基于可信组件的同站请求伪造防御方法
同站请求伪造(SSRF)是指攻击者将攻击载体植入目标网站页面后,仿冒用户向该网站的服务器端发起敏感操作请求的一种攻击方式.同站请求伪造能够成功的关键在于服务器端无法区分敏感操作请求是由用户真实交互所发出,还是同源页面中的恶意攻击载体仿冒用户发出.基于此,本文提出了基于可信组件的同站请求伪造防御方法.该方法在页面中引入可信组件,将用户交互保护在可信组件中,用户通过与可信组件交互来授权其发出敏感操作请求,服务器端仅响应可信组件发出的敏感操作请求.本文开发了SSRFDefender系统对该方法进行服务器端-客户端协同实现,并通过真实的SSRF攻击实验验证了该方法的有效性.
网站 同站请求伪造 安全防御 可信组件
张慧琳 丁羽 黎桐辛 韩心慧
北京大学计算机科学技术研究所,北京100080
国内会议
武汉
中文
1-8
2015-05-26(万方平台首次上网日期,不代表论文的发表时间)