跨站伪造请求漏洞检测的方法及装置的制造方法
【技术领域】
[0001]本发明涉及网页安全检测技术,尤其涉及跨站伪造请求漏洞检测的方法及装置。
【背景技术】
[0002]跨站伪造请求(CSRF, Cross Site Request Forgery)攻击,主要指攻击者可以在网页中植入恶意代码或链接,当受害人的浏览器访问恶意代码或点击恶意链接后,攻击者就利用受害人浏览器所带的合法身份验证(通常存储在浏览器cookie中)向目标站点发起恶意操作请求,当目标站点的网页未验证请求来源的合法性时,该恶意操作请求将成功执行,此时就认为目标站点网页存在CSRF漏洞。
[0003]CSRF攻击的一个典型例子是,用户登录一家银行网站的网页,合法身份验证存储在浏览器本地的cookie中,后续浏览器向银行网站发送的信息中将携带cookie中保存的合法身份验证。在用户访问银行网站的过程中,如果用户使用浏览器点击一个包含恶意代码的链接,恶意代码使用户在不知情的情况下获取合法身份验证,带着合法身份验证向银行网站发送恶意请求,如请求将资金从受害用户的银行账户转到攻击者的银行帐户;具体地,在关于转账的FORM表单网页中,转入账户一栏为网页入口,用户可输入参数,攻击过程中,攻击者在转入账户一栏输入攻击者的银行账户,然后携带合法身份验证提交转账请求至银行网站,实现将受害用户的银行账户转出。这里的银行网页因其没有验证请求来源的合法性而存在CSRF漏洞,针对该实例,银行网页的转入账户一栏为存在CSRF漏洞的网页入□。
[0004]实际应用中,因CSRF漏洞,给用户造成了无法估量的损失。
[0005]由于CSRF漏洞攻击方式十分隐蔽且无明显特征,目前业界还没有有效的自动化检测工具。国际知名网络漏洞扫描器(WVS, Web Vulnerability Scanner)通过简单判断FORM表单中是否验证token参数来检测CSRF漏洞,误报率达到95%以上,基本上没有实际检测能力。下面对通过验证token参数检测CSRF漏洞的方案进行实例说明。
[0006]token是一种验证机制,浏览器与目标网站之间将预先协商进行检测的token参数,浏览器发送网页请求时将token参数携带在URL地址内;本实例中,进行检测时,检测装置在url地址中查找有无与token参数类似的关键字,如果找到,则认为无CSRF漏洞,例如发起的网页请求是 http://t.tt.com/publish.php?token=123456&content=aaaaa&user=zhouhua,其中包含“token”,则认为无CSRF漏洞;否则有漏洞;这种方式的误报极大。目前,很多网站都实现了 token验证机制,在实际应用中发现,各网站都自行设定token值,某些token参数中并不包含“token”字样,随便取任何参数名。例如,在用户登录时,将“abc=123456”设置为 token 参数,假设发起的网页请求是 http://t.tt.com/publish, php?abc=123456&content=aaaaa&user=zhouhua ;对于这种情况,其中并不包含“token”,检测装置便认为有CSRF漏洞,这属于错报CSRF漏洞的情况。
[0007]即使url地址中包含token参数类似的关键字,由于目前目标网站不对token的合法性进行验证,例如浏览器和目标网站预先协商的token参数为“token=123456”,而攻击者在url中添加的token参数为“token=llllll”,而检测装置检测到url中包含“token”,就确定无CSRF漏洞,这就导致漏报,漏掉了一些存在CSRF漏洞的情况。
[0008]综上,现有CSRF漏洞检测方案存在大量错报、漏报的情况,导致误报率高、准确率低。
【发明内容】
[0009]本发明提供了一种跨站伪造请求漏洞检测的方法,该方法能够提高跨站伪造请求漏洞检测的准确率。
[0010]本发明提供了一种跨站伪造请求漏洞检测的装置,该装置能够提高跨站伪造请求漏洞检测的准确率。
[0011]一种跨站伪造请求漏洞检测的方法,该方法包括:
[0012]获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息;
[0013]将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
[0014]爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0015]一种跨站伪造请求漏洞检测的装置,该装置包括待检测入口确定模块、特征生成模块、爬取模块和漏洞确定模块;
[0016]所述待检测入口确定模块,获取待检测的网页入口,发送给所述特征生成模块;
[0017]所述特征生成模块,接收来自所述待检测入口确定模块的待检测的网页入口,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;
[0018]所述爬取模块,爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则将所述特征发送给所述漏洞确定模块;
[0019]所述漏洞确定模块,接收来自所述爬取模块的特征,由特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。
[0020]从上述方案可以看出,本发明中,生成对应待检测的网页入口的唯一特征,所述特征包含网页入口描述信息;将生成的特征作为待检测的网页入口的参数内容,包含在网页请求中,提交至目标网站;爬取目标网站的网页,查找网页上是否包含所述特征,如果是,则由所述特征包含的网页入口描述信息确定出存在跨站伪造请求漏洞的网页入口。采用本发明的检测方案,模拟攻击者在网页入口输入特征,提交网页请求;然后爬取目标网站的网页,如果查找到网页上包含有所述特征,则表明存在CSRF漏洞,并由所述特征包含的网页入口描述信息确定出存在CSRF漏洞的网页入口 ;这样,实现了自动、准确、快速地检测出存在CSRF漏洞的网页入口。
【附图说明】
[0021]图1为本发明CSRF漏洞检测的方法示意性流程图;
[0022]图2为本发明CSRF漏洞检测中进行特征设置的流程图实例;
[0023]图3为待检测的网页入口原始信息实例;
[0024]图4为本发明CSRF漏洞检测中进行特征爬取的流程图实例;
[0025]图5为黑客对网页入口进行修改的实例;
[0026]图6为本发明CSRF漏洞检测的装置结构示意图。
【具体实施方式】
[0027]为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
[0028]本发明中,先模拟攻击者在网页入口输入特征,提交网页请求,然后爬取目标网站的网页,如果查找到网页上包含输入的特征,则表明存在CSRF漏洞,进而由特征确定出存在跨站伪造请求漏洞的网页入口。参见图1,为本发明CSRF漏洞检测的方法示意性流程图,其包括以下步骤:
[0029]步骤101,获取待检测的网页入口,生成对应网页入口的唯一特征,所述特征包含网页入口描述信息。
[0030]目标网站提供了众多网页,某些网页上