欢迎来到天天文库
浏览记录
ID:35181894
大小:6.04 MB
页数:78页
时间:2019-03-21
《基于链接分析的csrf检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、■…■'■■'刊片..龄片.■"'.'.'‘'i;r.'古‘.'I’',41UNIV巨RSITYOPEL巨CTRONICSCI巨NCEANDTECHNOLOGYOFCHINA硕±学位论文MASTERTHESIS一吹嚷吵^.?:V'*—,论文题目基于链接分析的〔SRF检测技术妍究■?学科专业计算祝应用技术学号201321060337作者姓名吴安彬指营教师张小松教授t,:I独剑性声明本人声明所呈交的学位论文是本人在导师指导下进行
2、的研究工作及取得的研究成果。据我所知,除了文中特别加标注和致谢的地方夕h论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同王作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。作者签名:斗為诚日期:年r月日^y论文使用授权本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定,有权保留并向国家有关部口或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可yx将学位论文的全部或部分内容编入有关数据库进行检索,可レッ采用影印、缩印
3、或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后应遵守此规定)、]作者签名:——_导师答名日期:灰?^^年5月/日/分类号密级UDC注1CSRF(题名和副题名)(作者姓名)指导教师(姓名、职称、单位名称)申请学位级别学科专业提交论文日期2016.03.28论文答辩日期2016.05.17学位授予单位和日期201606答辩委员会主席评阅人注1:注明《国际十进分类法UDC》的类号。ResearchonCross-SiteRequestForgeryAttackDetectionBasedonLinkAnalyseAMasterThesisSubmitt
4、edtoUniversityofElectronicScienceandTechnologyofChinaMajor:ComputerApplicationTechnologyAuthor:AnbinWuSupervisor:Prof.XiaosongZhangSchool:SchoolofComputerScience&Engineering摘要摘要随着科技的发展,互联网已成为人们生活、工作、学习的重要途径,很多网站、应用、服务都是以Web形式提供给用户,但是互联网的安全形势日益严峻,Web安全漏洞中CSRF漏洞较为容易被攻击者所利用并且对用户利益产生影响,如何有效的检测CSRF攻击也
5、成为业内的热点。本文在针对CSRF攻击检测,在传统的检测方法基础上,提出了链接静态特征分析与链接构造与触发方式分析的两方面检测方法,并设计实现了相应的检测系统原型。本文的主要工作包括:第一,基于链接分析的CSRF检测技术研究。首先,本文对CSRF攻击相关的HTTP协议和浏览器安全策略做了介绍,并分析了同源策略与Cookie安全策略,指出了其在检测CSRF攻击方面存在的不足。接下来,本文对CSRF攻击的恶意代码进行了深入分析研究,对其恶意代码所依赖的静态跨域标签、Javascript加密与隐藏技术进行了总结,发现CSRF攻击的特征。最后,在上述两点研究的基础上,结合当前已存在的检测技术,本
6、文提出了基于链接静态特征分析的检测方法、基于链接构造与触发方式分析检测方法。通过这两种方式结合,对CSRF静态与动态攻击实施检测,提取页面静态主动跨域标签的加载源链接的特征,进行功能性链接识别与标签加载源类型匹配检测;在用户对页面进行操作的同时,劫持页面关键函数与操作事件,对事件和函数进行关联性分析,并对函数发送链接做功能性链接识别与主动请求方式发送到服务器进行状态码检测。第二,基于链接分析的CSRF检测系统原型的设计、实现与测试。基于上述检测方法,本文对检测系统原型进行了设计,详细阐述了设计目标与设计方案,并对其进行了实现与测试。该原型能够自动全面地对网站中存在的CSRF攻击进行检测,
7、可同时对页面中静态CSRF攻击与动态CSRF攻击做出检测,大大减少了CSRF攻击分析者的工作量。关键词:CSRF,链接分析,链接构造与触发,恶意代码,特征检测IABSTRACTABSTRACTWiththedevelopmentofscienceandtechnology,theInternethasbecomeanimportantwaypeoplelive,work,learn,andalotofsites,applicatio
此文档下载收益归作者所有
