CN112668001A

CN112668001A - 路由器抗csrf攻击的测试方法及系统

Info

Publication number: CN112668001A
Application number: CN202011534570.0A
Authority: CN
Inventors: 陈维
Original assignee: Shenzhen Tenda Technology Co Ltd
Current assignee: Shenzhen Tenda Technology Co Ltd
Priority date: 2020-12-22
Filing date: 2020-12-22
Publication date: 2021-04-16

Abstract

本发明提供了一种路由器抗CSRF攻击的测试方法及系统，该测试方法包括：开启步骤：开启Fiddler抓包工具，登录DUT页面，然后执行抓包查看步骤、主界面步骤、修改步骤；抓包查看步骤：PC搭建WEB服务器，在已登录状态访问另外一个网页，Fiddler抓包工具抓包查看是否含有referer字段，如果有referer字段，跳到登录页面后需要重新登陆，如果没有referer字段，页面跳转至DUT web主界面；主界面步骤：将已登陆的主界面网址复制至浏览器并进行访问；修改步骤：修改SSID。本发明的有益效果是：优化了通信设备测试CSRF攻击的测试步骤，提高了测试方法的易用性及普及性。

Description

路由器抗CSRF攻击的测试方法及系统

技术领域

本发明涉及通信技术领域，尤其涉及路由器抗CSRF攻击的测试方法、装置、系统及存储介质。

背景技术

现市场上无明确的对通信设备类产品的抗CSRF攻击测试方法，对通信类产品的测试步骤不详，针对性差。

发明内容

本发明提供了一种路由器抗CSRF攻击的测试方法，包括：

开启步骤：开启Fiddler抓包工具，登录DUT页面，然后执行抓包查看步骤、主界面步骤、修改步骤；

抓包查看步骤：PC搭建WEB服务器，在已登录状态访问另外一个网页，Fiddler抓包工具抓包查看是否含有referer字段，如果有referer字段，跳到登录页面后需要重新登陆，如果没有referer字段，页面跳转至DUT web主界面；

主界面步骤：将已登陆的主界面网址复制至浏览器并进行访问；

修改步骤：修改SSID。

作为本发明的进一步改进，所述抓包查看步骤包括：

步骤1：PC上搭建WEB服务器，写一个HTTP页面，添加配置路由器的链接；

步骤2：打开Fiddler抓包过滤http报文，PC使用浏览器登录DUT管理页面，同时打开WEB服务器的http页面，点击到路由器的链接；

步骤3：Fiddler抓包工具查看是否含有referer字段，如果有referer字段，执行步骤4，否则返回执行步骤1；

步骤4：判断是否要求重新登录，若是，那么验证成功，否则DUT存在CSRF攻击风险。

作为本发明的进一步改进，在所述主界面步骤中，包括：

步骤S1：输入用户名密码登入main.html主界面，复制此网址，然后退出主界面。

步骤S2：将所复制的main.html网址粘贴至浏览器并访问。

步骤S3：判断是否能够进入主界面，如是，那么验证成功，否则DUT存在CSRF攻击风险。

作为本发明的进一步改进，在所述修改步骤中，包括：

第一步骤：无线设置页面修改SSID值为A。

第二步骤：Fiddler抓包工具断点，修改DUT发送的POST报文SSID值为B，并重新发送此报文。

第三步骤：查看页面SSID值是否为A，如果是则验证成功，否则DUT存在CSRF攻击风险。

本发明还公开了一种路由器抗CSRF攻击的测试装置，包括：

开启单元：用于开启Fiddler抓包工具，登录DUT页面，然后进入抓包查看单元、主界面单元、修改单元。

抓包查看单元：PC搭建WEB服务器，在已登录状态访问另外一个网页，Fiddler抓包工具抓包查看是否含有referer字段，如果有referer字段，跳到登录页面后需要重新登陆，如果没有referer字段，页面跳转至DUT web主界面；

主界面单元：用于将已登陆的主界面网址复制至浏览器并进行访问。

修改单元：用于修改SSID

作为本发明的进一步改进，所述抓包查看单元包括：

添加模块：PC上搭建WEB服务器，写一个HTTP页面，添加配置路由器的链接；

过滤模块：用于打开Fiddler抓包过滤http报文，PC使用浏览器登录DUT管理页面，同时打开WEB服务器的http页面，点击到路由器的链接；

抓包模块：通过Fiddler抓包工具查看是否含有referer字段，如果有referer字段，执行步骤4，否则返回执行步骤1。

登录判断模块：用于判断是否要求重新登录，若是，那么验证成功，否则DUT存在CSRF攻击风险。

作为本发明的进一步改进，在所述主界面单元中，包括：

复制模块：用于输入用户名密码登入main.html主界面，复制此网址，然后退出主界面。

粘贴模块：用于将所复制的main.html网址粘贴至浏览器并访问。

判断模块：用于判断是否能够进入主界面，如是，那么验证成功，否则DUT存在CSRF攻击风险。

作为本发明的进一步改进，在所述修改单元中，包括：

第一修改模块：用于无线设置页面修改SSID值为A；

第二修改模块：用于Fiddler抓包工具断点，修改DUT发送的POST报文SSID值为B，并重新发送此报文；

查看模块：用于查看页面SSID值是否为A，如果是则验证成功，否则DUT存在CSRF攻击风险。

本发明还公开了一种路由器抗CSRF攻击的测试系统，包括：存储器、处理器以及存储在所述存储器上的计算机程序，所述计算机程序配置为由所述处理器调用时实现本发明所述的测试方法的步骤。

本发明还公开了一种计算机可读存储介质，其特征在于：所述计算机可读存储介质存储有计算机程序，所述计算机程序配置为由处理器调用时实现本发明所述的测试方法的步骤。

本发明的有益效果是：本发明的一种路由器抗CSRF攻击的测试方法优化了通信设备测试CSRF攻击的测试步骤，提高了测试方法的易用性及普及性，也提高了通信设备类产品测试人员的测试效率。

附图说明

图1是本发明的CSRF攻击原理图；

图2是本发明的测试拓扑图；

图3是本发明的测试流程图。

具体实施方式

CSRF原理介绍：

CSRF攻击的全称是跨站请求伪造(cross site request forgery)，是一种对网站的恶意利用，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作，有很大的危害性。

如图1所示，具体攻击流程如下：

1.用户打开浏览器，访问受信任网站WebServerA，输入用户名和密码请求登录网站A；

2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

3.用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站WebServerB；

4.网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A。

本发明公开了一种路由器抗CSRF攻击的测试方法，该测试方法需进行如下准备：

1.所需设备：

系统	windows
		抓包工具	Fiddler
路由器(AP)	待测AP一台

2.在PC上安装Fiddler抓包工具，将待测路由器与PC相连，测试拓扑图如图2所示。

本发明公开了一种路由器抗CSRF攻击的测试方法，包括：

开启步骤：开启Fiddler抓包工具，登录DUT页面，然后执行抓包查看步骤、主界面步骤、修改步骤。

抓包查看步骤：PC搭建WEB服务器，在已登录状态访问另外一个网页，Fiddler抓包工具抓包查看是否含有referer字段，如果有referer字段，跳到登录页面后需要重新登陆，如果没有referer字段，页面跳转至DUT web主界面。

主界面步骤：将已登陆的主界面网址复制至浏览器并进行访问。

修改步骤：修改SSID。

所述抓包查看步骤包括：

步骤1：

使用txt文档写入如下代码，如PC上搭建WEB服务器，写一个HTTP页面，添加配置路由器的链接如http://www.tendawifi.com/goform/telnet。

步骤2：打开Fiddler抓包过滤http报文，PC使用浏览器登录DUT管理页面，同时打开WEB服务器的http页面，点击到路由器的链接。

步骤3：在/goform/telnet报文下，Fiddler抓包工具查看是否含有referer字段，如果有referer字段，执行步骤4，否则返回执行步骤1。

在所述主界面步骤中，包括：

步骤S1：输入用户名密码登入main.html主界面，复制此网址，然后退出主界面。在Fiddler抓包工具中选中main.html字段报文，右键Repaly--->Reissue and edit，然后选中这条报文，右键Repaly--->Reissue unconditionally。

步骤S2：将所复制的main.html网址粘贴至浏览器并访问。

(备注：使用工具重新发送已使用过的报文，达到伪装用户，修改设备配置的目的。)

在所述修改步骤中，包括：

第一步骤：无线设置页面修改SSID值为A；

第二步骤：Fiddler抓包工具断点，修改DUT发送的POST报文SSID值为B，并重新发送此报文；具体操作如下：

1.找到类似于/goform/wifiBasicSet的POST报文，右侧上方选中Textview标签。

2.键Repaly--->Reissue and edit，修改textview中的SSID和密码。

3.然后选中这条报文，右键Repaly--->Reissue unconditionally。

(备注：所有的表单提交包括CGI接口都需要校验CSRF token，token异常应清除会话，对客户端提交的表单请求进行合法性校验。)

本发明的一种路由器抗CSRF攻击的测试方法用于验证通信设备类产品抗CSRF攻击能力。本发明的一种路由器抗CSRF攻击的测试方法可广泛应用于AP、DSL、交换机等通信类产品的抗CSRF攻击能力验证，用以检测抗CSRF攻击，以提高网络通信产品的WEB页面安全性。

本发明还公开了一种路由器抗CSRF攻击的测试装置，包括：

修改单元：用于修改SSID。

所述抓包查看单元包括：

添加模块：

使用txt文档写入如下代码，如PC上搭建WEB服务器，写一个HTTP页面，添加配置路由器的链接如http://www.tendawifi.com/goform/telnet；

抓包模块：通过在/goform/telnet报文下，Fiddler抓包工具查看是否含有referer字段，如果有referer字段，执行步骤4，否则返回执行步骤1；

在所述主界面单元中，包括：

复制模块：用于输入用户名密码登入main.html主界面，复制此网址，然后退出主界面；

粘贴模块：用于将所复制的main.html网址粘贴至浏览器并访问；

在所述修改单元中，包括：

第一修改模块：用于无线设置页面修改SSID值为A；

本发明还公开了一种路由器抗CSRF攻击的测试系统，包括：存储器、处理器以及存储在所述存储器上的计算机程序，所述计算机程序配置为由所述处理器调用时本发明所述的测试方法的步骤。

本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序配置为由处理器调用时实现本发明所述的测试方法的步骤。

本发明的有益效果：本发明的一种路由器抗CSRF攻击的测试方法优化了通信设备测试CSRF攻击的测试步骤，提高了测试方法的易用性及普及性，也提高了通信设备类产品测试人员的测试效率。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims

1.一种路由器抗CSRF攻击的测试方法，其特征在于，包括：

修改步骤：修改SSID。

2.根据权利要求1所述的测试方法，其特征在于，所述抓包查看步骤包括：

3.根据权利要求1所述的测试方法，其特征在于，在所述主界面步骤中，包括：

步骤S1：输入用户名密码登入main.html主界面，复制此网址，然后退出主界面；

步骤S2：将所复制的main.html网址粘贴至浏览器并访问；

4.根据权利要求1所述的测试方法，其特征在于，在所述修改步骤中，包括：

第一步骤：无线设置页面修改SSID值为A；

第二步骤：Fiddler抓包工具断点，修改DUT发送的POST报文SSID值为B，并重新发送此报文；

5.一种路由器抗CSRF攻击的测试装置，其特征在于，包括：

开启单元：用于开启Fiddler抓包工具，登录DUT页面，然后进入抓包查看单元、主界面单元、修改单元；

主界面单元：用于将已登陆的主界面网址复制至浏览器并进行访问；

修改单元：用于修改SSID。

6.根据权利要求5所述的测试装置，其特征在于，所述抓包查看单元包括：

抓包模块：通过Fiddler抓包工具查看是否含有referer字段，如果有referer字段，执行步骤4，否则返回执行步骤1；

7.根据权利要求5所述的测试装置，其特征在于，在所述主界面单元中，包括：

8.根据权利要求5所述的测试装置，其特征在于，在所述修改单元中，包括：

第一修改模块：用于无线设置页面修改SSID值为A；

9.一种路由器抗CSRF攻击的测试系统，其特征在于，包括：存储器、处理器以及存储在所述存储器上的计算机程序，所述计算机程序配置为由所述处理器调用时实现权利要求1－4中任一项所述的测试方法的步骤。

10.一种计算机可读存储介质，其特征在于：所述计算机可读存储介质存储有计算机程序，所述计算机程序配置为由处理器调用时实现权利要求1－4中任一项所述的测试方法的步骤。