滲透測試是安全人員為了排除系統(tǒng)漏洞增強(qiáng)系統(tǒng)防護(hù)能力,站在攻擊者的角度使用各種攻擊手段對測試目標(biāo)發(fā)起攻擊,并最終給出一份詳盡報告的過程。它的目標(biāo)是為了查找漏洞從而增強(qiáng)系統(tǒng)防御水平,是目前安全工作者審視Web應(yīng)用安全的常用手段之一。在滲透測試的攻擊嘗試階段,滲透測試人員可能會利用各種Web攻擊手段進(jìn)行攻擊嘗試。近年來隨著人們對Web安全問題的重視,CSRF攻擊逐漸走進(jìn)人們的視野,它是Web攻擊中的一種,通過偽造用戶請求達(dá)到攻擊者的意圖。本論文主要是在單步CSRF攻擊的基礎(chǔ)上,研究路由器場景下和多步CSRF滲透技術(shù),并分析總結(jié)當(dāng)前存在的CSRF防御手段。首先,闡述了本文研究的背景與意義,總結(jié)了國內(nèi)外研究現(xiàn)狀,系統(tǒng)介紹了滲透測試流程和測試常用技術(shù),并對當(dāng)前Web應(yīng)用面臨的主要攻擊進(jìn)行列舉總結(jié)。詳細(xì)分析了CSRF攻擊的原理,從瀏覽器同源策略、Cookie策略、P3P頭策略和跨站點(diǎn)資源共享等方面出發(fā),闡述了存在CSRF漏洞的原因。其次,比較了GET和POST方式下的單步CSRF攻擊,在此基礎(chǔ)上提出路由器中可能存在的CSRF攻擊以及多步CSRF漏洞的利用,更深層次的挖掘了CSRF攻擊的方式和手法。搭... 

【文章來源】：沈陽理工大學(xué)遼寧省

【文章頁數(shù)】：78 頁

【學(xué)位級別】：碩士

【部分圖文】：

站點(diǎn)遭受的Web攻擊類型Fig1.1Thetypeofwebattacksufferedbythesite由此可見，目前Web應(yīng)用面臨的安全問題仍然相當(dāng)嚴(yán)峻，滲透測試技術(shù)研究

‐ 12 ‐ 圖 2.2 PTES 思維導(dǎo)圖Fig2.2 PTES mind mapping由圖 2.2 可知整體流程大概分為七大塊，分為是：（1）前期交互階段前期交互階段和軟件工程里的需求分析階段有點(diǎn)相似，在整個滲透測試流程中起著重要作用。在這個階段專業(yè)操作人員需要和用戶充分溝通，何時開展?jié)B透

某個端口發(fā)送試探數(shù)據(jù)包，然后記錄目標(biāo)主機(jī)的口是否打開，進(jìn)而得知目標(biāo)主機(jī)是否提供對應(yīng)服，端口掃描技術(shù)主要可以分為 TCP Connect()掃描描和 UDP 掃描[35]。 Connect()掃描ect()掃描又被稱為全掃描，它是一種最基本的 TC試和目標(biāo)端口建立一次全連接。如果 connect()成狀態(tài)；如果返回-1，代表目標(biāo)端口并未開放，也理人員可以根據(jù)遠(yuǎn)程地址登錄記錄查看并追蹤惡 IP 的消息，所以我們在掃描時應(yīng)該主要隱藏。但是在于，會在目標(biāo)系統(tǒng)的日志文件中留下蹤跡。所洞掃描。端口開放和端口關(guān)閉示意圖分別如圖 2

【參考文獻(xiàn)】：
期刊論文
[1]淺析CSRF漏洞檢測、利用及防范[J]. 嚴(yán)亞萍,胡勇.  通信技術(shù). 2017(03)
[2]CSRF原理以及防護(hù)措施[J]. 楊家.  電腦與電信. 2016(03)
[3]使用跨站偽造請求（CSRF）來攻擊網(wǎng)絡(luò)設(shè)備[J]. 錢偉俊.  信息安全與通信保密. 2014(08)
[4]基于服務(wù)器端CSRF防御研究[J]. 徐淑芳,郭帆,游錦鑫.  無線互聯(lián)科技. 2014(03)
[5]CRSF攻擊機(jī)制及防御策略研究[J]. 龔宇,周安民,李娟.  信息安全與通信保密. 2014(01)
[6]單點(diǎn)登錄系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J]. 杜歆文.  電視技術(shù). 2013(24)
[7]CSRF新型利用及防范技術(shù)研究[J]. 季凡,方勇,蒲偉,周妍.  信息安全與通信保密. 2013(03)
[8]網(wǎng)絡(luò)安全滲透測試研究[J]. 常艷,王冠.  信息網(wǎng)絡(luò)安全. 2012(11)
[9]基于Web的電子政務(wù)安全防范[J]. 谷寧靜.  信息安全與通信保密. 2012(09)
[10]HTML5帶來的WEB應(yīng)用變革及安全問題研究[J]. 王榮國.  電腦開發(fā)與應(yīng)用. 2012(07)

碩士論文
[1]基于鏈接分析的CSRF檢測技術(shù)研究[D]. 吳安彬.電子科技大學(xué) 2016
[2]基于Web安全的滲透測試技術(shù)研究[D]. 吳松澤.哈爾濱師范大學(xué) 2015
[3]Web應(yīng)用系統(tǒng)漏洞定位技術(shù)研究與實(shí)現(xiàn)[D]. 張瑩瑩.廣東工業(yè)大學(xué) 2015
[4]Web應(yīng)用常見漏洞的產(chǎn)生場景和檢測規(guī)則研究[D]. 張金發(fā).暨南大學(xué) 2015
[5]基于Node.js的XSS和CSRF防御研究與實(shí)現(xiàn)[D]. 李宗森.西安電子科技大學(xué) 2014
[6]Web應(yīng)用程序滲透測試方法研究[D]. 趙麗娟.中南大學(xué) 2014
[7]Web應(yīng)用安全網(wǎng)關(guān)部分功能的設(shè)計與實(shí)現(xiàn)[D]. 龐博.北京交通大學(xué) 2013
[8]基于木馬的網(wǎng)絡(luò)滲透測試的研究[D]. 謝志鋒.太原理工大學(xué) 2013
[9]基于HTML5的CSRF攻擊與防御技術(shù)研究[D]. 王曉強(qiáng).電子科技大學(xué) 2013
[10]Web應(yīng)用漏洞的分析和防御[D]. 肖紅.西安電子科技大學(xué) 2013



本文編號：3444180