浅析电子商务网站对CSRF攻击的防范 被引量：1

1

作者 陈慧宁 赵克宝 《中国商贸》 北大核心 2010年第25期129-130,共2页

在互联网飞速发展的今天,网上交易和在线电子支付成为一种新型的商业运营模式——电子商务,作为消费者,交易安全是首要问题。本文介绍了电子商务网站对安全性的要求和防范的重要性,应该如何防范CSRF攻击,以构成一个安全的电子商务系统。

关键词 电子商务网站 csrf攻击 COOKIE JSON

在线阅读 下载PDF 职称材料

基于服务器端CSRF防御模块的设计与实现 被引量：2

2

作者 张悦 杨学全 《信息技术与信息化》 2014年第7期45-46,共2页

随着网络信息技术的发展,网络安全漏洞的问题也在逐渐的暴露。CSRF是一种广泛存在于互联网上的网络攻击模式,它针对网页安全漏洞来迫使用户点击非法链接,并发送恶意站点访问请求,导致服务器端口被篡改。同时,CSRF攻击者还可能冒用用户... 随着网络信息技术的发展,网络安全漏洞的问题也在逐渐的暴露。CSRF是一种广泛存在于互联网上的网络攻击模式,它针对网页安全漏洞来迫使用户点击非法链接,并发送恶意站点访问请求,导致服务器端口被篡改。同时,CSRF攻击者还可能冒用用户身份来欺骗服务器端进行非法操作,给用户造成不同程度的损失。本文将对CSRF攻击原理进行简要阐述,并探讨基于服务器端CSRF防御模块的设计与实现,以期更好地对UDICSRF攻击进行防御。 展开更多

关键词 WEB安全 csrf攻击 过滤器

在线阅读 下载PDF 职称材料

浅谈CSRF

3

作者 周安辉 《内江职业技术学院学报》 2009年第4期26-30,共5页

CSRF表示一系列的网页应用程序的攻击，它是利用内含的程序。这些攻击被称作“沉睡的巨人”，由于网页的脆弱，许多互联网网站都不能保护其免受攻击。在本文中，描述了CSRF的脆弱，介绍了保护网站免受CSRF攻击的方法，希望网页开发者能... CSRF表示一系列的网页应用程序的攻击，它是利用内含的程序。这些攻击被称作“沉睡的巨人”，由于网页的脆弱，许多互联网网站都不能保护其免受攻击。在本文中，描述了CSRF的脆弱，介绍了保护网站免受CSRF攻击的方法，希望网页开发者能够留意这些攻击。 展开更多

关键词 攻击 脆弱 csrf

在线阅读 下载PDF 职称材料

浅析CSRF攻击方式及防御技术研究 被引量：1

4

作者 孙丹 《科技广场》 2016年第7期78-83,共6页

跨站伪造请求攻击CSRF(Cross-Site Request Forgery)是Web应用攻击中常见的一种攻击方式,通过伪造用户请求来欺骗Web服务器,达到冒充用户身份进行恶意操作的目的。本文描述了CSRF攻击原理及常见的CSRF利用方式,同时着重分析了基于多步... 跨站伪造请求攻击CSRF(Cross-Site Request Forgery)是Web应用攻击中常见的一种攻击方式,通过伪造用户请求来欺骗Web服务器,达到冒充用户身份进行恶意操作的目的。本文描述了CSRF攻击原理及常见的CSRF利用方式,同时着重分析了基于多步场景及绕过Token限制的两种CSRF利用方式,最后针对这两种CSRF利用提出了相应的防御方法。 展开更多

关键词 跨站伪造请求攻击 csrf WEB服务器 多步场景 TOKEN

在线阅读 下载PDF 职称材料

HTML5的CSRF攻击与防御技术研究

5

作者 李立 原建伟 《微型电脑应用》 2021年第10期36-38,共3页

通过建立Web服务器和HTML5环境来验证HTML5受到CSRF攻击全过程,并提出相应的CSRF漏洞检测和防御方式。在CSRF攻击验证和检测方面,通过构建攻击脚本验证CSRF攻击,并引入Rational AppScan进行CSRF漏洞检测;在CSRF攻击防御方面,提出利用验... 通过建立Web服务器和HTML5环境来验证HTML5受到CSRF攻击全过程,并提出相应的CSRF漏洞检测和防御方式。在CSRF攻击验证和检测方面,通过构建攻击脚本验证CSRF攻击,并引入Rational AppScan进行CSRF漏洞检测;在CSRF攻击防御方面,提出利用验证码验证、验证HTTP Referer字段、添加token方式进行CSRF防御。可以看出,尽管提出的CSRF防御方式在很大程度抵御大部分攻击,但实际应用过程中,需要结合相关情况选定合适的防御策略来降低CSRF的危害。 展开更多

关键词 csrf攻击 HTML5 WEB应用 漏洞检测

在线阅读 下载PDF 职称材料

基于服务器端CSRF防御研究

6

作者 徐淑芳 郭帆 游锦鑫 《无线互联科技》 2014年第3期166-167,共2页

跨站点请求伪造(CSRF)是一种对网站的恶意利用,它通过伪装来自受信用用户的请求利用受信任的网站,通过社会工程诱导受害者发送一些恶意请求。本文在阐述了CSRF的原理基础上,设计了一个基于服务器端CSRF防御模块,最后该方法与其他工具进... 跨站点请求伪造(CSRF)是一种对网站的恶意利用,它通过伪装来自受信用用户的请求利用受信任的网站,通过社会工程诱导受害者发送一些恶意请求。本文在阐述了CSRF的原理基础上,设计了一个基于服务器端CSRF防御模块,最后该方法与其他工具进行对比实验,结果表明,该方法可以更高效地防御CSRF攻击。 展开更多

关键词 WEB安全 csrf攻击 过滤器

在线阅读 下载PDF 职称材料

浅析CSRF攻击及对策 被引量：1

7

作者 陈兵 《计算机光盘软件与应用》 2010年第7期87-87,95,共2页

在互联网攻击技术不断“推陈出新”的今天，种种迹象表明CSRF攻击作为一种新兴的WEB攻击技术已经成极大的威胁了互联网安全，本文针对CSRF（Cross Site Request Forgery）跨站请求伪造攻击进行了简单的解析，揭示了CSRF的攻击原理。并... 在互联网攻击技术不断“推陈出新”的今天，种种迹象表明CSRF攻击作为一种新兴的WEB攻击技术已经成极大的威胁了互联网安全，本文针对CSRF（Cross Site Request Forgery）跨站请求伪造攻击进行了简单的解析，揭示了CSRF的攻击原理。并结合现实情况提出了有针对性的解决方案。CSRF攻击是一种新兴的攻击技术，现在很多站点及IPS供应商都不具备针对这类攻击的防御能力，掌握对此类攻击的对策，对提高互联网安全性意义重大。 展开更多

关键词 csrf 跨站请求伪造 COOKIES

在线阅读 下载PDF 职称材料

CSRF原理以及防护措施 被引量：1

8

作者 杨家 《电脑与电信》 2016年第3期81-83,共3页

CSRF依赖HTTP请求无状态的特性,借助带有强制被攻击者浏览器提交请求的HTML,从而达到攻击的目的。CSRF很难被捕捉,危害极大。本文将深入研究CSRF的工作原理以及有效的防护措施,努力把CSRF危害程度降到最低。

关键词 csrf 捕捉 欺骗 防护 攻击

在线阅读 下载PDF 职称材料

基于CSRF防御的智慧道路救援系统设计 被引量：1

9

作者 胡文生 《电脑知识与技术》 2023年第20期100-102,108,共4页

网络已经成为日常生活中不可或缺的一部分。然而不幸的是,随着人们对网络依赖程度的增加,攻击者通过对Web应用程序的攻击达到破坏系统的可用性、获取用户隐私数据或者转移用户账户资金等方式来获利。以往针对Web应用程序安全防御方式主... 网络已经成为日常生活中不可或缺的一部分。然而不幸的是,随着人们对网络依赖程度的增加,攻击者通过对Web应用程序的攻击达到破坏系统的可用性、获取用户隐私数据或者转移用户账户资金等方式来获利。以往针对Web应用程序安全防御方式主要集中在减轻跨站点脚本(XSS)和SQL注入攻击,相比之下,跨站点请求伪造(CSRF)攻击没有受到太多关注,但是CSRF攻击的危害性特别巨大,需要引起网络从业者的高度关注。文章通过对CSRF攻击的基本概念、攻击原理、防御措施的理解,论述基于LBS(Location Based Services)的智慧道路救援系统设计过程中防范CSRF攻击所采取的具体措施。 展开更多

关键词 csrf 网络攻击 智慧救援 攻击防御 LBS

在线阅读 下载PDF 职称材料

浅析CSRF漏洞检测、利用及防范 被引量：7

10

作者 严亚萍 胡勇 《通信技术》 2017年第3期558-564,共7页

CSRF可在源站发起攻击,也可在引导用户访问其他危险网站的同时发起攻击,是一种严重的Web漏洞。实际中,很多Web应用程序都因存在CSRF漏洞而受到攻击。CSRF的攻击方式很多,对网站的危害也很大。通过CSRF漏洞,攻击者会看到用户信息,甚至修... CSRF可在源站发起攻击,也可在引导用户访问其他危险网站的同时发起攻击,是一种严重的Web漏洞。实际中,很多Web应用程序都因存在CSRF漏洞而受到攻击。CSRF的攻击方式很多,对网站的危害也很大。通过CSRF漏洞,攻击者会看到用户信息,甚至修改用户信息;攻击者通过浏览用户之前浏览过的页面,并模仿用户进行一系列危险操作,获得用户的邮箱账号、家庭住址、甚至是银行卡的后4位等重要信息。因此,分析CSRF的形成原理,讲述其漏洞检测方法,并针对CSRF攻击的方式,提出相应的防范措施。 展开更多

关键词 跨站请求伪造 WEB应用程序 检测方法 防范措施

在线阅读 下载PDF 职称材料

一种基于前端JS的CSRF防护设计

11

作者 郑苏宁 《电脑知识与技术》 2021年第24期41-42,47,共3页

CSRF(Cross-site request forgery)跨站请求伪造,是一种非常流行的Web攻击方法。目前防护CSRF的解决方法,在通用性和有效性方面均存在一些问题,无法达到很好的防护效果。为此,该文提出一种基于前端JS的CSRF防护设计。客户端通过执行JS(j... CSRF(Cross-site request forgery)跨站请求伪造,是一种非常流行的Web攻击方法。目前防护CSRF的解决方法,在通用性和有效性方面均存在一些问题,无法达到很好的防护效果。为此,该文提出一种基于前端JS的CSRF防护设计。客户端通过执行JS(javascript)文件,可以为POST请求添加和刷新cookie令牌或者url令牌,使得攻击者的恶意请求无法刷新令牌最终攻击失败,可将该设计应用到Web应用防火墙中,更有效地防御CSRF攻击。 展开更多

关键词 跨站请求伪造 前端JS 令牌 WEB应用防火墙

在线阅读 下载PDF 职称材料

一种基于Apache的CSRF防御模块的实现 被引量：1

12

作者 王马龙 刘健 《网络安全技术与应用》 2017年第3期55-57,共3页

跨站请求伪造(CSRF)漏洞的存在十分广泛,而且是开放式web应用安全项目(OWASP)统计的Top 10 Web攻击列表中最具威胁的漏洞之一。目前最具代表性的两种CSRF防御工具是CSRFGuard[2]和jCSRF[3]。针对CSRFGuard会将JS动态创建的动态HTTP请求... 跨站请求伪造(CSRF)漏洞的存在十分广泛,而且是开放式web应用安全项目(OWASP)统计的Top 10 Web攻击列表中最具威胁的漏洞之一。目前最具代表性的两种CSRF防御工具是CSRFGuard[2]和jCSRF[3]。针对CSRFGuard会将JS动态创建的动态HTTP请求误认为是CSRF攻击;jCSRF以代理模式部署,会增大web服务器的响应时间这两大问题,本文通过重写XMLHttp Request对象onsend的方法,向HTTP头注入CSRF防御Token,基于Apache web服务器实现了一个CSRF防御模块mod_anticsrf,去除了代理的网络通信开销。实验结果表明,mod_anticsrf支持动态HTTP请求,且几乎不影响web服务器的响应时间。 展开更多

关键词 csrf APACHE 动态HTTP请求 性能

原文传递

Django框架CSRF防御实现机制浅析 被引量：4

13

作者 赵路 《网络安全技术与应用》 2021年第4期18-19,共2页

随着Web安全技术的发展,各类Web后端开发框架都内置了CSRF防御功能,Django框架主要是通过中间件的方式实现的。本文概述了CSRF攻击的原理和防御方法,分析了Djano框架的CSRF防御中间件的实现原理和防御过程,让大家从原理和架构设计上了解... 随着Web安全技术的发展,各类Web后端开发框架都内置了CSRF防御功能,Django框架主要是通过中间件的方式实现的。本文概述了CSRF攻击的原理和防御方法,分析了Djano框架的CSRF防御中间件的实现原理和防御过程,让大家从原理和架构设计上了解CSRF防御机制。 展开更多

关键词 csrf攻击 DJANGO 防御机制 中间件

原文传递

使用跨站伪造请求(CSRF)来攻击网络设备 被引量：1

14

作者 钱伟俊 《信息安全与通信保密》 2014年第8期115-117,共3页

文中详细阐述了攻击者利用跨站伪造请求(CSRF)的方法来远程对网络设备开展攻击渗透的具体方法与步骤,阐明通过用户浏览器提交相关命令的操作过程,相关漏洞攻击的例子可有利于建立安全研究和安全审计的概念。

关键词 csrf 浏览器安全 网络设备攻击

原文传递

CSRF新型利用及防范技术研究 被引量：6

15

作者 季凡 方勇 +1 位作者 蒲伟 周妍 《信息安全与通信保密》 2013年第3期75-76,79,共3页

跨站点请求伪造(CSRF)是一种有效的针对网站的恶意利用技术,它可以强制已经登录目标网站的受害者在不知情的情况下,向目标网站发送一系列有利于攻击者的预认证请求。相比跨站点攻击(XSS),CSRF更具有攻击性,同时CSRF也十分难以防御。文中... 跨站点请求伪造(CSRF)是一种有效的针对网站的恶意利用技术,它可以强制已经登录目标网站的受害者在不知情的情况下,向目标网站发送一系列有利于攻击者的预认证请求。相比跨站点攻击(XSS),CSRF更具有攻击性,同时CSRF也十分难以防御。文中对CSRF的一些基本利用技术和新型利用技术进行了研究,同时着重分析了一种基于劫持会话的新型CSRF利用方案,这种新方案能将远程浏览器会话传送回本地,最后给出了针对各类CSRF利用的防御方法。 展开更多

关键词 新型跨站点请求伪造 劫持会话 恶意代码 网络安全

原文传递

Web应用程序客户端恶意代码技术研究与进展 被引量：9

16

作者 黄玮 崔宝江 胡正名 《电信科学》 北大核心 2009年第2期72-79,共8页

随着Web应用程序特别是Web2.0应用的日益广泛,针对Web应用程序的恶意代码开始大肆传播,成为网络安全的重大威胁。本文首先介绍了目前Web应用程序面临的威胁状况,然后讨论了Web应用程序客户端恶意代码技术以及Web浏览器的漏洞研究和利用... 随着Web应用程序特别是Web2.0应用的日益广泛,针对Web应用程序的恶意代码开始大肆传播,成为网络安全的重大威胁。本文首先介绍了目前Web应用程序面临的威胁状况,然后讨论了Web应用程序客户端恶意代码技术以及Web浏览器的漏洞研究和利用技术,最后对Web应用程序客户端恶意代码技术的发展趋势进行了展望,并给出了Web应用程序客户端安全的加固策略。 展开更多

关键词 Web应用程序安全 恶意代码 蠕虫 JavaScript恶意代码 XSS csrf Web浏览器安全

在线阅读 下载PDF 职称材料

基于HTML5的Web前端安全性研究 被引量：3

17

作者 李驰 李林 《软件导刊》 2016年第5期185-188,共4页

Web安全的重点正从服务器端转移到Web前端。伴随着HTML5新技术的兴起,Web前端的安全问题更为突出。对传统的Web前端安全问题XSS、CSRF、界面操作劫持进行了阐述,对由HTML5中的新标签属性、Web Workers、Web Storage、postMessage、CSS3... Web安全的重点正从服务器端转移到Web前端。伴随着HTML5新技术的兴起,Web前端的安全问题更为突出。对传统的Web前端安全问题XSS、CSRF、界面操作劫持进行了阐述,对由HTML5中的新标签属性、Web Workers、Web Storage、postMessage、CSS3等新技术所带来的安全问题进行了全面细致的分析,给出了一系列安全策略。 展开更多

关键词 Web前端 XSS csrf 界面操作劫持 HTML5

在线阅读 下载PDF 职称材料

预防跨站点假冒请求攻击 被引量：1

18

作者 周安辉 《计算机安全》 2010年第5期99-102,共4页

跨站点假冒请求(CSRF)是利用网页应用程序的隐式认证处理进行入侵的攻击。这些攻击也被称为基于网页漏洞的"沉睡的巨人",因为互联网上的许多网站不能抵御这类攻击,并且网页开发者和安全社区一直严重忽视它们。描述了三种基本... 跨站点假冒请求(CSRF)是利用网页应用程序的隐式认证处理进行入侵的攻击。这些攻击也被称为基于网页漏洞的"沉睡的巨人",因为互联网上的许多网站不能抵御这类攻击,并且网页开发者和安全社区一直严重忽视它们。描述了三种基本的CSRF,希望网页开发者注意这类攻击,并且介绍了一些能预防CSRF攻击的方法。 展开更多

关键词 攻击 漏洞 安全 会话管理 跨站点假冒请求(csrf)

在线阅读 下载PDF 职称材料

安全技术在计算机软件开发中的应用 被引量：1

19

作者 王雅峰 《电子技术与软件工程》 2018年第13期43-45,共3页

本文主要介绍了软件开发中经常遇到的Web安全问题,常见的攻击方式如:CSRF攻击,ddos攻击以及SQL注入等,在软件开发中应加强网站的防护意识,加强网站的安全性。

关键词 WEB安全 csrf攻击 DDOS攻击 SQL注入

在线阅读 下载PDF 职称材料

Web安全威胁与防御技术研究 被引量：1

20

作者 王瑜 李卓 姚微娜 《长春理工大学学报（自然科学版）》 2017年第2期135-139,共5页

Web应用广泛普及的同时,也带来了大量的安全威胁。本文分析了常见Web攻击:跨站脚本攻击、Flash攻击、跨站伪造请求攻击、APT攻击、DDoS攻击,从安全威胁的产生原因、常见攻击手段出发,总结了攻击者经常利用的Web安全漏洞,并提出了相应的... Web应用广泛普及的同时,也带来了大量的安全威胁。本文分析了常见Web攻击:跨站脚本攻击、Flash攻击、跨站伪造请求攻击、APT攻击、DDoS攻击,从安全威胁的产生原因、常见攻击手段出发,总结了攻击者经常利用的Web安全漏洞,并提出了相应的防御措施和方法,对提高Web安全具有重要的参考价值。 展开更多

关键词 WEB安全 跨站脚本攻击 跨站伪造请求攻击 APT DDOS

在线阅读 下载PDF 职称材料