申请/专利权人：深圳开源互联网安全技术有限公司

申请日：2021-12-24

公开（公告）日：2024-03-22

公开（公告）号：CN114499960B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2022.05.31#实质审查的生效;2022.05.13#公开

摘要：由上可见，根据本申请方案所提供的CSRF漏洞识别方法、装置及计算机可读存储介质，获取用户输入的访问请求中的目标数据；对目标数据添加状态位标识；根据访问请求在执行过程中所包含的所有状态位标识，识别访问请求是否存在CSRF漏洞。通过本申请方案的实施，在获取到用户输入的访问请求中的目标数据之后，对访问请求中的目标数据添加状态位标识，依次判断访问请求在执行过程中包含的所有状态位标识，可以更精准的识别访问请求是否存在CSRF漏洞。

主权项：1.一种CSRF漏洞识别方法，其特征在于，包括：获取用户输入的访问请求中的目标数据；其中，所述目标数据包括查询字符串数据、表单输入数据、JSON请求体数据及额外的token令牌中的至少一种；根据所述目标数据中数据的种类，为所述目标数据添加相应种类的状态位标识；其中，为所述目标数据添加的所述状态位标识的种类至少包括一种，一种所述状态位标识对应于所述目标数据中的至少一种数据，所添加的所述状态位标识的种类数小于或等于所述目标数据中数据的种类数；所述查询字符串数据相应的所述状态位标识为查询字符串状态位标识，所述表单输入数据和所述JSON请求体数据相应的所述状态位标识为请求体状态位标识，所述额外的token令牌相应的所述状态位标识为token令牌状态位标识；对所述目标数据添加污点数据标识，并根据所述污点数据标识对应的污点数据在执行过程中的传播路径，确定所述污点数据是否执行敏感操作，以及在确定出执行所述敏感操作时，对所述敏感操作添加CSRF操作状态位标识；其中，所述敏感操作包括文件读写操作和或数据库读写操作；根据所述访问请求在执行过程中所包含的所述状态位标识的种类及是否存在所述CSRF操作状态位标识，识别所述访问请求是否存在CSRF漏洞。

全文数据：

权利要求：

百度查询： 深圳开源互联网安全技术有限公司 一种CSRF漏洞识别方法、装置及计算机可读存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD