[发明专利]基于XSS和CSRF的Web攻击防御系统及其方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种基于XSS和CSRF的Web攻击防御系统及其方法，具有精确度高和误判率低的特点。

背景技术

互联网行业的飞速发展，网络与信息安全的重要性日趋增强，大至军事、国防、政府、银行等关键行业，小至一般的企业乃至个人，都面临着网络攻击，蠕虫泛滥，隐私泄漏等风险。随着企业和政府越来越多的系统引用WEB服务，黑客针对WEB业务的攻击，亦迅猛增长。一方面，WEB技术具有便捷性，交互性以及通用性，因此被越来越多的行业采用；另一方面，针对WEB网络攻击又呈现手段多样化、技术平民化、周期缩短化的态势,严重阻碍了该项技术的发展。在所有的WEB攻击中，CSS和CSRF的技术攻击最为严重，指攻击者在网页中嵌入客户端脚本，通常是JavaScript编写的恶意代码，当用户使用浏览器浏览被嵌入恶意代码的网页时，恶意代码将会在用户的浏览器上执行；利用这两种攻击，攻击者可以进行session挟持、数据窃取、身份冒充、钓鱼等攻击行为，甚至利用漏洞编写蠕虫病毒来感染大量访问机器。因此，亟需针对这两种攻击的防范措施出台。本发明以此为目标，对XSS和CSRF的攻击和防范进行深入研究，提出Web攻击防御系统及其方法。

发明内容

跨站脚本攻击是当前web应用程序安全面临的主要威胁之一，XSS和CSRF就是这类攻击，它们对站点和用户都有巨大的危害，但是由于安全产品特殊应用需求，以及各个组织的工具自身的技术与安全防护问题，针对XSS和CSRF攻击缺乏比较系统和详细的文献资料，本发明希望深入研究这类攻击，提供一种基于XSS和CSRF的Web攻击防御系统及其方法，为网络安全人员提供参考。

实现本发明目的技术方案是：

本发明主要针对XSS和CSRF这两种脚本注入攻击提出防御策略，通过过滤模块，白名单模块和令牌拦截模块三种方式层层过滤用户数据，实现两种攻击的高精度识别，低误报率的拦截响应，为维护网络安全奠定了理论基础。

一、基于XSS和CSRF的Web攻击防御系统(简称系统)

本系统包括用户和Web服务器；

设置有攻击防御服务器，攻击防御服务器包括过滤模块、白名单模块和令牌拦截模块；

其交互关系是：

用户、过滤模块、令牌拦截模块和Web服务器依次交互；

白名单模块模块分别与过滤模块和令牌拦截模块交互。

二、基于XSS和CSRF的Web攻击防御方法(简称方法)

本方法的研究思路是在研究跨站脚本攻击的应用基础之上，尤其是对XSS和CSRF这种危害较大的攻击进行详细研究，采用Servlet技术静态过滤用户输入，白名单模块净化重组HTML数据，令牌动态拦截非法HTTP数据，实现XSS和CSRF这两种攻击的防御功能。

本方法包括下列步骤：

①过滤模块采用验证用户输入合法性，特殊字符处理，cookie防盗，以及递归净化敏感词汇四种方式过滤用户输入；

②白名单模块针对HTML脚本注入，使用HTML解析库遍历所有的节点，获取其中数据的原有标签属性，通过白名单模块中的标签重新构建HTML元素树，从根本上防范HTML脚本注入攻击；

③令牌拦截模块通过Token验证功能对不符合要求的HTTP请求进行拦截。

本发明具有下列优点和积极效果：

①精确度高：本系统采用过滤模块，白名单模块，令牌拦截模块三种方式对XSS和CSRF跨站攻击方式进行识别防御，三种技术相铺相成，对跨站脚本攻击的识别精确度高；

②误判率低：跨站脚本攻击的核心是攻击者冒用用户的身份，对Web发起请求，过滤模块静态过滤数据，令牌拦截模块动态插入Token ，动静结合大大降低了识别的误判率；

③可扩展性：针对白名单模块，在不断积累和升级的过程中，会有丰富各异的HTML标签属性，确认安全后，都可以添加到白名单模块，白名单模块的大小直接影响防御安全指数。

附图说明

图1是本系统的网络拓扑图；

其中：

100—用户；

200—攻击防御服务器，

210—过滤模块，220—白名单模块，230—令牌拦截模块；

300—Web服务器。

英译汉

1、XSS：Cross Site Scripting，跨站脚本攻击；

2、CSRF：Cross Site Request Forgery，跨站请求伪造；