http://www.paper.edu.cn
- 1 -
中国科技论文在线
跨站请求伪造(CSRF)攻击与防范技术研
究
#
刘雅楠
1
,马兆丰
1,2**
基金项目:国家自然科学基金((No.61272519, No.61170297, No.61572080, No.61472258)
作者简介:刘雅楠(1991-),女,北京邮电大学硕士生,主要研究方向:计算机网络安全
通信联系人:马兆丰(1974-),男,北京邮电大学信息安全中心骨干青年教师,主要研究方向:数字版权管
理;数字内容安全;计算机网络安全. E-mail: mzf@bupt.edu.cn
(1. 北京邮电大学信息安全中心,北京 100876; 5
2. 北京国泰信安科技有限公司 北京 100086)
摘要:跨站请求伪造(CSRF)攻击作为最严重的 web 漏洞威胁之一被列入了开放 Web 应用
安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危害性,针对 CSRF 攻击带
来的安全威胁,本文提出了基于客户端和服务器端相结合的 CSRF 攻击安全防御技术,服务10
器防御技术主要有验证码、Referer Check、Token 等,客户端的防御主要包括用户端防御和
安全设备防御。搭建了本地测试环境 WAMP(Windows+Apache+Mysql+PHP),模拟 CSRF 攻
击的实施过程,并将本文提出的防御技术加以应用验证。实验结果表明,本文提出的安全防
御技术对于 CSRF 攻击能够进行有效合理地防御。
关键词:跨站请求伪造;web 漏洞;防御 15
中图分类号:TP393.0
Research on Cross-Site Request Forgery (CSRF) Attack and
Prevention Technology
LIU Yanan
1
, Ma Zhaofeng
1,2
20
(1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing
100876, China;
2. Beijing National Security Science and Technology Co..Ltd, Beijing ,100086, China)
Abstract: Cross-site request forgery (CSRF) attack as one of the most serious threats to web
security was included in the Open Web Application Security Project (OWASP) Top Ten list of 25
vulnerabilities. Cross-Site Request Forgery (CSRF) is an attack that has great hidden and
harmfulness. in order to deal with the security threats brought by CSRF attack, defensive measures
based on the server and the client are proposed in this paper. Defensive technologies based server
mainly include verification code, Check Referer, Token, etc., Defensive technologies based client
include user defense and equipment defense. We will set up a local test environment WAMP 30
(Windows + Apache + Mysql + PHP) to emulate the process of CSRF attack, and the defense
technologies proposed in this paper are verified by application. Experimental results show that
they are reasonable and effective to prevent CSRF attack.
Key words: Cross-Site Request forgery; Web application vulnerability;Prevention Technology
35
0 引言
随着互联网技术的发展,因特网已经成为一个非常重要的基础平台,很多企业都将应用
架设在该平台上,为客户提供更为方便、快捷的服务支持。然而人们在享受着 web 业务带
来的便捷之时,web 安全威胁逐渐凸显,很多恶意攻击者出于不良目的对 web 服务器进行
攻击,想方设法通过各种手段获取他人的个人账户等隐私数据谋取利益。近年来针对 web 平40
台的攻击事件频频发生,常见的有网页挂马、网站 SQL 注入、跨站脚本攻击 XSS 等,web
应用安全形势日益严峻。
评论0