基于随机化参数名的跨站请求伪造防御方法

doi:10.19678/j.issn.1000-3428.0048368

计算机工程 ›› 2018, Vol. 44 ›› Issue (11): 158-164. doi: 10.19678/j.issn.1000-3428.0048368

基于随机化参数名的跨站请求伪造防御方法

王应军,傅建明,姜百合

武汉大学计算机学院,武汉 430072

收稿日期:2017-08-16 出版日期:2018-11-15 发布日期:2018-11-15
作者简介:王应军(1993—),男,硕士研究生,主研方向为网络安全、Web安全;傅建明(通信作者),教授、博士;姜百合,博士研究生
基金资助:
国家自然科学基金(61373168)

Cross-site Request Forgery Defense Method Based on Randomization Parameter Name

WANG Yingjun,FU Jianming,JIANG Baihe

School of Computer,Wuhan University,Wuhan 430072,China

Received:2017-08-16 Online:2018-11-15 Published:2018-11-15

摘要/Abstract

摘要：

传统基于客户端的防御方法存在用户体验与兼容性差的问题,容易产生误报和漏报现象,不能有效地防御跨站请求伪造(CSRF)攻击。为此,提出一种对请求参数名随机化的防御方法。通过对网站的统一资源定位器地址中的参数名称,如Form表单中的参数名进行可逆加密,确保在一次会话交互过程中的所有请求的参数名都被随机化,防止攻击者获取参数名信息实施CSRF攻击。基于该方法设计并实现了开源PHP库,并部署在开源的PHP程序上。实验结果证明,与基于Token方法相比,该方法能够更有效地防御CSRF攻击。

关键词: Web安全, 跨站请求伪造攻击, 基于多样性安全, 参数名, 随机化

Abstract:

Traditional client-based defense methods have poor user experience,poor compatibility,prone to false positives and false negatives,and cannot effectively prevent Cross-site Request Forgery(CSRF) attacks.To this end,a defense method for randomizing request parameter names is proposed.By reversibly encrypting the parameter names in the Uniform Resource Locator(URL) address of the website,such as the parameter names in the Form,it is ensured that the parameter names of all the requests in a session interaction are randomized,preventing the attacker from obtaining the parameter name information and implementing a CSRF attack.Based on this method,an open source PHP library is designed and implemented,which is deployed in open source PHP programs.Experimental results show that compared with Token-based methods,this method can effectively defend against CSRF attacks.

Key words: Web security, Cross-site Request Forgery(CSRF) attack, diversity-based security, parameter name, randomization

中图分类号:

TP393

王应军,傅建明,姜百合. 基于随机化参数名的跨站请求伪造防御方法[J]. 计算机工程, 2018, 44(11): 158-164.

WANG Yingjun,FU Jianming,JIANG Baihe. Cross-site Request Forgery Defense Method Based on Randomization Parameter Name[J]. Computer Engineering, 2018, 44(11): 158-164.

http://www.ecice06.com/CN/Y2018/V44/I11/158

参考文献

［1］Category:OWASP top ten project-OWASP［EB/OL］.［2017-07-24］.https://www.owasp.org/index.php/Top10#OWASP_Top_10_for_2013.
［2］Vulnerabilitynote VU#571584-Google Gmail cross-site request forgery vulnerability［EB/OL］.［2017-06-24］.http://www.kb.cert.org/vuls/id/571584.
［3］分享一个jsonp劫持造成的新浪某社区CSRF蠕虫|离别歌［EB/OL］.［2017-07-24］.https://www.leavesongs.com/HTML/sina-jsonp-hijacking-csrf-worm.html.
［4］CSRF in Facebook/Dropbox［EB/OL］.［2017-07-24］.http://blog.intothesymmetry.com/2017/04/csrf-in-facebookdropbox-mallory-added.html.
［5］乌云搜索|搜索结果［EB/OL］.［2017-07-24］.http://cb.drops.wiki/search.php?kind=bugs&keywords=csrf.
［6］孙丹.浅析 CSRF 攻击方式及防御技术研究［J］.科技广场,2016(7):78-83.
［7］CALZAVARA S,TOLOMEI G,CASINI A,et al.A supervised learning approach to protect client authentication on the Web［J］.ACM Transactions on the Web,2015,9(3):15.
［8］CVE-2016-7401-Django CSRF防御绕过漏洞分析［EB/OL］.［2017-08-12］.http://bobao.360.cn/learning/detail/3065.html.
［9］Hacking Slack using postMessage and WebSocket-reconnct to steal your precious token［EB/OL］.［2017-08-12］.https://labs.detectify.com/2017/02/28/hacking-slack-using-postmessage-and-websocket-reco nnect-to-steal-your-precious-token/.
［10］DE RYCK P,DESMET L,HEYMAN T,et al.CsFire:transparent client-side mitigation of malicious cross-domain requests［C］//Proceedings of International Symposium on Engineering Secure Software and Systems.Berlin,Germany:Springer,2010:18-34.
［11］MAO Z,LI N,MOLLOY I.Defeating cross-site request forgery attacks with browser-enforced authenticity protection［C］//Proceedings of International Conference on Financial Cryptography and Data Security.Washington D.C.,USA:IEEE Press,2009:238-255.
［12］蔡亮,刘世贤.同源信用引用协议研究［J］.计算机工程,2010,36(12):184-186.
［13］BOYD S W,KEROMYTIS A D.SQLrand:preventing SQL injection attacks［C］//Proceedings of International Conference on Applied Cryptography and Network Security.Berlin,Germany:Springer,2004:292-302.
［14］李原,蒋华伟.基于指令集随机化的 SQL 注入防御技术研究［J］.计算机与数字工程,2009,37(1):96-99.
［15］黄俊,程绍银,蒋凡.基于指令集随机化的 XSS 检测和防御系统［J］.电子技术,2014 (4):8-11.
［16］VAN GUNDY M,CHEN H.Noncespaces:using randomization to enforce information flow tracking and thwart cross-site scripting attacks［C］//Proceedings of NDSS’09.Washington D.C.,USA:IEEE Press,2009:125-136.
［17］CSRF-protection:randomization defensive against CSRF attack［EB/OL］.［2017-05-21］.https://github.com/spoock1024/CSRF-Protection.
［18］CZESKIS A,MOSHCHUK A,KOHNO T,et al.Lightweight server support for browser-based CSRF protection［C］//Proceedings of the 22nd International Conference on World Wide Web.New York,USA:ACM Press,2013:273-284.
［19］梁晟,李明树,梁金能,等.Web应用程序运行响应时间的实验研究［J］.计算机研究与发展,2003,40(7):1076-1080.

[1]	丛眸, 张平, 王宁. 针对KASLR的Linux计时攻击方法[J]. 计算机工程, 2021, 47(8): 177-182.
[2]	谷家腾,辛阳. 基于动态分析的XSS漏洞检测模型[J]. 计算机工程, 2018, 44(10): 34-41.
[3]	邹振宇,郑烇,王嵩,杨坚. 基于HDFS的云存储系统小文件优化方案[J]. 计算机工程, 2016, 42(3): 34-40,46.
[4]	吴少华,孙丹,胡勇. 基于贝叶斯理论的Web服务器识别[J]. 计算机工程, 2015, 41(7): 190-193,198.
[5]	赵青松，徐焕良. 基于随机化混淆电路的委托计算[J]. 计算机工程, 2013, 39(12): 136-140.
[6]	陈星, 史再峰, 姚素英, 张之圣. 基于类定向测试的多制式视频后处理芯片验证[J]. 计算机工程, 2012, 38(15): 251-253,257.
[7]	朱巍巍, 严迎建. 基于随机故障感染运算的椭圆曲线点乘算法[J]. 计算机工程, 2011, 37(24): 112-113.
[8]	陆余良, 郭浩. Web安全测试中URL参数重写检测框架[J]. 计算机工程, 2010, 36(23): 133-135.
[9]	沈寿忠;张玉清. 基于爬虫的XSS漏洞检测工具设计与实现[J]. 计算机工程, 2009, 35(21): 151-154.
[10]	陆明;王小黎;谢立. 运行时刻的地址空间重复随机化方法[J]. 计算机工程, 2009, 35(10): 139-141.
[11]	王立民;曾凡平;李琴. 基于指针备份的随机化技术[J]. 计算机工程, 2007, 33(17): 187-189.
[12]	韩军;曾晓洋;汤庭鳌. 基于时间随机化的密码芯片防攻击方法[J]. 计算机工程, 2007, 33(02): 6-8.

选择文件类型/文献管理软件名称

选择包含的内容

基于随机化参数名的跨站请求伪造防御方法

Cross-site Request Forgery Defense Method Based on Randomization Parameter Name

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 12

编辑推荐

Metrics

本文评价

模态框（Modal）标题

选择文件类型/文献管理软件名称

选择包含的内容

基于随机化参数名的跨站请求伪造防御方法

Cross-site Request Forgery Defense Method Based on Randomization Parameter Name

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 12

编辑推荐

Metrics

本文评价