請用此 Handle URI 來引用此文件:
http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/37737
標題: | 跨站偽造請求攻擊之客戶端方法改進 Enhanced Client-Side Protection for Cross-site Request Forgeries |
作者: | Shih-Yu Chang 張詩郁 |
指導教授: | 呂育道(Yuh-Dauh Lyuu) |
關鍵字: | 網頁安全,跨站攻擊,跨站腳本攻擊,網頁相對路徑,網頁絕對路徑,代理伺服器,跨站偽造請求攻擊, Web security,Cross site request forgery,Client-side proxy,Session riding,Cross site reference forgery,Relative URL, |
出版年 : | 2008 |
學位: | 碩士 |
摘要: | 跨站偽造請求Cross site request forgery (CSRF 或 XSRF)又稱作session riding,名列OWASP於2007年所公佈的年度十大web安全威脅之內,是一個極需要被重視與解決的威脅。跨站偽造請求攻擊是一種利用使用者在信任網站登入認證後以及尚未登出前,誘使受害使用者開啟一個惡意網頁,此惡意網頁會導使用者向信任網站發出非使用者自願且惡意的HTTP請求 (例如:發表文章、寄發信件、甚至是修改使用者的密碼)。如果該信任網站並沒有主動對於跨站偽造請求攻擊作驗證辨識,則該網站會自動認為這個HTTP請求是合法由使用者發出,並且執行該指令,則使用者的私人資料安全就出現了危機。
因為跨站偽造請求攻擊不如SQL injection 以及跨站腳本攻擊(XSS attacks) 熱門,目前少數對抗跨站偽造請求攻擊的方法僅能提供部分的保護,且通常需要大幅修改既有的架構,以及幾乎都是以網頁伺服器的角度著手。這代表使用者私密資料的安全程度必須受限於伺服器端,換句話說,倘若伺服器端若沒有針對跨站偽造請求攻擊做防範,則該網站使用者的私人資料安全就會處於危險的地步。 在這篇論文裡面,我們實作一個程式,架設於Linux作業系統上,這個程式主要針對某台代理伺服器的網頁封包,針對網頁封包做一些修改以及判別的機制,以達到預防跨站網頁偽造請求攻擊的目的,這是一個簡便的方法。一旦使用者使用含有此程式的代理人伺服器瀏覽網頁,便可以有效防範跨站請求偽造攻擊。 |
URI: | http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/37737 |
全文授權: | 有償授權 |
顯示於系所單位: | 資訊網路與多媒體研究所 |
文件中的檔案:
檔案 | 大小 | 格式 | |
---|---|---|---|
ntu-97-1.pdf 目前未授權公開取用 | 312.14 kB | Adobe PDF |
系統中的文件,除了特別指名其著作權條款之外,均受到著作權保護,並且保留所有的權利。