HTML5技術(shù)憑借其新的功能和特性，在豐富了Web應(yīng)用的同時，也存在諸多漏洞。雖然隨著各種Web防御工具的開發(fā)和安全防范技術(shù)的提高，減少了諸如SQL注入、跨站腳本（XSS）等Web應(yīng)用程序的漏洞。然而，日前一些竊取和利用用戶存儲在瀏覽器中的會話等敏感信息的攻擊仍在不斷的涌現(xiàn)，CSRF攻擊就是其中一種重要的攻擊方式，它被列為基于HTML5的Web應(yīng)用的前十大攻擊方式之一�？墒牵壳癢eb開發(fā)人員和用戶對CSRF漏洞的重視程度并不夠，由此導致在基于HTML5的Web中存在較大的安全風險。鑒于此，本文將從基于HTML5的Web存在的安全問題入手，對基于HTML5的CSRF攻擊的產(chǎn)生原因、攻擊過程進行深入分析，在此基礎(chǔ)上提出針對基于HTML5的CSRF攻擊的檢測手段和防御措施，以期為從事HTML5開發(fā)和利用的人員提供一些參考。本文的主要內(nèi)容有： 1、深入考察了目前Web中所采用的一些安全策略存在的缺陷，主要包括同源策略、跨域資源共享以及Cookie安全策略等，分析了這些安全策略所存在的漏洞和引起CSRF攻擊的原因。 2．通過搭建HTML5環(huán)境，驗證攻擊者是如何利用HTML5中的CSRF漏洞來實...

【文章頁數(shù)】：72 頁

【學位級別】：碩士

【文章目錄】：
摘要
ABSTRACT
第一章 緒論
    1.1 研究背景
    1.2 本文主要工作
    1.3 本文的結(jié)構(gòu)安排
第二章 HTML5 相關(guān)概念及 CSRF 攻擊的基本原理
    2.1 HTML5 的發(fā)展歷程
    2.2 HTML5 的新特性及應(yīng)用
    2.3 HTML5 面臨的主要安全威脅
        2.3.1 點擊劫持和網(wǎng)絡(luò)釣魚
        2.3.2 CSRF 攻擊
        2.3.3 從本地存儲中竊取信息
        2.3.4 地理定位暴露用戶的位置
        2.3.5 利用 WebSockets 攻擊
        2.3.6 HTML5 的跨源請求存在漏洞
        2.3.7 HTML5 僵尸網(wǎng)絡(luò)
    2.4 CSRF 攻擊的基本原理
    2.5 本章小結(jié)
第三章 基于 HTML5 的 WEB 中存在 CSRF 漏洞的原因分析
    3.1 同源策略
    3.2 跨源資源共享
    3.3 COOKIE 安全策略
    3.4 P3P 頭策略
    3.5 本章小結(jié)
第四章 基于 HTML5 的 CSRF 攻擊的實現(xiàn)與驗證
    4.1 基于 GET、POST 請求的 CSRF 攻擊
        4.1.1 GET 請求發(fā)起的 CSRF 攻擊
        4.1.2 POST 請求發(fā)起的 CSRF 攻擊
    4.2 基于 CORS 的 CSRF 攻擊
        4.2.1 刪除論壇中的記錄
        4.2.2 論壇中添加新記錄
    4.3 CSRF 蠕蟲
    4.4 本章小結(jié)
第五章 基于 HTML5 的 CSRF 攻擊的檢測與防御
    5.1 CSRF 漏洞檢測
        5.1.1 運用 Rational AppScan 檢測 CSRF
        5.1.2 CSRF 漏洞的精確檢測
    5.2 基于 HTML5 的 CSRF 的防御
        5.2.1 驗證碼驗證
        5.2.2 驗證 HTTP Referer 字段
        5.2.3 請求中添加 Token
        5.2.4 在 HTTP 頭中自定義屬性并驗證
    5.3 本章小結(jié)
第六章 結(jié)束語
    6.1 總結(jié)
    6.2 展望
致謝
參考文獻



本文編號：3943346