CSRF | 强大的防御跨站点请求伪造
Posted 前沿信安资讯阵地
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF | 强大的防御跨站点请求伪造相关的知识,希望对你有一定的参考价值。
摘要
跨站请求伪造(CSRF)是一个被广泛利用的网站漏洞。在本文中,我们提出了CSRF攻击的一个新变体,登录CSRF,攻击者在该登录表单上伪造一个跨站请求,并将受害者登录到诚实的网站上作为攻击者。登录CSRF漏洞的严重程度因站点而异,但可能与跨站点脚本漏洞一样严重。
我们详细介绍了三种主要的CSRF防御技术,并发现每种技术的缺点。尽管HTTP Referer头部可以提供有效的防御,但我们对283,945个广告展示的实验观察表明,由于隐私问题,头部在网络层被广泛阻挡。然而,我们的观察确实表明,标题今天可以用作HTTPS上可靠的CSRF防御,使其特别适合防御登录CSRF。从长远来看,我们建议浏览器实现Origin标头,它在回应隐私问题时提供了Referer标头的安全优势。
以下为论文全文
(PDF请后文扫码获取)
PDF(13页)
文件可扫码(长按识别)获取!
我们的信安主战场 | 圈子虽小,专业就好
以上是关于CSRF | 强大的防御跨站点请求伪造的主要内容,如果未能解决你的问题,请参考以下文章