基于HTML5的CSRF攻击与防御技术研究

发布时间：2024-03-31 03:01

　　HTML5技术凭借其新的功能和特性，在丰富了Web应用的同时，也存在诸多漏洞。虽然随着各种Web防御工具的开发和安全防范技术的提高，减少了诸如SQL注入、跨站脚本（XSS）等Web应用程序的漏洞。然而，日前一些窃取和利用用户存储在浏览器中的会话等敏感信息的攻击仍在不断的涌现，CSRF攻击就是其中一种重要的攻击方式，它被列为基于HTML5的Web应用的前十大攻击方式之一。可是，目前Web开发人员和用户对CSRF漏洞的重视程度并不够，由此导致在基于HTML5的Web中存在较大的安全风险。鉴于此，本文将从基于HTML5的Web存在的安全问题入手，对基于HTML5的CSRF攻击的产生原因、攻击过程进行深入分析，在此基础上提出针对基于HTML5的CSRF攻击的检测手段和防御措施，以期为从事HTML5开发和利用的人员提供一些参考。本文的主要内容有： 1、深入考察了目前Web中所采用的一些安全策略存在的缺陷，主要包括同源策略、跨域资源共享以及Cookie安全策略等，分析了这些安全策略所存在的漏洞和引起CSRF攻击的原因。 2．通过搭建HTML5环境，验证攻击者是如何利用HTML5中的CSRF漏洞来实...

【文章页数】：72 页

【学位级别】：硕士

【文章目录】：
摘要
ABSTRACT
第一章 绪论
    1.1 研究背景
    1.2 本文主要工作
    1.3 本文的结构安排
第二章 HTML5 相关概念及 CSRF 攻击的基本原理
    2.1 HTML5 的发展历程
    2.2 HTML5 的新特性及应用
    2.3 HTML5 面临的主要安全威胁
        2.3.1 点击劫持和网络钓鱼
        2.3.2 CSRF 攻击
        2.3.3 从本地存储中窃取信息
        2.3.4 地理定位暴露用户的位置
        2.3.5 利用 WebSockets 攻击
        2.3.6 HTML5 的跨源请求存在漏洞
        2.3.7 HTML5 僵尸网络
    2.4 CSRF 攻击的基本原理
    2.5 本章小结
第三章 基于 HTML5 的 WEB 中存在 CSRF 漏洞的原因分析
    3.1 同源策略
    3.2 跨源资源共享
    3.3 COOKIE 安全策略
    3.4 P3P 头策略
    3.5 本章小结
第四章 基于 HTML5 的 CSRF 攻击的实现与验证
    4.1 基于 GET、POST 请求的 CSRF 攻击
        4.1.1 GET 请求发起的 CSRF 攻击
        4.1.2 POST 请求发起的 CSRF 攻击
    4.2 基于 CORS 的 CSRF 攻击
        4.2.1 删除论坛中的记录
        4.2.2 论坛中添加新记录
    4.3 CSRF 蠕虫
    4.4 本章小结
第五章 基于 HTML5 的 CSRF 攻击的检测与防御
    5.1 CSRF 漏洞检测
        5.1.1 运用 Rational AppScan 检测 CSRF
        5.1.2 CSRF 漏洞的精确检测
    5.2 基于 HTML5 的 CSRF 的防御
        5.2.1 验证码验证
        5.2.2 验证 HTTP Referer 字段
        5.2.3 请求中添加 Token
        5.2.4 在 HTTP 头中自定义属性并验证
    5.3 本章小结
第六章 结束语
    6.1 总结
    6.2 展望
致谢
参考文献



本文编号：3943346