跳到主要內容

臺灣博碩士論文加值系統

(18.97.9.171) 您好!臺灣時間:2024/12/09 07:58
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

我願授權國圖
: 
twitterline
研究生:張詩郁
研究生(外文):Shih-Yu Chang
論文名稱:跨站偽造請求攻擊之客戶端方法改進
論文名稱(外文):Enhanced Client-Side Protection for Cross-site Request Forgeries
指導教授:呂育道呂育道引用關係
指導教授(外文):Yuh-Dauh Lyuu
學位類別:碩士
校院名稱:國立臺灣大學
系所名稱:資訊網路與多媒體研究所
學門:電算機學門
學類:軟體發展學類
論文種類:學術論文
論文出版年:2008
畢業學年度:96
語文別:中文
論文頁數:31
中文關鍵詞:網頁安全跨站攻擊跨站腳本攻擊網頁相對路徑網頁絕對路徑代理伺服器跨站偽造請求攻擊
外文關鍵詞:Web securityCross site request forgeryClient-side proxySession ridingCross site reference forgeryRelative URL
相關次數:
  • 被引用被引用:0
  • 點閱點閱:428
  • 評分評分:
  • 下載下載:0
  • 收藏至我的研究室書目清單書目收藏:0
跨站偽造請求Cross site request forgery (CSRF 或 XSRF)又稱作session riding,名列OWASP於2007年所公佈的年度十大web安全威脅之內,是一個極需要被重視與解決的威脅。跨站偽造請求攻擊是一種利用使用者在信任網站登入認證後以及尚未登出前,誘使受害使用者開啟一個惡意網頁,此惡意網頁會導使用者向信任網站發出非使用者自願且惡意的HTTP請求 (例如:發表文章、寄發信件、甚至是修改使用者的密碼)。如果該信任網站並沒有主動對於跨站偽造請求攻擊作驗證辨識,則該網站會自動認為這個HTTP請求是合法由使用者發出,並且執行該指令,則使用者的私人資料安全就出現了危機。
因為跨站偽造請求攻擊不如SQL injection 以及跨站腳本攻擊(XSS attacks) 熱門,目前少數對抗跨站偽造請求攻擊的方法僅能提供部分的保護,且通常需要大幅修改既有的架構,以及幾乎都是以網頁伺服器的角度著手。這代表使用者私密資料的安全程度必須受限於伺服器端,換句話說,倘若伺服器端若沒有針對跨站偽造請求攻擊做防範,則該網站使用者的私人資料安全就會處於危險的地步。
在這篇論文裡面,我們實作一個程式,架設於Linux作業系統上,這個程式主要針對某台代理伺服器的網頁封包,針對網頁封包做一些修改以及判別的機制,以達到預防跨站網頁偽造請求攻擊的目的,這是一個簡便的方法。一旦使用者使用含有此程式的代理人伺服器瀏覽網頁,便可以有效防範跨站請求偽造攻擊。
口試委員審定書 i
誌謝 ii
中文摘要 iii
英文摘要 iv
第一章 緒論 1
1.1 動機 1
1.2 背景 2
1.3 簡介 4
第二章 相關研究 6
2.1 跨站請求偽造攻擊 6
2.2 相關解決方案 8
2.2.1 基本解決方式 8
2.2.2 Proxy-based 解決方案 10
2.3 認證方式 14
2.3.1 IP authentication 14
2.3.2 SSL (Secure Socket Layer) authentication 14
2.3.3 cookie authentication 14
2.3.4 session authentication 14
2.3.5 HTTP Authentication 15
第三章 客戶端解決方法改進 16
3.1 代理人伺服器 16
3.2 設計 17
3.2.1 加入檢查碼的時機 18
3.2.2 檢查碼的對應機制 19
3.2.3 檢查碼表格的擴充 19
3.2.4 程式運作地點 21
3.2.5 發現疑似跨站偽造請求攻擊的處理 22
3.3 程式架構 23
3.4 網頁原始碼之相對路徑以及絕對路徑的比例 24
第四章 實驗 26
4.1 功能測試 26
4.2 效能測試 26
4.2.1 相對路徑位址與絕對路徑位址的比例 26
4.2.2 系統效能 27
4.2.3 效能分析 28
第五章 總結 29
5.1 實驗結論 29
5.2 未來工作 29
5.3 討論總結 29
第六章 參考文獻 30
[1] Robert Auger. “The Cross-Site Request Forgery (CSRF/XSRF) FAQ.”
http://www.cgisecurity.com/articles/csrf-faq.shtml, 2005.
[2] J. Burns. “Cross Site Reference Forgery: An introduction to a Common Web Application Weakness.” Information Security Partners, LLC, 2005.
[3] Dieter Gollmann. “Securing Web applications.” Hamburg University of Technology, Hamburg 21071, Germany, 2008.
[4] Renaud Feil, Louis Nyffenegger. “Evolution of cross site request forgery attacks.” Proceedings of the Second IEEE Conference on Security and Communication, 2007.
[5] Martin Johns. “On XSRF and Why You Should Care.” Talk at the PacSec 2006 Conference, 2006.
[6] M Johns and J Winter. “RequestRodeo: Client Side Protection against Session Riding.” Proceedings of the OWASP Europe 2006 Conference, Report CW448, 2006, pp. 5–17.
http://www.informatik.uni-hamburg.de/SVS/personnel/martin/psj06johns-e.pdf.
[7] Nenad Jovanovic, Engin Kirda, and Christopher Kruegel. “Preventing Cross Site Request Forgery Attacks.” Proceedings of the Second IEEE Conference on Security and Privacy in Communications Networks (SecureComm), 2006.
[8] Chris K. Karlof, Umesh Shankar, Doug Tygar and David Wagner. “Locked Cookies: Web authentication security against phishing, pharming, and active Attacks.” Technical Report No. UCB/EECS-2007-25, 2007.
[9] Mehran Nadjarbashi-Noghani and Ali A. Ghorbani. “Improving the Referrer-
Based Web Log Session Reconstruction.” IEEE Proceedings of the Second Annual Conference on Communication Networks and Services Research, 2004.
[10] Jesse Ruderman. “The Same Origin Policy.”
http://www.mozilla.org/projects/security/components/same-origin.html, 2001.
[11] Thomas Schreiber. “Session Riding – A Widespread Vulnerability in Web Applications.” Whitepaper, SecureNet GmbH,
http://www.securenet.de/papers/SessionRiding.pdf, 2005.
[12] Dinh Nguyen Tran, Wei Tsang Ooi, and Y.C. Tay. “SAX: A Tool for Studying Congestion-induced Surfer Behavior.” National University of Singapore, 2006.
[13] “GMail CSRF/XSRF (Cross Site Request Forgery) flaw fixed.” 2007,
http://www.oreillynet.com/xml/blog/2007/01/gmail_exploit_contact_list_hij.html.
[14] “OWASP’s top 10 threat”. http://www.owasp.org/index.php/Top_10_2007, 2007.
[15] “PHP Manual” http://www.php.net/manual/en.
[16] RFC 2616. “Security Considerations.”
http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html, 1999.
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top