【摘 要】
:
同站请求伪造(SSRF)是指攻击者将攻击载体植入目标网站页面后,仿冒用户向该网站的服务器端发起敏感操作请求的一种攻击方式.同站请求伪造能够成功的关键在于服务器端无法区分
【机 构】
:
北京大学计算机科学技术研究所,北京100080
论文部分内容阅读
同站请求伪造(SSRF)是指攻击者将攻击载体植入目标网站页面后,仿冒用户向该网站的服务器端发起敏感操作请求的一种攻击方式.同站请求伪造能够成功的关键在于服务器端无法区分敏感操作请求是由用户真实交互所发出,还是同源页面中的恶意攻击载体仿冒用户发出.基于此,本文提出了基于可信组件的同站请求伪造防御方法.该方法在页面中引入可信组件,将用户交互保护在可信组件中,用户通过与可信组件交互来授权其发出敏感操作请求,服务器端仅响应可信组件发出的敏感操作请求.本文开发了SSRFDefender系统对该方法进行服务器端-客户端协同实现,并通过真实的SSRF攻击实验验证了该方法的有效性.
其他文献
假丝酵母脂肪酶是一种具有重要工业应用前景的微生物脂肪酶。本文对一株高产脂肪酶的菌株—假丝酵母99-125发酵生产脂肪酶的工艺条件进行了研究。首先建立了对发酵过程中生物量以及油脂代谢中间物的分析方法。接下来针对培养基中氮源进行了优化,分别研究了豆粕水解液和黄豆粉替代豆粕发酵的可能性。采用豆粕水解液最终发酵水平达到8500IU/ml,而黄豆粉经过研究可以作为稳定氮源替代豆粕。接下来详细研究了豆油补加工
恶意攻击者往往利用漏洞完成系统或软件的入侵,为解决漏洞曝光所导致的安全问题,安全研究员通常通过漏洞补丁开发的方式对系统组件或应用程序进行安全加固。而迫于补丁生成
快速发展的云计算存在严重的滥用风险,给整个网络空间带来了巨大的安全威胁。本文首先深入分析了云上存在的滥用现象及其原因;然后,针对频发的滥用云进行分布式拒绝服务(D
The ways to ensure data security in wireless sensor networks are getting more and more attention from people.This paper proposes a scheme,RWS(Random Waterma
传输控制协议(Transmission Control Protocol,TCP)同步报文(SYN)洪泛(flooding)攻击是最常见的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击方式之一,其主
计算了考虑变速器轴系和壳体柔性耦合影响下的内部齿轮轴系的响应.以齿轮承载均匀性和齿轮副载荷传递最小化为原则,研究了齿轮参数的改变对齿轮啮合、接触以及变速箱振动噪声
随着互联网的发展,网络上的攻击行为越来越多,这其中SQL 注入攻击占很大的比例。传统的检测主要在客户端或服务端完成,检测准确率低。本文设计了LFC(Length-Frequency-Chara
本文在分析发动机和路面激励传递路径的基础上,对车内噪声传递函数及副车架的隔振性能进行分析.针对某一款车出现的轰鸣声问题,分析了副车架刚度及副车架衬套刚度对其隔振性
石斛属(Dendrobium)为兰科第二大属,全球分布1600多个种,我国有74个种及2个变种。我国石斛植物中近40种可作药用,其中铁皮石斛(DendrobiumoffinaleKimura et Migo)更是誉为“上