(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111600974.X (22)申请日 2021.12.24 (71)申请人 深圳开源互联网安全技 术有限公司 地址 518100 广东省深圳市龙华区民治街 道民乐社区星河WORLD二期E栋401- 405 (72)发明人 刘海涛　万振华　王颉　李华　 郑明　 (74)专利代理 机构 深圳市恒申知识产权事务所 (普通合伙) 44312 专利代理师 廖厚琪 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种CSRF漏洞识别方法、 装置及计算机可读 存储介质 (57)摘要 由上可见， 根据本申请方案所提供的CSRF漏 洞识别方法、 装置及计算机可读存储介质， 获取 用户输入的访问请求中的目标数据； 对目标数据 添加状态 位标识； 根据访问请求在执行过程中所 包含的所有状态位标识， 识别访问请求是否存在 CSRF漏洞。 通过本申请方案的实施， 在获取到用 户输入的访问请求中的目标数据之后， 对访问请 求中的目标数据添加状态位标识， 依次判断访问 请求在执行过程中包含的所有状态 位标识， 可以 更精准的识别访问请求是否存在CSRF漏洞。 权利要求书2页 说明书7页 附图3页 CN 114499960 A 2022.05.13 CN 114499960 A 1.一种CSRF漏洞识别方法， 其特 征在于， 包括： 获取用户输入的访 问请求中的目标数据； 其中， 所述目标数据包括额外的身份标识数 据以及执 行敏感操作的数据； 对所述目标 数据添加状态位标识； 根据所述访问请求在执行过程中所包含的所有状态位标识， 识别所述访问请求是否存 在CSRF漏洞。 2.根据权利要求1所述的一种CSRF漏洞识别方法， 其特征在于， 所述目标数据包括如下 至少一种： 查询字符串数据、 表单输入数据、 JSON请求体数据、 额外的to ken令牌； 所述对所述目标 数据添加状态位标识的步骤， 包括： 若所述访问请求包括所述查询字符串数据， 则对所述查询字符串数据 添加查询字符串 状态位标识； 若所述访问请求包括所述表单输入数据或所述JSON请求体数据， 则对所述表单输入数 据或所述JSON请求体数据添加请求体 状态位标识； 若所述访问请求包括所述额外 的token令牌， 则对所述额外的token令牌添加token令 牌状态位标识。 3.根据权利要求2所述的一种CSRF漏洞识别方法， 其特征在于， 所述对所述目标数据添 加状态位标识的步骤之后， 还 包括： 对所述目标 数据添加污点数据标识； 根据所述污点数据标识对应的污点数据在执行过程中的传播路径， 确定所述污点数据 标识对应的污点数据是否执行敏感操作； 其中， 所述敏感操作包括文件读写操作、 数据库读 写操作； 当确定所述污点数据执行所述敏感操作时， 对所述敏感操作添加CSRF操作状态位标 识。 4.根据权利要求3所述的一种CSRF漏洞识别方法， 其特征在于， 所述对所述敏感操作添 加CSRF操作状态位标识的步骤之前， 还 包括： 检测所述污点数据中是否包括to ken令牌状态位标识； 若所述污点数据中包括token令牌状态位标识， 则对所述敏感操作添加安全状态位标 识； 若所述污点数据中不包括token令牌状态位标识， 则执行所述对所述敏感操作添加 CSRF操作状态位标识的步骤。 5.根据权利要求3所述的一种CSRF漏洞识别方法， 其特征在于， 所述根据 所述访问请求 在执行过程中所包含的所有状态位标识， 识别所述访问请求是否存在CSRF漏洞的步骤， 包 括： 若所述访问请求在执行过程中所包含的所有状态位标识包括所述token令牌状态位标 识， 则确定所述访问请求 不存在CSRF漏洞； 若所述访问请求在执行过程中所包含的所有状态位标识不包括所述token令牌状态位 标识， 且不包括所述查询 字符串状态位标识和所述访问请求体状态位标识， 则确定所述访 问请求不存在CSRF漏洞。 6.根据权利要求5所述的一种CSRF漏洞识别方法， 其特征在于， 所述若所述访问请求在权　利　要　求　书 1/2 页 2 CN 114499960 A 2执行过程中所包含的所有状态位标识不包括所述token令牌状态位标识， 且不包括所述查 询字符串状态位标识和所述访问请求体状态 位标识， 则确定所述访问请求不存在CSRF漏洞 的步骤之后， 还 包括： 若所述访问请求在执行过程中所包含的所有状态位标识不包括所述token令牌状态位 标识， 且包括所述查询 字符串状态位标识或所述访问请求体状态位标识， 则判断所述访问 请求是否包 含所述CSRF操作状态位标识； 若所述访问请求包 含所述CSRF操作状态位标识， 则确定所述访问请求存在CSRF漏洞。 7.根据权利要求1至6任意一项所述的一种CSRF漏洞识别方法， 其特征在于， 所述获取 用户输入的访问请求中的目标 数据的步骤， 包括： 将CSRF漏洞检测组件织入到应用程序中； 根据所述CSRF漏洞检测组件 对用户输入的访问请求进行 数据筛选， 得到目标 数据。 8.一种CSRF漏洞识别装置， 其特 征在于， 包括： 获取模块， 用于获取用户输入的访问请求中的目标数据； 其中， 所述目标数据包括额外 的身份标识数据以及执 行敏感操作的数据； 添加模块， 用于对所述目标 数据添加状态位标识； 识别模块， 用于根据所述访 问请求在执行过程中包含的状态位标识， 识别所述访 问请 求是否存在CSRF漏洞。 9.一种电子装置， 包括： 存储器、 处理器及总 线， 其特征在于， 所述总 线用于实现所述存 储器、 处理器之 间的连接通讯； 所述处理器用于执行存储在所述存储器上的计算机程序， 所 述处理器执行所述计算机程序时， 实现权利要求1至7中任意 一项所述方法中的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时， 实现权利要求1至7中的任意 一项所述方法中的步骤。权　利　要　求　书 2/2 页 3 CN 114499960 A 3