-
题名采用图遍历算法的服务端请求伪造漏洞检测
被引量:5
- 1
-
-
作者
印鸿吉
陈伟
-
机构
南京邮电大学计算机学院
-
出处
《计算机工程与应用》
CSCD
北大核心
2020年第19期114-119,共6页
-
基金
国家自然科学基金青年基金(No.61602258)。
-
文摘
针对基于PHP语言开发的Web应用系统,提出了一种基于图遍历算法的服务端请求伪造漏洞检测和利用方法。通过构建抽象语法树,获取每个文件的数据流信息,进而利用数据流中的传递依赖关系构造全局的代码属性图,使用图遍历算法对生成的代码属性图进行污点分析,得到污点变量的代码传递依赖路径图,最后使用约束求解的方法对路径图中的经过函数信息进行漏洞检测并生成可利用的攻击向量。实验结果表明,这种检测方式相较于传统的静态审计方法能够很好地发现服务端请求伪造漏洞,并能够自动化生成可绕过的攻击向量。
-
关键词
抽象语法树
代码属性图
污点分析
服务端请求伪造
约束求解
-
Keywords
abstract syntax tree
code property graph
taint analysis
server side request forgery(ssrf)
constraint solving
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名浅析CSRF攻击方式及防御技术研究
被引量:1
- 2
-
-
作者
孙丹
-
机构
江西省计算技术研究所
-
出处
《科技广场》
2016年第7期78-83,共6页
-
文摘
跨站伪造请求攻击CSRF(Cross-Site Request Forgery)是Web应用攻击中常见的一种攻击方式,通过伪造用户请求来欺骗Web服务器,达到冒充用户身份进行恶意操作的目的。本文描述了CSRF攻击原理及常见的CSRF利用方式,同时着重分析了基于多步场景及绕过Token限制的两种CSRF利用方式,最后针对这两种CSRF利用提出了相应的防御方法。
-
关键词
跨站伪造请求攻击
CSRF
WEB服务器
多步场景
TOKEN
-
Keywords
Cross-Site request forgery
CSRF
Web server
Multi-Step Scene
Token
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于浏览器的跨站攻击防御系统
- 3
-
-
作者
刘昆
何文婷
何博远
-
机构
四川大学软件学院
四川大学计算机学院
-
出处
《现代计算机(中旬刊)》
2011年第7期43-45,共3页
-
文摘
提出一种基于客户端,即用户浏览器的防御跨站攻击的思路,首先在用户浏览器编写插件拦截所有的HTTP请求,然后通过分析判断出该请求是不是跨站请求,再由独立的规则服务器向浏览器插件分发规则,借助排除其中允许的跨站请求,那么剩下的跨站请求即可以认为是恶意的、不被允许的跨站伪造请求,然后弹出对话框向用户告警,拦截该HTTP请求。
-
关键词
跨站请求伪造攻击
防御系统
规则服务器
浏览器插件
-
Keywords
Cross-Site request forgery
Defensive System
Rule server
BHO(Browser Helper Objects)
-
分类号
TP393.092
[自动化与计算机技术—计算机应用技术]
-
