[发明专利]一种跨站点伪造请求的动态检测方法无效
| 申请号: | 201010206355.8 | 申请日: | 2010-06-23 |
| 公开(公告)号: | CN101883024A | 公开(公告)日: | 2010-11-10 |
| 发明(设计)人: | 彭树深;顾庆;陈道蓄 | 申请(专利权)人: | 南京大学 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 210093 江苏省*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种跨站点伪造请求的动态检测方法,其步骤为:收集HTTP请求信息;根据收集到的信息,分析一个请求是否为CSRF嫌疑请求;针对嫌疑请求生成测试用例,找出嫌疑请求所包含的全部嫌疑参数。利用嫌疑参数生成若干伪造请求,每一个伪造请求形成一个测试用例;在生成嫌疑请求的环境重现时,执行每一个测试用例所对应的伪造请求;检测CSRF漏洞。根据嫌疑请求、嫌疑请求的执行信息、伪造请求和伪造请求的执行信息,分析伪造请求是否发现了Web应用中的CSRF漏洞,并形成报告,帮助Web应用开发者修复漏洞。本发明采用动态测试的方法检测CSRF漏洞,可以用较少的代价,快速而准确的发现Web应用中存在的CSRF漏洞。 | ||
| 搜索关键词: | 一种 站点 伪造 请求 动态 检测 方法 | ||
【主权项】:
一种跨站点伪造请求的动态检测方法。其特征在于以下步骤:1)收集HTTP请求信息;2)根据收集到的信息,检测每个请求是否为CSRF嫌疑请求;3)针对每个CSRF嫌疑请求,找出其所包含的全部嫌疑参数,为每个嫌疑参数生成一个伪造参数,再利用每个伪造参数生成一个对应的伪造请求,而每一个伪造请求再生成一个测试用例;4)在生成嫌疑请求的环境重现时,执行每一个步骤3)生成的测试用例所对应的伪造请求,执行过程中,收集伪造请求的执行信息;5)根据嫌疑请求、嫌疑请求的执行信息、伪造请求和伪造请求的执行信息,检测伪造请求是否发现了Web应用中的CSRF漏洞,并形成报告,帮助Web应用开发者修复漏洞。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京大学,未经南京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201010206355.8/,转载请声明来源钻瓜专利网。
- 上一篇:钢筋网压焊机横筋自动上料机构
- 下一篇:功能层为单层有机材料的有机太阳能电池
