技術領域

本發明涉及網絡安全，主要是瀏覽器安全與web應用安全。更具體地，涉及一種盜用用戶權限的跨站請求偽造攻擊的防御方法和系統。

背景技術

跨站請求偽造（Cross Site Request Forgery，CSRF）攻擊，是一種挾制終端用戶在已登錄的Web應用程序上執行非用戶意愿操作的攻擊方法。其攻擊的目標是用戶而不是web應用，并且不需要利用任何瀏覽器漏洞，而是利用已進行過身份認證的會話進行攻擊，即利用隱式認證漏洞來達到攻擊。

跨站請求偽造是一種比較隱晦的攻擊，受害者很可能不小心點擊一個惡意鏈接，就會被攻擊者利用，其本質是攻擊者盜用了受害者的身份，以受害者的名義發送惡意請求，能夠做的事情包括：發送郵件，消息，盜取賬號，甚至于購買商品，虛擬貨幣轉賬等。造成的問題包括：個人隱私泄露以及財產安全。攻擊后果取決于所利用的漏洞以及受害者的權限。

現有技術中，由于超文本傳輸協議（Hyper Text Transfer Protocol，HTTP）自身是一種無狀態協議，即無法關聯兩次連續的請求，因此通過Cookie、Session和HTTP等身份驗證信息來記錄狀態，關聯同一個用戶連續的請求。例如，當用戶成功進行身份驗證之后瀏覽器就會得到一個標識其身份的Cookie，只要不關閉瀏覽器或者退出登錄，每當向該站點發送請求的時候，瀏覽器都會“自動地”連同該Cookie一起發出，無須用戶干預，而不管這個請求是源自于應用程序提供的鏈接、從其他地方收到的統一資源定位符（Uniform Resource Locator，URL）或是其他來源。站點服務器是通過Cookie來識別用戶的，即如果站點服務器收到了帶有受害者的Cookie的請求，那么它就會把這個請求看作是已登錄的受害者發來的，站點服務器會認為這是經過確認的有效請求，所以會執行這個“可信的動作”，從而為攻擊提供了機會。Web站點的這種的身份驗證機制雖然可以向目標站點保證一個請求來自于某個用戶的瀏覽器，但是卻無法保證該請求的確是那個用戶發出的，或者是經過那個用戶批準的。跨站請求偽造攻擊之所以會發生，根本原因就是Web站點所驗證的是Web瀏覽器而非用戶本身。

圖1為CSRF攻擊相關流程圖。圖中步驟1為用戶請求保護站點的保護頁面；然后步驟2為站點服務器提示用戶輸入認證信息；步驟3為用戶提交自己的用戶名與密碼信息；步驟4為站點服務器驗證用戶信息建立合法的會話，并且向用戶生成標識用戶的Cookie信息；步驟5-8為用戶正常向站點服務器發送請求，并且站點服務器對其進行業務處理發送回應；步驟9-11為攻擊者的攻擊過程，其中步驟9為受害者及用戶訪問惡意站點，步驟10為惡意站點返回用戶請求的內容，其中返回的內容中含有發向保護站點的惡意請求，步驟11為用戶不小心點擊惡意鏈接向保護站點發起請求或者網頁中的惡意請求自動向保護站點發起請求，瀏覽器會自動將該站點下用戶的Cookie攜帶然后發出這個請求，由于請求中含有Cookie信息，站點服務器會以為是已登錄用戶發出的合法請求，從而進行業務處理，執行攻擊者的惡意動作。

目前，針對跨站請求偽造，主要有兩種方法：

第一種是使用POST請求進行跨站請求偽造攻擊，對重要的寫操作，網站只接受POST請求，以此來防御跨站請求偽造攻擊。但是該方法的缺點是，任何GET請求都可以構造表單通過POST請求來發送，因此此方法只能增加攻擊者實現攻擊的難度，并不能防范跨站請求偽造。

第二種是通過驗證token來實現跨站請求偽造攻擊的防范，可以在HTTP請求中以參數的形式加入一個隨機產生的token，并在服務器端建立一個攔截器來驗證這個token，如果請求中沒有token或者token內容不正確，則認為可能是CSRF攻擊而拒絕改請求。這個“驗證token”應該不能輕易的被未登錄的用戶猜測出來。但是開發者常常忘記實施這一防范，該方法還有一個缺點是難以保證token本身的安全，有可能通過URL或者HTTP Referer header泄露token給其他站點。在期刊名為：In IEEE International Conference on Security and Privacy in Communication Networks(SecureComm),2006.，文獻名稱為：Preventing cross site request forgery attacks，作者名稱為：Nenad Jovanovic,Engin Kirda,and Christopher Kruegel的文獻中公開了該方法。