期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

CSRF新型利用及防范技术研究 被引量:6

New Utilization Way of CSRF Vulnerability and Preventive Technology
原文传递
导出
摘要 跨站点请求伪造(CSRF)是一种有效的针对网站的恶意利用技术,它可以强制已经登录目标网站的受害者在不知情的情况下,向目标网站发送一系列有利于攻击者的预认证请求。相比跨站点攻击(XSS),CSRF更具有攻击性,同时CSRF也十分难以防御。文中对CSRF的一些基本利用技术和新型利用技术进行了研究,同时着重分析了一种基于劫持会话的新型CSRF利用方案,这种新方案能将远程浏览器会话传送回本地,最后给出了针对各类CSRF利用的防御方法。 CSRF (cross-site request forgery) is a powerful program for malicious use of the website. It can force the victim already logged in the target site to send a series of pre-certificated requests conducive to the attacker. Compared with XSS, CSRF is more aggressive and very difficult to defense. This article describes some new types of CSRF, and gives the defense program. Meanwhile, it analyzes the new utilization way of CSRF based on session hijacking, and this program can send remote browser session back to the local.
作者 季凡 方勇 蒲伟 周妍
机构地区 四川大学电子信息学院
出处 《信息安全与通信保密》 2013年第3期75-76,79,共3页 Information Security and Communications Privacy
关键词 新型跨站点请求伪造 劫持会话 恶意代码 网络安全 new CSRF hijack sessions malicious code network security
分类号 TP393.08 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献8

二级参考文献24

  • 1王志军,孙月霞,张素庆,王文杰.基于Web开发的几种服务器端脚本语言的分析与比较[J].计算机应用研究,2006,23(3):14-16. 被引量:13
  • 2欧阳无敌@.渗透方法论之脚本篇[J].黑客防线,2007(7):33-35. 被引量:2
  • 3国家互联网应急中心.CNCERT/CC2008年上半年网络安全工作报告[EB/OL].[2009-05-04].http://www.cert.org.cn/UserFiles/File/CISR2008fh.pdf1.pdf. 被引量:1
  • 4HTTPOnly-OWASP. HTTPOnly[EB/OL]. (2009-08-15). [2009-08-15]. http://www. owasp. org/index. php/HTTPOnly#Browsers_ Supportin g_ HTTPOnly. 被引量:1
  • 5RSNAKE. XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion [EB/OL]. (2009-08-15)[2009-08-15]. http://ha. ckers. org/xss. html. 被引量:1
  • 6NEXUS. Applying XSS to Phishing Attacks [EB/OL]. (2007-05-03) [2009-08-15]. http://www. xssed. com/article/5/Paper_ Applying _XSS _to _Phishing_Attacks/. 被引量:1
  • 7TIWARI S, BANSAL R, BANSAL D. Optimized Client Side Solution for Cross Site Scripting[J]. Networks, 2008(16):1. 被引量:1
  • 8HARTLEY D. Secure Ecommerce Web Application Design Principles Beyond PCI DSS[J].Computer Fraud & Security, 2009(06):13-17. 被引量:1
  • 9GOLLMANND. Securing Web Applications[J]. Information Security Technical Report, 2008(13):1-9. 被引量:1
  • 10Forte D. Anatomy of a Phishing Attack: A High-level Overview[J]. Network Security, 2009(04):17-19. 被引量:1

共引文献27

同被引文献16

引证文献6

二级引证文献16

信息安全与通信保密
2013年 第3期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部