基于HTML5的CSRF攻擊與防御技術(shù)研究.pdf

1、HTML5技術(shù)憑借其新的功能和特性，在豐富了 Web應(yīng)用的同時，也存在諸多漏洞。雖然隨著各種Web防御工具的開發(fā)和安全防范技術(shù)的提高，減少了諸如SQL注入、跨站腳本（XSS）等Web應(yīng)用程序的漏洞。然而，日前一些竊取和利用用戶存儲在瀏覽器中的會話等敏感信息的攻擊仍在不斷的涌現(xiàn)，CSRF攻擊就是其中一種重要的攻擊方式，它被列為基于HTML5的Web應(yīng)用的前十大攻擊方式之一?？墒?，目前Web開發(fā)人員和用戶對CSRF漏洞的重視程度并不夠，由此

2、導(dǎo)致在基于HTML5的Web中存在較大的安全風(fēng)險。鑒于此，本文將從基于HTML5的Web存在的安全問題入手，對基于HTML5的CSRF攻擊的產(chǎn)生原因、攻擊過程進行深入分析，在此基礎(chǔ)上提出針對基于HTML5的CSRF攻擊的檢測手段和防御措施，以期為從事HTML5開發(fā)和利用的人員提供一些參考。本文的主要內(nèi)容有：
　　1、深入考察了目前Web中所采用的一些安全策略存在的缺陷，主要包括同源策略、跨域資源共享以及Cookie安全策略等，分析

3、了這些安全策略所存在的漏洞和引起CSRF攻擊的原因。
　　2．通過搭建HTML5環(huán)境，驗證攻擊者是如何利用HTML5中的CSRF漏洞來實現(xiàn)繞過同源策略的CSRF攻擊，如何利用跨域資源共享進行CSRF攻擊和如何實現(xiàn)CSRF蠕蟲攻擊。
　　3．在分析HTML5中的CSRF漏洞，驗證攻擊實現(xiàn)過程的基礎(chǔ)上，提出如何利用工具和手動方式對CSRF漏洞進行檢測，并利用驗證碼、HTTP Referer、Token機制和在HTTP頭中自定義屬