收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于Cookie欺骗的Session渗透入侵分析及其安全模型研究

刘啸  
【摘要】: Cookie的引入弥补了HTTP协议的无状态性的缺陷。Web应用的服务端和某一客户端可以通过一个相对惟一的Cookie值来维系一个Session,从而达到状态识别的目的。本论文指出了这种基于Cookie的Session管理机制的一种典型缺陷,阐述了目前常见的Web环境下基于Cookie欺骗的Session渗透入侵的实现原理和预防检测手段,提出并且实现了一个局域网下利用网络监听来实现Session渗透攻防和入侵检测的比较完整的系统。 Session渗透入侵主要表现在伪造Cookie中的Session ID从而冒充合法客户端和服务器端进行数据交换,造成这个漏洞的原因是几乎所有的Web脚本解释引擎都未对不同的IP所发送的Cookie进行充分的检查,如果非法用户截获了发送给其他客户端的Cookie,便可能通过发送此Cookie来进行Session渗透入侵。另外,Web脚本解释引擎通过自己的一套算法来给每个独立客户端生成随机的Cookie值,如果这个随机生成过程能够被外界模拟猜测,那么也就相当于其他客户端可以随时伪造Cookie来进行Session渗透,而无需预先进行网络监听。 对Session渗透入侵的预防主要在于改良Web脚本解释引擎,加入IP验证部分,减轻开发人员手工编程验证的负担。而对于其检测则需要在IDS的结构原理方面进行一些实质性的探索。本文即深入探讨了一个基于网络监听的Session渗透入侵检测系统的设计与实现原理,这部分也是包括原理分析、入侵预防和检测在内的Session安全模型研究的主要内容。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 欧阳旻;Cookie在JSP中运用分析[J];株洲师范高等专科学校学报;2004年02期
2 ;IE 6.0发现安全漏洞 Cookie泄露资料[J];计算机与网络;2001年23期
3 ;IE5中的Cookie控制[J];个人电脑;2000年01期
4 ;Cookie利弊谈 甜饼耶?苦果耶?[J];新电脑;2002年03期
5 赵金东;跨越域的Cookie[J];电脑编程技巧与维护;2001年05期
6 中国风;网上保障隐私十大秘技[J];计算机与网络;2003年05期
7 孙建红;构建安全的电子商务网站[J];现代情报;2001年06期
8 ;技巧、诀窍和技术[J];电子与电脑;1997年09期
9 Bill Machrone ,盛青;Cookie,是好还是坏?[J];个人电脑;2000年05期
10 马亚娜,钱焕延,孙亚民;用Cookie构建Web安全的实现[J];计算机工程;2002年11期
11 ;根据站点接受Cookie[J];个人电脑;2000年04期
12 孙立立;Cookie程序的功能及其应用[J];铁路计算机应用;1999年04期
13 RonWhite ,传思;网络大玩家[J];电子与电脑;1998年11期
14 王洪海;Cookie和用户信息[J];计算机时代;2001年12期
15 宋善德,戴路,郭翔;WEB环境下基于角色的透明访问控制[J];计算机工程与科学;2004年11期
16 ;保护你的私人信息[J];个人电脑;2000年07期
17 ;让冲浪做到“踏雪无痕”[J];电脑知识与技术;2001年13期
18 邱小果;编程实现基于Cookie验证的HTTP请求的发送[J];微型机与应用;2003年07期
19 ;大饼学ASP——在页面间传递变量[J];网络与信息;2003年09期
20 郭冬梅,李梓;应用Java Script的Cookie做客户端计数器[J];电脑技术;2000年07期
中国重要会议论文全文数据库 前10条
1 王东;;ASP.net的安全验证方法分析[A];第六届全国计算机应用联合学术会议论文集[C];2002年
2 杜晔;郭幽燕;;跨站脚本攻击技术研究[A];第十届中国科协年会信息化与社会发展学术讨论会分会场论文集[C];2008年
3 郑烁;;ASP中三个对象的教学方法[A];2008'中国信息技术与应用学术论坛论文集(一)[C];2008年
4 李红灵;张月芬;李汉斌;;用PHP实现特定的Session管理[A];第一届全国Web信息系统及其应用会议(WISA2004)论文集[C];2004年
5 王博;马跃;王炜;徐塞虹;;对IKE中若干问题的探讨[A];第九届全国青年通信学术会议论文集[C];2004年
6 尚卫卫;张卫民;;一种气象领域的安全模型及其访问控制机制[A];2010年全国通信安全学术会议论文集[C];2010年
7 宋善德;马建平;余祥宣;;一种面向对象系统安全模型[A];第九次全国计算机安全学术交流会论文集[C];1994年
8 苏国胜;陈运明;;动态网络安全模型在石化企业的应用研究[A];第十届全国信息技术化工应用年会论文集[C];2005年
9 石文昌;;操作系统安全的课程设计与教学[A];2008年中国高校通信类院系学术研讨会论文集(上册)[C];2009年
10 任毅;张勇;李晓峰;;一种基于Web service的网站一次性登陆与数字钱包的实现方案[A];第九届全国青年通信学术会议论文集[C];2004年
中国博士学位论文全文数据库 前10条
1 马亚娜;WEB环境下的认证技术研究[D];南京理工大学;2003年
2 范申;非线性迭代函数系与Schr(?)dinger算子的谱的分形性质[D];清华大学;2010年
3 程庆丰;密钥交换协议及安全模型的分析与设计[D];解放军信息工程大学;2011年
4 魏福山;网关口令认证密钥交换协议的安全模型与设计研究[D];解放军信息工程大学;2011年
5 王玲;网络服务系统日志安全分析技术研究[D];中国科学院研究生院(计算技术研究所);2006年
6 王昌达;隐通道可计算性的研究[D];江苏大学;2006年
7 綦朝晖;计算机入侵取证关键技术研究[D];天津大学;2006年
8 李国民;群密钥协商协议的分析与设计[D];西南交通大学;2008年
9 皮建勇;分布式并行系统若干安全技术的研究[D];电子科技大学;2008年
10 陆浪如;信息安全评估标准的研究与信息安全系统的设计[D];解放军信息工程大学;2001年
中国硕士学位论文全文数据库 前10条
1 刘啸;基于Cookie欺骗的Session渗透入侵分析及其安全模型研究[D];浙江大学;2003年
2 文德民;基于Cookie的跨域单点登录系统的设计与实现[D];北京邮电大学;2010年
3 陈飞;基于Cookie会话保持的LVS集群系统研究[D];重庆大学;2013年
4 梁苏彬;基于集群的高可用HTTP服务器[D];四川大学;2004年
5 王利明;基于集群系统的内容交换器的研究与实现[D];大连理工大学;2004年
6 王春霞;基于WEB日志的数据挖掘[D];郑州大学;2003年
7 薛亮;Internet/Intranet下单点登录的研究与实践[D];西北大学;2006年
8 Christian Kanamugire(卡那姆);防止跨站脚本攻击会话劫持的客户端解决方案研究[D];中南大学;2012年
9 潘飞;统一身份认证系统的研究和单点登录的实现[D];西北大学;2006年
10 靳瑞芳;基于Web单点登录系统的研究[D];西北大学;2007年
中国重要报纸全文数据库 前10条
1 河北 张近东;Cookie引出的怪问题[N];电脑报;2003年
2 陈玉江;Cookie为什么(五)[N];中国计算机报;2001年
3 陈玉江;Cookie为什么(三)[N];中国计算机报;2001年
4 ;对COOKIE说不[N];人民政协报;2000年
5 四川 杨邦伟;如何让Cookie下岗[N];电脑报;2001年
6 贾培武;禁用Cookie三法[N];中国电脑教育报;2002年
7 河南 刘德君;Cookie与个人隐私安全[N];电脑报;2002年
8 张齐;与Discuz!较劲[N];中国电脑教育报;2004年
9 成成;不可忽视的“小甜饼”—Cookie[N];电脑报;2004年
10 ;对COOKIE说不[N];中国高新技术产业导报;2000年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978