收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

防止跨站脚本攻击会话劫持的客户端解决方案研究

Christian Kanamugire(卡那姆)  
【摘要】:web应用在当今已成为在线服务的最主要提供方式。同时,它存在的漏洞也正逐渐被人们所发现,并且以惊人的速度显露出来。web应用一般存在利用JavaScript脚本代码来实现的部分,这些脚本代码嵌入在web页面中来支持客户端的动态行为。为了防止用户环境遭受恶意JavaScript脚本代码的破坏,研究人员开始利用一种输入净化机制,这种机制限制程序只能访问与它的原站点相关的资源。然而,不幸地是,当用户被诱使从中间人或可信站点下载恶意JavaScript脚本代码时,这些安全机制将无法发挥作用。在这种情况下,恶意脚本对属于可信站点的所有资源(如认证口令和具有会话进程标识的cookies)且有完全的访问权限。这种攻击被称为跨站点脚本攻击。 万维网的驮马协议,HTTP协议和HTTPS协议有意地被设计成无状态的。这就意味着web应用无法在多个请求中追踪到用户,除非它在HTTP或HTTPS协议的顶端添加追踪机制。会话标识就是最被普遍使用的追踪机制。会话标识是随机数据的唯一字符串,一般来说由数字和字符组成,这个字符串由web应用生成并通过cookie的方式发送给用户。在会话标识被发送之后,每个用户发出的请求都在其它请求中包含了该应用发送给他的会话标识。通过使用会话标识,web应用能够识别不同的用户,区分并发的请求和及时追踪用户。会话标识是首要的攻击目标,因为成功的捕获并重演会话标识可以为攻击者提供易受攻击web应用的当即认证。根据窃取到的ID所属用户的访问权限,攻击者可以像普通用户,甚至是特权用户一样登录网站,并访问各种隐私数据,如email,密码,家庭住址,甚至是信用卡号码等。这就能使跨站点脚本攻击成为窃取会话标识的最普遍的方式。 跨站点脚本攻击是一种使用范围非常广的攻击方式,整体来说也可以看作是代码注入攻击。在代码注入攻击中,攻击者输入一些数据,这些数据将被认为是代码并被正在运行的应用所执行。在跨站点脚本攻击中,攻击者欺骗用户浏览器以他的名义来执行Java脚本代码,并因此获得访问存储在浏览器中的敏感信息的权限。运行在用户浏览器中的恶意JavaScript脚本能够访问运行域中cookie的内容。而会话标识一般通过cookies来传播,所以被插入的JavaScript脚本能够读取这些会话标识并将其转移到受攻击者控制的服务器上。然后攻击者将用户的会话反馈给易受攻击的网站,这些网站以为他是正常用户并有效地进行授权。会话劫持是现今被广泛使用的跨站点脚本攻击类型之一,因为采用会话标识的web应用中每个关键任务都易受到这种方式的攻击。为了让脚本不被识别为恶意脚本,攻击者会用不同的编码方法对其进行编码,比如使用HEX。通过这种方法,Web站点就会像显示站点中的有效内容一样在页面显示恶意内容。如果Web应用程序没有验证输入,攻击者只需诱导用户选择恶意链接,然后Web应用程序就会从用户那里收集机密信息,这就让攻击者能够获取用户会话信息并窃取用户凭证,重定向到另一个Web站点上的网页,然后插入恶意代码来破坏cookie,公开SSL连接,访问受限或私人站点,甚至触发一系列这样的攻击。 目前有一种机制能够从某种程度上在跨站点脚本漏洞中用来保护用户免受会话劫持——HTTP-Only。HTTP-Only是微软公司引进的一种网页浏览器特性,它可以为IE6及后续版本中的cookies提供防护措施。HTTP-Only是一种标记,它与包含敏感信息的cookie,如会话标识,一起由web应用发送给用户。它指示用户浏览器将cookie的值与任何运行在浏览器中的脚本语言隔离开来。因此,如果cookie被表示为HTTP-Only, Java脚本想要访问它时,只能得到一个空的字符串。因此,使用HTTP-Only cookie有助于阻止攻击者使用XSS漏洞实施会话攻击。但是这依然不是一种万能的解决办法,跨站点追踪(XST)是一种攻击技巧,有时候可以利用它来避开HTTP-Only cookie提供的保护,允许客户端代码访问标记为HTTP-Only cookie的值。这种技巧使用许多Web服务器默认激活的HTTP TRACE方法,它主要用于诊断目的。当服务器收到一个使用TRACE方法的请求时,它通过一条消息做出响应,消息主体包含服务器收到的TRACE请求的的原始文本,TRACE方法之所以可用于诊断目的,其原因在于,服务器收到的请求可能不同于客户发送出的请求,因为请求会被拦截代理服务器等修改。这个方法可用于确定请求在客户与服务器之间传送时发生了哪些变化。浏览器在HTTP请求中提交所有cookie,包括使用TRACE方法的请求以及标记为HTTP-Only的cookie。这样,请求和响应中都包含标记为HTTP-Only的cookie,这种行为为XST攻击提供了机会。如果可以使用客户端脚本提出一个TRACE请求,并读取这个请求的响应,那么这段脚本就能够访问到标记为HTTP-Only的cookie,即使通过document.cookie无法访问的到。当然,攻击还依赖于应用程序中存在的XSS漏洞,以注入恶意的脚本。 在本文的研究中,我们设计了一种称为SessionImmunizer的系统。它是处于浏览器和服务器之间的一种代理,可以审查所有发出的请求和进来的应答。通过使用各种方法,它探测进来的HTTP头文件中的会话标识,将它们剥离出来并将它们的值存储在自己的数据库中。在每个发出的请求中,SessionImmunizer都会检查请求的域,并将之前剥离出来的值添加回去。当受到会话劫持攻击时,浏览器仍然会执行会话劫持代码,但是由于浏览器从未收到过会话信息,因此该信息不会被攻击者获取。本文提出的系统不会影响web用户和web服务器的任何功能应用,它单独运行在客户端,并且不依赖于web服务器和可信的第三方


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 韩利凯;;基于Web-Mail邮箱的Cookie会话攻击及防范[J];西安文理学院学报(自然科学版);2008年02期
2 小玉哥;小甜饼Cookie究竟是什么[J];电脑爱好者;2001年09期
3 欧阳旻;Cookie在JSP中运用分析[J];株洲师范高等专科学校学报;2004年02期
4 ;IE 6.0发现安全漏洞 Cookie泄露资料[J];计算机与网络;2001年23期
5 ;IE5中的Cookie控制[J];个人电脑;2000年01期
6 ;Cookie利弊谈 甜饼耶?苦果耶?[J];新电脑;2002年03期
7 赵金东;跨越域的Cookie[J];电脑编程技巧与维护;2001年05期
8 中国风;网上保障隐私十大秘技[J];计算机与网络;2003年05期
9 ;技巧、诀窍和技术[J];电子与电脑;1997年09期
10 Bill Machrone ,盛青;Cookie,是好还是坏?[J];个人电脑;2000年05期
11 马亚娜,钱焕延,孙亚民;用Cookie构建Web安全的实现[J];计算机工程;2002年11期
12 ;根据站点接受Cookie[J];个人电脑;2000年04期
13 李玉斌,姚巧红;JavaScript环境中网络课程开发之cookie技术应用研究[J];教育信息化;2005年01期
14 孙立立;Cookie程序的功能及其应用[J];铁路计算机应用;1999年04期
15 RonWhite ,传思;网络大玩家[J];电子与电脑;1998年11期
16 王洪海;Cookie和用户信息[J];计算机时代;2001年12期
17 宋善德,戴路,郭翔;WEB环境下基于角色的透明访问控制[J];计算机工程与科学;2004年11期
18 ;保护你的私人信息[J];个人电脑;2000年07期
19 ;让冲浪做到“踏雪无痕”[J];电脑知识与技术;2001年13期
20 邱小果;编程实现基于Cookie验证的HTTP请求的发送[J];微型机与应用;2003年07期
中国重要会议论文全文数据库 前10条
1 杜晔;郭幽燕;;跨站脚本攻击技术研究[A];第十届中国科协年会信息化与社会发展学术讨论会分会场论文集[C];2008年
2 向继;高能;荆继武;;网站欺骗攻击技术及其防范研究[A];第二十次全国计算机安全学术交流会论文集[C];2005年
3 王东;;ASP.net的安全验证方法分析[A];第六届全国计算机应用联合学术会议论文集[C];2002年
4 王海满;邹华;杨放春;;一种基于Parlay的下一代网络业务生成体系[A];中国通信学会信息通信网络技术委员会2003年年会论文集[C];2003年
5 周磊;;脚本语言在大规模流体力学数值模拟中的应用研究[A];计算流体力学研究进展——第十二届全国计算流体力学会议论文集[C];2004年
6 王博;马跃;王炜;徐塞虹;;对IKE中若干问题的探讨[A];第九届全国青年通信学术会议论文集[C];2004年
7 赵会斌;金建勋;张庆荣;;基于Flash的科学实验仿真技术[A];2007'仪表,自动化及先进集成技术大会论文集(二)[C];2007年
8 王海满;邹华;杨放春;;一种基于Parlay的下一代网络业务生成体系[A];2003年中国通信学会信息通信网络技术年会论文集[C];2003年
9 文伟平;卿斯汉;王业君;;分布式拒绝服务攻击研究进展[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
10 吕登龙;王宇;;基于Web的攻击分类法研究[A];2008通信理论与技术新进展——第十三届全国青年通信学术会议论文集(上)[C];2008年
中国博士学位论文全文数据库 前10条
1 马亚娜;WEB环境下的认证技术研究[D];南京理工大学;2003年
2 曹首峰;匿名通信系统可用性技术研究[D];北京邮电大学;2010年
3 胡圣明;基于内存自动机与模式的动态引擎构造技术研究[D];西安电子科技大学;2009年
4 范申;非线性迭代函数系与Schr(?)dinger算子的谱的分形性质[D];清华大学;2010年
5 刘毕升;车用自组织网络的安全与隐私的关键技术研究[D];复旦大学;2011年
6 甘元驹;标准模型下适应性安全门限密码方案的研究[D];北京邮电大学;2013年
7 杨勇;基于身份密码体制的若干安全性问题研究[D];山东大学;2011年
8 罗喜召;密码学中理性与抗泄漏关键技术的研究[D];苏州大学;2010年
9 杨元原;密码协议的安全性分析技术研究[D];西安电子科技大学;2011年
10 拾以娟;基于身份的公钥密码学关键问题研究[D];上海交通大学;2007年
中国硕士学位论文全文数据库 前10条
1 Christian Kanamugire(卡那姆);防止跨站脚本攻击会话劫持的客户端解决方案研究[D];中南大学;2012年
2 吴晓恒;跨站脚本攻击的防御技术研究[D];上海交通大学;2011年
3 刘啸;基于Cookie欺骗的Session渗透入侵分析及其安全模型研究[D];浙江大学;2003年
4 文德民;基于Cookie的跨域单点登录系统的设计与实现[D];北京邮电大学;2010年
5 谢家俊;化学脚本语言到UDLC语言自动转换的研究[D];兰州大学;2012年
6 陈飞;基于Cookie会话保持的LVS集群系统研究[D];重庆大学;2013年
7 何伟;MEL脚本语言在数字集群动画中的设计与实现[D];北京工业大学;2012年
8 王磊;面向动态控制集成的脚本语言及其设计工具[D];西安电子科技大学;2010年
9 邱勇杰;跨站脚本攻击与防御技术研究[D];北京交通大学;2010年
10 陈庆;UEFI系统脚本语言与解释器的研究与实现[D];华中科技大学;2011年
中国重要报纸全文数据库 前10条
1 易水;IT新词集锦[N];计算机世界;2003年
2 河北 张近东;Cookie引出的怪问题[N];电脑报;2003年
3 陈玉江;Cookie为什么(三)[N];中国计算机报;2001年
4 陈玉江;Cookie为什么(五)[N];中国计算机报;2001年
5 ;Web威胁仍将继续[N];网络世界;2007年
6 ;对COOKIE说不[N];人民政协报;2000年
7 四川 杨邦伟;如何让Cookie下岗[N];电脑报;2001年
8 贾培武;禁用Cookie三法[N];中国电脑教育报;2002年
9 迈克菲总裁兼首席执行官 Dave DeWalt;单点安全时代结束[N];计算机世界;2010年
10 河南 刘德君;Cookie与个人隐私安全[N];电脑报;2002年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978