[發明專利]一種檢測CSRF漏洞的方法和裝置有效

申請號：	201210328780.3	申請日：	2012-09-06
公開（公告）號：	CN103679018B	公開（公告）日：	2018-06-12
發明（設計）人：	張娜	申請（專利權）人：	百度在線網絡技術(北京)有限公司
主分類號：	G06F21/56	分類號：	G06F21/56
代理公司：	北京鴻德海業知識產權代理事務所(普通合伙) 11412	代理人：	倪志華
地址：	100085 北京***	國省代碼：	北京;11
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	檢測源代碼登錄方法和裝置種檢測返回結果方式分析雙重保險危害性標簽分析偽造節約安全
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種檢測跨站請求偽造(CSRF)漏洞的方法，其特征在于，該方法包括：

S1、將不帶cookie請求待檢測URL獲得的頁面源代碼和帶cookie請求所述待檢測URL獲得的頁面的源代碼進行對比，獲取帶cookie請求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請求所述待檢測URL獲得的頁面源代碼不同部分的源代碼；

S2、從獲取的所述不同部分的源代碼中提取請求表單；

S3、對提取的請求表單分別檢測是否存在CSRF漏洞。

2.根據權利要求1所述的方法，其特征在于，在所述S1之前還包括對待檢測URL的頁面源代碼進行的噪聲過濾：

對所述待檢測URL進行n次請求，對n次請求得到的頁面源代碼取交集，在取交集得到的頁面源代碼基礎上執行S1，所述n為2以上的整數。

3.根據權利要求1所述的方法，其特征在于，在所述獲取不同部分的源代碼過程中，記錄帶cookie請求所述待檢測URL獲得的頁面的源代碼中與不帶cookie請求所述待檢測URL獲得的頁面源代碼不同的請求表單ID；

在所述S2中獲取所述不同的請求表單ID對應的請求表單。

4.根據權利要求1所述的方法，其特征在于，所述S3中對各請求表單檢測是否存在CSRF漏洞具體包括：

判斷請求表單是否存在表示提交操作的標簽且不存在包含隱藏域的標簽，如果是，確定該請求表單存在CSRF漏洞，所述待檢測URL存在CSRF漏洞。

5.根據權利要求4所述的方法，其特征在于，如果請求表單不存在表示提交操作的標簽，則確定該請求表單安全；如果存在表示提交操作的標簽且存在包含隱藏域的標簽，則確定該請求表單為嫌疑表單。

6.根據權利要求5所述的方法，其特征在于，如果確定為嫌疑表單的請求表單中不包含Token數據，則確定該請求表單為存在CSRF漏洞的表單；如果確定為嫌疑表單的請求表單中包含Token數據，則從請求表單中提取嫌疑參數并構造嫌疑請求和偽造請求，對比嫌疑請求和偽造請求的返回結果之間的相似程度以確定是否存在CSRF漏洞。

7.根據權利要求1所述的方法，其特征在于，所述S3中對各請求表單檢測是否存在CSRF漏洞具體包括：

從請求表單中提取嫌疑參數并構造嫌疑請求和偽造請求，對比嫌疑請求和偽造請求的返回結果之間的相似程度以確定是否存在CSRF漏洞。

8.根據權利要求6或7所述的方法，其特征在于，所述從請求表單中提取嫌疑參數并構造嫌疑請求和偽造請求具體包括：

遍歷請求表單中的input標簽，將input標簽中的參數作為嫌疑參數，為嫌疑請求和偽造請求中的嫌疑參數賦予相同的值，嫌疑請求和偽造請求采用請求表單中的Token數據，對嫌疑請求和偽造請求中的cookie賦予不同的可登陸的值。

9.根據權利要求6所述的方法，其特征在于，所述從請求表單中提取嫌疑參數并構造嫌疑請求和偽造請求具體包括：

遍歷嫌疑表單中的input標簽，將input標簽中的參數作為嫌疑參數，為嫌疑請求和偽造請求中的嫌疑參數賦予相同的值，保持cookie不變，在嫌疑請求中采用請求表單中的Token數據，對偽造請求中的token數據進行隨機賦值。

10.根據權利要求6或7所述的方法，其特征在于，對比嫌疑請求和偽造請求的返回結果之間的相似程度以確定是否存在CSRF漏洞具體包括：

如果則確定該請求表單不存在CSRF漏洞，否則確定該請求表單存在CSRF漏洞，其中所述M為嫌疑請求的返回頁面源代碼中的標簽數，N為偽造請求的返回頁面源代碼中的標簽數，S為嫌疑請求的返回頁面源代碼和偽造請求的返回頁面源代碼中的相同標簽數，TH為預設的經驗值。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于百度在線網絡技術(北京)有限公司，未經百度在線網絡技術(北京)有限公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201210328780.3/1.html，轉載請聲明來源鉆瓜專利網。