Enhanced Client-Side Protection for Cross-site Request Forgeries
Date Issued
2008
Date
2008
Author(s)
Chang, Shih-Yu
Abstract
跨站偽造請求Cross site request forgery (CSRF 或 XSRF)又稱作session riding,名列OWASP於2007年所公佈的年度十大web安全威脅之內,是一個極需要被重視與解決的威脅。跨站偽造請求攻擊是一種利用使用者在信任網站登入認證後以及尚未登出前,誘使受害使用者開啟一個惡意網頁,此惡意網頁會導使用者向信任網站發出非使用者自願且惡意的HTTP請求 (例如:發表文章、寄發信件、甚至是修改使用者的密碼)。如果該信任網站並沒有主動對於跨站偽造請求攻擊作驗證辨識,則該網站會自動認為這個HTTP請求是合法由使用者發出,並且執行該指令,則使用者的私人資料安全就出現了危機。因為跨站偽造請求攻擊不如SQL injection 以及跨站腳本攻擊(XSS attacks) 熱門,目前少數對抗跨站偽造請求攻擊的方法僅能提供部分的保護,且通常需要大幅修改既有的架構,以及幾乎都是以網頁伺服器的角度著手。這代表使用者私密資料的安全程度必須受限於伺服器端,換句話說,倘若伺服器端若沒有針對跨站偽造請求攻擊做防範,則該網站使用者的私人資料安全就會處於危險的地步。這篇論文裡面,我們實作一個程式,架設於Linux作業系統上,這個程式主要針對某台代理伺服器的網頁封包,針對網頁封包做一些修改以及判別的機制,以達到預防跨站網頁偽造請求攻擊的目的,這是一個簡便的方法。一旦使用者使用含有此程式的代理人伺服器瀏覽網頁,便可以有效防範跨站請求偽造攻擊。
Subjects
Web security
Cross site request forgery
Client-side proxy
Session riding
Cross site reference forgery
Relative URL
Type
thesis
File(s)![Thumbnail Image]()
Loading...
Name
ntu-97-R95944025-1.pdf
Size
23.32 KB
Format
Adobe PDF
Checksum
(MD5):d537889ef76031ac8802e148326d47de