【免费】论文研究-跨站请求伪造（CSRF）攻击与防范技术研究.pdf_跨站请求伪造 - CSDN文库

跨站请求伪造

需积分: 0 110 浏览量更新于2023-05-16 1 收藏 596KB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源推荐

http://www.paper.edu.cn

- 1 -

中国科技论文在线

跨站请求伪造（CSRF）攻击与防范技术研

究

#

刘雅楠

1

，马兆丰

1,2**

基金项目：国家自然科学基金((No.61272519, No.61170297, No.61572080, No.61472258)

作者简介：刘雅楠(1991-)，女，北京邮电大学硕士生，主要研究方向：计算机网络安全

通信联系人：马兆丰(1974-)，男，北京邮电大学信息安全中心骨干青年教师，主要研究方向：数字版权管

理；数字内容安全；计算机网络安全. E-mail: mzf@bupt.edu.cn

（1. 北京邮电大学信息安全中心，北京 100876； 5

2. 北京国泰信安科技有限公司北京 100086）

摘要：跨站请求伪造（CSRF）攻击作为最严重的 web 漏洞威胁之一被列入了开放 Web 应用

安全项目（OWASP）十大漏洞列表。该攻击具有很大隐蔽性和危害性，针对 CSRF 攻击带

来的安全威胁，本文提出了基于客户端和服务器端相结合的 CSRF 攻击安全防御技术，服务10

器防御技术主要有验证码、Referer Check、Token 等，客户端的防御主要包括用户端防御和

安全设备防御。搭建了本地测试环境 WAMP(Windows+Apache+Mysql+PHP)，模拟 CSRF 攻

击的实施过程，并将本文提出的防御技术加以应用验证。实验结果表明，本文提出的安全防

御技术对于 CSRF 攻击能够进行有效合理地防御。

关键词：跨站请求伪造；web 漏洞；防御 15

中图分类号：TP393.0

Research on Cross-Site Request Forgery (CSRF) Attack and

Prevention Technology

LIU Yanan

1

, Ma Zhaofeng

1,2

20

(1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing

100876, China;

2. Beijing National Security Science and Technology Co..Ltd, Beijing ,100086, China)

Abstract: Cross-site request forgery (CSRF) attack as one of the most serious threats to web

security was included in the Open Web Application Security Project (OWASP) Top Ten list of 25

vulnerabilities. Cross-Site Request Forgery (CSRF) is an attack that has great hidden and

harmfulness. in order to deal with the security threats brought by CSRF attack, defensive measures

based on the server and the client are proposed in this paper. Defensive technologies based server

mainly include verification code, Check Referer, Token, etc., Defensive technologies based client

include user defense and equipment defense. We will set up a local test environment WAMP 30

(Windows + Apache + Mysql + PHP) to emulate the process of CSRF attack, and the defense

technologies proposed in this paper are verified by application. Experimental results show that

they are reasonable and effective to prevent CSRF attack.

Key words: Cross-Site Request forgery; Web application vulnerability;Prevention Technology

35

0 引言

随着互联网技术的发展，因特网已经成为一个非常重要的基础平台，很多企业都将应用

架设在该平台上，为客户提供更为方便、快捷的服务支持。然而人们在享受着 web 业务带

来的便捷之时，web 安全威胁逐渐凸显，很多恶意攻击者出于不良目的对 web 服务器进行

攻击，想方设法通过各种手段获取他人的个人账户等隐私数据谋取利益。近年来针对 web 平40

台的攻击事件频频发生，常见的有网页挂马、网站 SQL 注入、跨站脚本攻击 XSS 等，web

应用安全形势日益严峻。

本内容试读结束，登录后可阅读更多

下载后可阅读完整内容，剩余9页未读，立即下载

weixin_39840515

粉丝: 446
资源: 1万+

会员权益专享

图片转文字

全年可省5，000元立即开通

最新资源

资源上传下载、课程学习等过程中有任何疑问或建议，欢迎提出宝贵意见哦~我们会及时处理！点击此处反馈