[发明专利]一种CSRF漏洞的自动化检测方法及系统

说明书

本发明涉及计算机安全技术领域，提供一种CSRF漏洞的检测方法及系统，方法包括：利用cookie对访问页面进行检验，判断带cookie生成的form1和不带cookie生成的form2是否为同一表单；当为不同表单时，判断所述表单form1是否在预先设置的黑名单中；当判定表单form1不在预先设置的黑名单中时，判断所述表单form1是否存在token机制，当存在token机制时，判断用户是否启用Referer功能，若开启Referer功能，则判定form1不存在CSRF漏洞，若form1没有开启Referer功能，则判定form1存在CSRF漏洞，从而实现对CSRF漏洞的准确判断，提高检测效率。

技术领域

本发明属于计算机安全技术领域，尤其涉及一种CSRF漏洞的自动化检测方法及系统。

背景技术

跨站请求伪造(Cross-site request forgery，CSRF)是一种对网站的恶意利用。CSRF使黑客可以冒充合法用户的身份，使合法用户在不知情的情况下触发如金融支付、发表微博等危险操作，并可直接导致蠕虫，危害巨大，从2007年至今，CSRF漏洞已连续几年位于OWASP统计的十大Form1安全漏洞前列。

目前，对于CSRF的检测，业界还没有成熟有效的工具，Csrftester工具仅支持简单的对页面所提交的表单信息进行抓取，然后由用户人工地进行修改该数据来确定是否存在csrf漏洞，效率低下；CsrfScanner可实现自动化检测，但缺少对tookie过滤以及用户是否开启Referer的判断，误报率高。

发明内容

本发明的目的在于提供一种CSRF漏洞的自动化检测方法，旨在解决现有技术中对CSRF漏洞的自动化检测存在准确性较低，误报率高的问题。

本发明是这样实现的，一种CSRF漏洞的自动化检测方法，所述方法包括下述步骤：

利用cookie对访问页面进行检验，判断带cookie生成的form1和不带cookie生成的form2是否为同一表单；

当带cookie生成的form1和不带cookie生成的form2为不同表单时，判断所述表单form1是否在预先设置的黑名单中；

当判定所述表单form1不在预先设置的黑名单中时，判断所述表单form1是否存在token机制；

若所述表单form1存在token机制，则判定所述form1不存在CSRF漏洞；

若所述表单form1不存在token机制，则判断用户是否启用Referer功能，若开启Referer功能，则判定form1不存在CSRF漏洞，若没有开启Referer功能，则判定form1存在CSRF漏洞。

作为一种改进的方案，所述利用cookie对访问页面进行检验，判断带cookie生成的form1和不带cookie生成的form2是否为同一表单的步骤具体包括下述步骤：

利用cookie，控制带cookie访问页面得到表单form1；

控制不带cookie访问页面得到表单form2；

通过字符串相等与否判断得到的所述表单form1和form2是否为同一个表单；

若表单form1和form2为同一个表单，则判定form1不存在CSRF漏洞；

若表单form1和form2不是同一个表单，则执行所述判断所述表单form1是否在预先设置的黑名单中的步骤。

作为一种改进的方案，所述当带cookie生成的form1和不带cookie生成的form2为不同表单时，判断所述表单form1是否在预先设置的黑名单中的步骤具体包括下述步骤：