是www.test.com_publish.php_content,生成特征后通过http请求访问http://www.test.com/publish.php?content=www.test.com_publish.php_content&user=aaa,将此访问请求提交至目标网站。第二步中,爬取站点页面时,只要在任意页面如http://www.test.com/view.html中发现所提交的特征,则可确认网站www.test.com下网页publish.php的参数content存在CSRF漏洞。
本发明模拟CSRF的攻击方式,不会存在误报。需要强调的是,通常向网站A下网页X提交的特征会在网页Y下显示,更有甚者会跨域在网站B的页面显示,这正是CSRF漏洞难以检测的本质原因,本发明的检测方案很好的解决了这个问题。如上述实例中若在爬取http://children.test.com/view.html时发现之前生成的特征,则亦能确认网站www.test.com下网页publish.php的参数content存在CSRF漏洞。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种跨站伪造请求漏洞检测的方法,其特征在于,该方法包括:
获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;
将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口;
其中,所述生成对应网页入口的唯一特征之前,还包括:
向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;
向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;
判断内容A和内容B是否相同,如果不是,则执行所述生成对应网页入口的唯一特征的步骤。
2.如权利要求1所述的方法,其特征在于,确定出内容A和内容B不相同之后,该方法还包括:
查找网页请求的请求头中的来源地址字段;
将查找到的来源地址字段设置为非法来源地址。
3.如权利要求1所述的方法,其特征在于,确定出内容A和内容B不相同之后,该方法还包括:
查找网页请求中的token值;
将查找到的token值修改为错误的token值。
4.如权利要求1所述的方法,其特征在于,所述生成对应网页入口的唯一特征之前,该方法还包括:
判断待检测的网页入口是否满足入口检测条件,如果是,则执行所述生成对应网页入口的唯一特征的步骤。
5.如权利要求4所述的方法,其特征在于,所述网页入口描述信息包含域名、网页名和参数名;所述入口检测条件包括:网页入口可输入参数,网页入口输入的参数通过POST方式提交至目标网站,或通过FORM表单方式提交至目标网站。
6.一种跨站伪造请求漏洞检测的装置,其特征在于,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口;
其中,所述特征生成模块包括第一漏洞筛选子模块和特征生成子模块;
所述第一漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,向目标网站发送带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容A;向目标网站发送不带登录态的网页入口访问请求,接收目标网站返回的网页入口内容,表示为内容B;判断内容A和内容B是否相同,如果不是,则向所述特征生成子模块发送启动指令;
所述特征生成子模块,接收来自所述第一漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
7.如权利要求6所述的装置,其特征在于,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求的请求头中的来源地址字段,将查找到的来源地址字段设置为非法来源地址。
8.如权利要求6所述的装置,其特征在于,所述第一漏洞筛选子模块,在确定出内容A和内容B不相同之后,还查找网页请求中的token值,将查找到的token值修改为错误的token值。
9.如权利要求6所述的装置,其特征在于,所述特征生成模块包括第二漏洞筛选子模块和特征生成子模块;
所述第二漏洞筛选子模块,接收来自所述待检测入口确定模块的待检测的网页入口,判断待检测的网页入口是否满足入口检测条件,如果是,则向所述特征生成子模块发送启动指令;
所述特征生成子模块,接收来自所述第二漏洞筛选子模块的启动指令,生成对应待检测的网页入口的唯一特征,将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310586010.3A CN104660556B (zh) | 2013-11-20 | 2013-11-20 | 跨站伪造请求漏洞检测的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310586010.3A CN104660556B (zh) | 2013-11-20 | 2013-11-20 | 跨站伪造请求漏洞检测的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104660556A CN104660556A (zh) | 2015-05-27 |
| CN104660556B true CN104660556B (zh) | 2018-06-01 |
Family
ID=53251263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310586010.3A Active CN104660556B (zh) | 2013-11-20 | 2013-11-20 | 跨站伪造请求漏洞检测的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104660556B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935603A (zh) * | 2015-06-24 | 2015-09-23 | 郑州悉知信息技术有限公司 | 一种识别请求的方法及网站服务器 |
| US9906531B2 (en) | 2015-11-23 | 2018-02-27 | International Business Machines Corporation | Cross-site request forgery (CSRF) prevention |
| CN109922065B (zh) * | 2019-03-10 | 2021-03-23 | 北京亚鸿世纪科技发展有限公司 | 恶意网站快速识别方法 |
| CN110113366B (zh) * | 2019-06-24 | 2022-12-27 | 深圳前海微众银行股份有限公司 | Csrf漏洞的检测方法及装置,计算设备和存储介质 |
| CN113783824B (zh) * | 2020-06-10 | 2022-08-30 | 中国电信股份有限公司 | 防止跨站请求伪造的方法、装置、客户端、系统及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101883024A (zh) * | 2010-06-23 | 2010-11-10 | 南京大学 | 一种跨站点伪造请求的动态检测方法 |
| CN101964025A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | Xss检测方法和设备 |
| CN102480490A (zh) * | 2010-11-30 | 2012-05-30 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
| CN102571846A (zh) * | 2010-12-23 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种转发http请求的方法及装置 |
-
2013
- 2013-11-20 CN CN201310586010.3A patent/CN104660556B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | Xss检测方法和设备 |
| CN101883024A (zh) * | 2010-06-23 | 2010-11-10 | 南京大学 | 一种跨站点伪造请求的动态检测方法 |
| CN102480490A (zh) * | 2010-11-30 | 2012-05-30 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
| CN102571846A (zh) * | 2010-12-23 | 2012-07-11 | 北京启明星辰信息技术股份有限公司 | 一种转发http请求的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104660556A (zh) | 2015-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310268B2 (en) | Systems and methods using computer vision and machine learning for detection of malicious actions | |
| Nagpure et al. | Vulnerability assessment and penetration testing of web application | |
| AU2006200688B2 (en) | Internet security | |
| US20170034211A1 (en) | Systems and methods for identifying phishing websites | |
| CN102571846B (zh) | 一种转发http请求的方法及装置 | |
| US20060070126A1 (en) | A system and methods for blocking submission of online forms. | |
| CN104660556B (zh) | 跨站伪造请求漏洞检测的方法及装置 | |
| Shrivastava et al. | XSS vulnerability assessment and prevention in web application | |
| Nirmal et al. | Web application vulnerabilities-the hacker's treasure | |
| CN102902917A (zh) | 用于预防钓鱼式攻击的方法和系统 | |
| CN104135467B (zh) | 识别恶意网站的方法及装置 | |
| EP3888335A1 (en) | Phishing protection methods and systems | |
| Nagpal et al. | SECSIX: security engine for CSRF, SQL injection and XSS attacks | |
| Ndibwile et al. | UnPhishMe: Phishing attack detection by deceptive login simulation through an Android mobile app | |
| Hossen et al. | An Object Detection based Solver for {Google’s} Image {reCAPTCHA} v2 | |
| US20140330759A1 (en) | System and method for developing a risk profile for an internet service | |
| Wedman et al. | An analytical study of web application session management mechanisms and HTTP session hijacking attacks | |
| Ahmed et al. | PhishCatcher: Client-Side Defense Against Web Spoofing Attacks Using Machine Learning | |
| Thaker et al. | Detecting phishing websites using data mining | |
| Sampat et al. | Detection of phishing website using machine learning | |
| Arshad et al. | Practical attacks on Login CSRF in OAuth | |
| Avramescu et al. | Guidelines for discovering and improving application security | |
| Knickerbocker et al. | Humboldt: A distributed phishing disruption system | |
| CN107294920A (zh) | 一种反向信任登录方法和装置 | |
| Rakesh et al. | Detection of URL based attacks using reduced feature set and modified C4. 5 algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |