HTML5技術(shù)憑借其新的功能和特性，在豐富了Web應(yīng)用的同時(shí)，也存在諸多漏洞。雖然隨著各種Web防御工具的開(kāi)發(fā)和安全防范技術(shù)的提高，減少了諸如SQL注入、跨站腳本（XSS）等Web應(yīng)用程序的漏洞。然而，日前一些竊取和利用用戶存儲(chǔ)在瀏覽器中的會(huì)話等敏感信息的攻擊仍在不斷的涌現(xiàn)，CSRF攻擊就是其中一種重要的攻擊方式，它被列為基于HTML5的Web應(yīng)用的前十大攻擊方式之一�？墒�，目前Web開(kāi)發(fā)人員和用戶對(duì)CSRF漏洞的重視程度并不夠，由此導(dǎo)致在基于HTML5的Web中存在較大的安全風(fēng)險(xiǎn)。鑒于此，本文將從基于HTML5的Web存在的安全問(wèn)題入手，對(duì)基于HTML5的CSRF攻擊的產(chǎn)生原因、攻擊過(guò)程進(jìn)行深入分析，在此基礎(chǔ)上提出針對(duì)基于HTML5的CSRF攻擊的檢測(cè)手段和防御措施，以期為從事HTML5開(kāi)發(fā)和利用的人員提供一些參考。本文的主要內(nèi)容有： 1、深入考察了目前Web中所采用的一些安全策略存在的缺陷，主要包括同源策略、跨域資源共享以及Cookie安全策略等，分析了這些安全策略所存在的漏洞和引起CSRF攻擊的原因。 2．通過(guò)搭建HTML5環(huán)境，驗(yàn)證攻擊者是如何利用HTML5中的CSRF漏洞來(lái)實(shí)...

【文章頁(yè)數(shù)】：72 頁(yè)

【學(xué)位級(jí)別】：碩士

【文章目錄】：
摘要
ABSTRACT
第一章 緒論
    1.1 研究背景
    1.2 本文主要工作
    1.3 本文的結(jié)構(gòu)安排
第二章 HTML5 相關(guān)概念及 CSRF 攻擊的基本原理
    2.1 HTML5 的發(fā)展歷程
    2.2 HTML5 的新特性及應(yīng)用
    2.3 HTML5 面臨的主要安全威脅
        2.3.1 點(diǎn)擊劫持和網(wǎng)絡(luò)釣魚(yú)
        2.3.2 CSRF 攻擊
        2.3.3 從本地存儲(chǔ)中竊取信息
        2.3.4 地理定位暴露用戶的位置
        2.3.5 利用 WebSockets 攻擊
        2.3.6 HTML5 的跨源請(qǐng)求存在漏洞
        2.3.7 HTML5 僵尸網(wǎng)絡(luò)
    2.4 CSRF 攻擊的基本原理
    2.5 本章小結(jié)
第三章 基于 HTML5 的 WEB 中存在 CSRF 漏洞的原因分析
    3.1 同源策略
    3.2 跨源資源共享
    3.3 COOKIE 安全策略
    3.4 P3P 頭策略
    3.5 本章小結(jié)
第四章 基于 HTML5 的 CSRF 攻擊的實(shí)現(xiàn)與驗(yàn)證
    4.1 基于 GET、POST 請(qǐng)求的 CSRF 攻擊
        4.1.1 GET 請(qǐng)求發(fā)起的 CSRF 攻擊
        4.1.2 POST 請(qǐng)求發(fā)起的 CSRF 攻擊
    4.2 基于 CORS 的 CSRF 攻擊
        4.2.1 刪除論壇中的記錄
        4.2.2 論壇中添加新記錄
    4.3 CSRF 蠕蟲(chóng)
    4.4 本章小結(jié)
第五章 基于 HTML5 的 CSRF 攻擊的檢測(cè)與防御
    5.1 CSRF 漏洞檢測(cè)
        5.1.1 運(yùn)用 Rational AppScan 檢測(cè) CSRF
        5.1.2 CSRF 漏洞的精確檢測(cè)
    5.2 基于 HTML5 的 CSRF 的防御
        5.2.1 驗(yàn)證碼驗(yàn)證
        5.2.2 驗(yàn)證 HTTP Referer 字段
        5.2.3 請(qǐng)求中添加 Token
        5.2.4 在 HTTP 頭中自定義屬性并驗(yàn)證
    5.3 本章小結(jié)
第六章 結(jié)束語(yǔ)
    6.1 總結(jié)
    6.2 展望
致謝
參考文獻(xiàn)



本文編號(hào)：3943346