本發(fā)明公開(kāi)了一種CSRF攻擊的快速定位與識(shí)別系統(tǒng)和方法，其中本發(fā)明系統(tǒng)包括有HTTP請(qǐng)求信息收集模塊，用戶身份認(rèn)證模塊，用戶權(quán)限授權(quán)模塊，數(shù)據(jù)庫(kù)系統(tǒng)操作識(shí)別模塊，文件系統(tǒng)操作識(shí)別模塊，CSRF漏洞識(shí)別與定位模塊，本發(fā)明方法通過(guò)對(duì)數(shù)據(jù)庫(kù)與文件系統(tǒng)操作判斷并判定需要的CSRF防護(hù)的URL列表、添加具有CSRF攻擊漏洞的URL列表，做到有效識(shí)別與快速定位。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，具體尤其涉及一種CSRF攻擊的快速定位與識(shí)別系統(tǒng)和方法。

背景技術(shù)

隨著科技的發(fā)展，現(xiàn)有各種網(wǎng)絡(luò)應(yīng)用盛行，在Web應(yīng)用層面上的安全攻擊逐漸占據(jù)主流。跨站點(diǎn)請(qǐng)求偽造(CSRF)因其攻擊隱蔽性強(qiáng)，攻擊危害性大，從2007至2017近十年都排在Web安全攻擊前十名，對(duì)上網(wǎng)用戶生活與財(cái)產(chǎn)安全構(gòu)成極大威脅，然而，目前無(wú)論是手工還是自動(dòng)化檢測(cè)都缺少對(duì)CSRF漏洞的準(zhǔn)確識(shí)別，CSRF的防御方法也較多，但大多適用特定場(chǎng)合，很難得到全面防護(hù)，讓這種攻擊防不勝防。

CSRF的思想可以追溯到上世紀(jì)八十年代，早在1988年Norm Hardy發(fā)現(xiàn)這個(gè)應(yīng)用級(jí)別的信任問(wèn)題，并把它稱為混淆代理人(Confused Deputy)。2001年P(guān)eter Watkins第一次將其命名為CSRF，并將其報(bào)在Bugtraq缺陷列表中，從此CSRF開(kāi)始進(jìn)入人們的視線，而從2007年至今，CSRF攻擊一直排名在Web安全攻擊前十名。

大量研究發(fā)現(xiàn)，國(guó)際互聯(lián)網(wǎng)上CSRF攻擊普遍存在，典型的CSRF攻擊如荷蘭國(guó)際集團(tuán)旗下的網(wǎng)絡(luò)銀行INGDirect可以任意創(chuàng)建用戶，可以任意匯款，導(dǎo)致銀行個(gè)人財(cái)產(chǎn)的丟失；孟加拉銀行Bangladesh Bank 1億美元被竊取；視頻網(wǎng)站YouTube可以任意添加用戶、加為好友列表等；阿里巴巴安全部門(mén)發(fā)生的搶月餅事件等，CSRF就像一個(gè)狡猾的獵人在自己的狩獵區(qū)布置了一個(gè)個(gè)陷阱，上網(wǎng)用戶就像一個(gè)個(gè)獵物，在自己不知情的情況下被其引誘，觸發(fā)了陷阱，導(dǎo)致了用戶的信息暴露，財(cái)產(chǎn)丟失。因?yàn)槠錁O其隱蔽，并且利用的是互聯(lián)網(wǎng)Web認(rèn)證自身存在的漏洞，所以很難被發(fā)現(xiàn)并且破壞性大。

CSRF之所以能夠廣泛存在，主要原因是Web身份認(rèn)證及相關(guān)機(jī)制的缺陷，而當(dāng)今Web身份認(rèn)證主要包括像隱式認(rèn)證、同源策略、跨域資源共享、Cookie安全策略、Flash安全策略等。CSRF是通過(guò)第三方偽造用戶請(qǐng)求來(lái)欺騙服務(wù)器，以達(dá)到冒充用戶身份、行使用戶權(quán)利的目的。

CSRF攻擊比較隱蔽，在通常情況下，用戶訪問(wèn)了一個(gè)攻擊者精心構(gòu)造的網(wǎng)頁(yè)，或點(diǎn)擊了一個(gè)不知名的網(wǎng)絡(luò)鏈接，攻擊就生效了，攻擊者就像一個(gè)捕獵者，首先尋找容易設(shè)下陷阱的網(wǎng)站，無(wú)論是跨域或同域(尋找場(chǎng)合)；然后在較為隱蔽的場(chǎng)合偽造請(qǐng)求設(shè)置陷阱(等候獵物)，最后等待用戶點(diǎn)擊鏈接或訪問(wèn)某個(gè)網(wǎng)頁(yè)導(dǎo)致攻擊生效(成功捕獲)；不管上網(wǎng)用戶是主動(dòng)點(diǎn)擊某個(gè)惡意鏈接，還是無(wú)意訪問(wèn)某個(gè)網(wǎng)頁(yè)，都有可能進(jìn)入攻擊者精心設(shè)計(jì)的CSRF圈套。

CSRF攻擊隱蔽性強(qiáng)，破壞性大，并且容易被忽視，如何有效的識(shí)別與定位CSRF攻擊點(diǎn)變得非常重要，如果能快速找到這些能被攻擊的點(diǎn)，軟件架構(gòu)師就能從設(shè)計(jì)上去預(yù)防，軟件開(kāi)發(fā)工程師也能有的放矢的進(jìn)行防護(hù)，軟件測(cè)試工程師也能有針對(duì)性地進(jìn)行CSRF攻擊驗(yàn)證測(cè)試，從而消除CSRF潛在威脅，給廣大網(wǎng)絡(luò)用戶提供一個(gè)相對(duì)安全的上網(wǎng)環(huán)境，令人可惜的是，目前市面上還沒(méi)有一個(gè)專門(mén)準(zhǔn)確的掃描CSRF攻擊漏洞的工具，同時(shí)由于CSRF攻擊大多是人為精心設(shè)計(jì)的陷阱，所以通過(guò)目前基于模式匹配方式進(jìn)行掃描或滲透攻擊的工具，對(duì)CSRF的識(shí)別與定位非常薄弱，以靜態(tài)掃描工具Coverity、JTest等為例，這些工具能夠非常方便的掃描出XSS攻擊，但對(duì)于CSRF攻擊基本上是無(wú)能為力，而安全動(dòng)態(tài)滲透工具像AppScan、ZAP等，能比較方便的滲透出SQL Injection或XSS攻擊，但僅能少量的掃描出CSRF攻擊，并且掃描出來(lái)的結(jié)果還需要人工去分析，掃描的結(jié)果是否正確，大量的CSRF漏洞無(wú)法準(zhǔn)確識(shí)別出來(lái)，到目前為止，市面上還沒(méi)有一個(gè)工具能準(zhǔn)確的識(shí)別與定位CSRF攻擊。