[发明专利]一种CSRF攻击的快速定位与识别系统和方法

说明书

本发明公开了一种CSRF攻击的快速定位与识别系统和方法，其中本发明系统包括有HTTP请求信息收集模块，用户身份认证模块，用户权限授权模块，数据库系统操作识别模块，文件系统操作识别模块，CSRF漏洞识别与定位模块，本发明方法通过对数据库与文件系统操作判断并判定需要的CSRF防护的URL列表、添加具有CSRF攻击漏洞的URL列表，做到有效识别与快速定位。

技术领域

本发明涉及网络通信技术领域，具体尤其涉及一种CSRF攻击的快速定位与识别系统和方法。

背景技术

随着科技的发展，现有各种网络应用盛行，在Web应用层面上的安全攻击逐渐占据主流。跨站点请求伪造(CSRF)因其攻击隐蔽性强，攻击危害性大，从2007至2017近十年都排在Web安全攻击前十名，对上网用户生活与财产安全构成极大威胁，然而，目前无论是手工还是自动化检测都缺少对CSRF漏洞的准确识别，CSRF的防御方法也较多，但大多适用特定场合，很难得到全面防护，让这种攻击防不胜防。

CSRF的思想可以追溯到上世纪八十年代，早在1988年Norm Hardy发现这个应用级别的信任问题，并把它称为混淆代理人(Confused Deputy)。2001年Peter Watkins第一次将其命名为CSRF，并将其报在Bugtraq缺陷列表中，从此CSRF开始进入人们的视线，而从2007年至今，CSRF攻击一直排名在Web安全攻击前十名。

大量研究发现，国际互联网上CSRF攻击普遍存在，典型的CSRF攻击如荷兰国际集团旗下的网络银行INGDirect可以任意创建用户，可以任意汇款，导致银行个人财产的丢失；孟加拉银行Bangladesh Bank 1亿美元被窃取；视频网站YouTube可以任意添加用户、加为好友列表等；阿里巴巴安全部门发生的抢月饼事件等，CSRF就像一个狡猾的猎人在自己的狩猎区布置了一个个陷阱，上网用户就像一个个猎物，在自己不知情的情况下被其引诱，触发了陷阱，导致了用户的信息暴露，财产丢失。因为其极其隐蔽，并且利用的是互联网Web认证自身存在的漏洞，所以很难被发现并且破坏性大。

CSRF之所以能够广泛存在，主要原因是Web身份认证及相关机制的缺陷，而当今Web身份认证主要包括像隐式认证、同源策略、跨域资源共享、Cookie安全策略、Flash安全策略等。CSRF是通过第三方伪造用户请求来欺骗服务器，以达到冒充用户身份、行使用户权利的目的。

CSRF攻击比较隐蔽，在通常情况下，用户访问了一个攻击者精心构造的网页，或点击了一个不知名的网络链接，攻击就生效了，攻击者就像一个捕猎者，首先寻找容易设下陷阱的网站，无论是跨域或同域(寻找场合)；然后在较为隐蔽的场合伪造请求设置陷阱(等候猎物)，最后等待用户点击链接或访问某个网页导致攻击生效(成功捕获)；不管上网用户是主动点击某个恶意链接，还是无意访问某个网页，都有可能进入攻击者精心设计的CSRF圈套。

CSRF攻击隐蔽性强，破坏性大，并且容易被忽视，如何有效的识别与定位CSRF攻击点变得非常重要，如果能快速找到这些能被攻击的点，软件架构师就能从设计上去预防，软件开发工程师也能有的放矢的进行防护，软件测试工程师也能有针对性地进行CSRF攻击验证测试，从而消除CSRF潜在威胁，给广大网络用户提供一个相对安全的上网环境，令人可惜的是，目前市面上还没有一个专门准确的扫描CSRF攻击漏洞的工具，同时由于CSRF攻击大多是人为精心设计的陷阱，所以通过目前基于模式匹配方式进行扫描或渗透攻击的工具，对CSRF的识别与定位非常薄弱，以静态扫描工具Coverity、JTest等为例，这些工具能够非常方便的扫描出XSS攻击，但对于CSRF攻击基本上是无能为力，而安全动态渗透工具像AppScan、ZAP等，能比较方便的渗透出SQL Injection或XSS攻击，但仅能少量的扫描出CSRF攻击，并且扫描出来的结果还需要人工去分析，扫描的结果是否正确，大量的CSRF漏洞无法准确识别出来，到目前为止，市面上还没有一个工具能准确的识别与定位CSRF攻击。