文档名:基于可信组件的同站请求伪造防御方法
同站请求伪造(SSRF)是指攻击者将攻击载体植入目标网站页面后,仿冒用户向该网站的服务器端发起敏感操作请求的一种攻击方式.同站请求伪造能够成功的关键在于服务器端无法区分敏感操作请求是由用户真实交互所发出,还是同源页面中的恶意攻击载体仿冒用户发出.基于此,本文提出了基于可信组件的同站请求伪造防御方法.该方法在页面中引入可信组件,将用户交互保护在可信组件中,用户通过与可信组件交互来授权其发出敏感操作请求,服务器端仅响应可信组件发出的敏感操作请求.本文开发了SSRFDefender系统对该方法进行服务器端-客户端协同实现,并通过真实的SSRF攻击实验验证了该方法的有效性.
作者:张慧琳丁羽黎桐辛韩心慧
作者单位:北京大学计算机科学技术研究所,北京100080
母体文献:2015中国计算机网络安全年会论文集
会议名称:2015中国计算机网络安全年会
会议时间:2015年5月26日
会议地点:武汉
主办单位:国家计算机网络应急技术处理协调中心
语种:chi
分类号:TP3TN9
关键词:网站 同站请求伪造 安全防御 可信组件
在线出版日期:2018年3月21日
基金项目:
相似文献
相关博文
- 文件大小:
- 985.56 KB
- 下载次数:
- 60
-
高速下载
|
|
