亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        淺析電子商務網(wǎng)站對CSRF攻擊的防范

        2010-08-15 00:49:14河北建材職業(yè)技術學院陳慧寧趙克寶
        中國商論 2010年25期
        關鍵詞:頁面用戶

        河北建材職業(yè)技術學院 陳慧寧 趙克寶

        淺析電子商務網(wǎng)站對CSRF攻擊的防范

        河北建材職業(yè)技術學院 陳慧寧 趙克寶

        在互聯(lián)網(wǎng)飛速發(fā)展的今天,網(wǎng)上交易和在線電子支付成為一種新型的商業(yè)運營模式—— 電子商務,作為消費者,交易安全是首要問題。本文介紹了電子商務網(wǎng)站對安全性的要求和防范的重要性,應該如何防范CSRF攻擊,以構成一個安全的電子商務系統(tǒng)。

        電子商務網(wǎng)站 CSRF攻擊 Cookie JSON

        1 背景

        在科學技術大發(fā)展的今天,隨著信息化的浪潮席卷全球,傳統(tǒng)的商務模式受到巨大的沖擊。越來越多的企業(yè)和個人消費者,在Internet開放的網(wǎng)絡環(huán)境下,基于瀏覽器/服務器應用方式,實現(xiàn)消費者網(wǎng)上購物、商戶之間網(wǎng)上交易和在線電子支付的一種新型的商業(yè)運營模式—— 電子商務。更由于電子商務本身的開放性、全球性、低成本、高效率等特征,使得它不僅僅是一種新的貿易形式,更將會影響到整個社會的經(jīng)濟運行機構。

        電子商務將傳統(tǒng)的商務流程電子化、數(shù)字化,一方面以電子流代替了實物流、資金流,可以大量減少人力、物力,降低了成本;另一方面突破了時間和空間的限制,使得交易活動可以在任何時間、任何地點進行,從而大大地提高了效率。電子商務在現(xiàn)代社會占據(jù)如此重要的地位,而Internet自身的開放性、廣泛性和匿名性,給電子商務帶來諸多的安全隱患,對于電子商務網(wǎng)站本身,更是要做好網(wǎng)絡安全防范。

        2 防范CSRF攻擊

        2.1 什么是CSRF攻擊

        CSRF(Cross-site request forgery)跨站請求偽造,是一種對網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,并且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比,CSRF攻擊往往不大流行,正因為如此,對其進行防范的資源也相當稀少,使其變得難以防范,所以被認為比XSS更具危險性,現(xiàn)如今,CSRF的防范已被越來越多的網(wǎng)站所重視。

        如果一個電子商務網(wǎng)站使用了大量AJAX技術(Asynchronous JavaScript and XML即異步JavaScript和XML,是一種創(chuàng)建交互式網(wǎng)頁應用的網(wǎng)頁開發(fā)技術),很容易產生CSRF攻擊,使用戶電腦中毒,造成網(wǎng)銀賬戶失竊等嚴重后果。不要小看CSRF,早先Google的那個CSRF漏洞,很可能導致郵件泄漏,當時的Google電子郵件系統(tǒng)很容易受到CSRF攻擊中的“更改密碼”攻擊。另外,CSRF還可能導致蠕蟲爆發(fā)。

        2.2 CSRF攻擊分類

        CSRF是偽造客戶端請求的一種攻擊,這種攻擊方式是國外的安全人員于2000年提出,國內直到2006年初才被關注,2008年CSRF攻擊方式開始在BLOG、SNS等大型社區(qū)類網(wǎng)站的腳本蠕蟲中使用,造成網(wǎng)民隱私泄露嚴重。

        CSRF的定義是強迫受害者的瀏覽器向一個易受攻擊的Web應用程序發(fā)送請求,最后達到攻擊者所需要的操作行為。CSRF漏洞的攻擊一般分為站內和站外兩種類型:

        CSRF站內類型的漏洞在一定程度上是由于程序員濫用Request類變量造成的,一些敏感的操作本來是要求用戶從表單提交發(fā)起POST請求傳參給程序,但是由于使用了Request等變量,程序也接收GET請求傳參,這樣就給攻擊者使用CSRF攻擊創(chuàng)造了條件,一般攻擊者只要把預先準備好的請求參數(shù)放在站內一個貼子或者留言的圖片鏈接里,受害者瀏覽了這樣的頁面就會被強迫發(fā)起請求。作為網(wǎng)上交易用戶,我們可能只點了幾個這樣的鏈接和圖片,自己的帳戶密碼和個人隱私就被盜取了。

        CSRF站外類型的漏洞其實就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問題,一般程序員會考慮給一些留言評論等的表單加上水印以防止SPAM問題,但是為了用戶的體驗性,一些操作可能沒有做任何限制,所以攻擊者可以先預測好請求的參數(shù),在站外的Web頁面里編寫java script腳本偽造文件請求或和自動提交的表單來實現(xiàn)GET、POST請求,用戶在會話狀態(tài)下點擊鏈接訪問站外的Web頁面,客戶端就被強迫發(fā)起請求。

        2.3 瀏覽器的安全缺陷

        Web應用程序幾乎都是使用Cookie來識別用戶身份以及保存會話狀態(tài),但是所有的瀏覽器在最初加入Cookie功能時并沒有考慮安全因素,從WEB頁面產生的文件請求都會帶上Cookie,瀏覽器的這種安全缺陷給CSRF漏洞的攻擊創(chuàng)造了最基本的條件,因為Web頁面中的任意文件請求都會帶上Cookie,所以我們將文件地址替換為一個鏈接的話,用戶訪問Web頁面就相當于會話狀態(tài)下自動點擊了鏈接,而且?guī)в蠸RC屬性具有文件請求的HTML標簽,如圖片、FLASH、音樂等相關的應用都會產生偽造GET請求的CSRF安全問題。一個Web應用程序可能會因為最基本的渲染頁面的HTML標簽應用,而導致程序里所有的GET類型傳輸參數(shù)都不可靠。

        2.4 瀏覽器的會話安全特性

        現(xiàn)今瀏覽器支持的Cookie實際上分為兩種形式:一種是內存Cookie,在沒有設定Cookie值的expires參數(shù),也就是沒有設置Cookie的失效時間情況下,這個Cookie在關閉瀏覽器后將失效,并且不會保存在本地。另外一種是本地保存Cookie,也就是設置了expires參數(shù),Cookie的值指定了失效時間,那么這個Cookie會保存在本地,關閉瀏覽器后再訪問網(wǎng)站,在Cookie有效時間內所有的請求都會帶上這個本地保存的Cookie。

        Internet Explorer有一個隱私報告功能,其實這是一個安全功能,它會阻擋所有的第三方Cookie,比如甲區(qū)域Web頁面嵌入了乙區(qū)域的文件,客戶端瀏覽器訪問了甲區(qū)域的Web頁面后對乙區(qū)域所發(fā)起的文件請求所帶上的Cookie會被IE攔截。除去文件請求情況,甲區(qū)域的Web頁面如果使用IFRAME幀包含乙區(qū)域的Web頁面,訪問甲區(qū)域的Web頁面后,乙區(qū)域的Web頁面里的所有請求包括文件請求帶上的Cookie同樣會被IE攔截。不過Internet Explorer的這個安全功能有兩個特性,一是不會攔截內存Cookie,二是在網(wǎng)站設置了P3P頭的情況下,會允許跨域訪問Cookie,隱私報告功能就不會起作用了。

        所以在Internet Explorer的這個安全特性的前提下,攻擊者要進行站外的CSRF攻擊使用文件請求來偽造GET請求的話,受害者必須在使用內存Cookie也就是沒有保存登陸的會話狀態(tài)下才可能成功。而Firefox瀏覽器并沒有考慮使用這樣的功能,站外的CSRF攻擊完全沒有限制。因此我們在進行網(wǎng)上交易時要選擇好瀏覽器。

        2.5 Java script劫持技術

        近年來的Web程序頻繁使用AJAX技術,JSON也開始取代XML做為AJAX的數(shù)據(jù)傳輸格式,JSON實際上就是一段JavaScript,大部分都是定義的數(shù)組格式。Fortify軟件公司的三位安全人員在2007年提出了JavaScript劫持技術,這是一種針對JSON動態(tài)數(shù)據(jù)的攻擊方式,實際上這也是一種變相的CSRF攻擊。攻擊者從站外調用一個Script標簽包含站內的一個JSON動態(tài)數(shù)據(jù)接口,因為

        亚洲s色大片在线观看| 亚洲啊啊啊一区二区三区| 中文字幕日韩精品中文字幕| 国产精品成人亚洲一区| 无码国产伦一区二区三区视频| 一国产区在线观看| 久久精品这里就是精品| 男女18视频免费网站| 无码任你躁久久久久久老妇| 在线播放a欧美专区一区| 女优av福利在线观看| 美妇炮灰被狂躁爽到高潮h| 色综合久久88色综合天天| 国产精品自在线免费| 亚洲天堂色婷婷一区二区| 免费在线观看视频播放| 婷婷五月六月综合缴情| 久久频精品99香蕉国产| 色综合久久人妻精品日韩| 欧美a级在线现免费观看| 最好看的最新高清中文视频 | 亚洲色欲色欲综合网站| 人妻无码在线免费| 国产影院一区二区在线| 日本爽快片100色毛片| 国产香蕉一区二区三区在线视频| 亚洲乱精品中文字字幕| 开心久久综合婷婷九月| 久久精品国产亚洲av麻豆| 精品亚洲国产探花在线播放| 伊人久久大香线蕉av色婷婷| 韩国三级在线观看久| 国产女精品视频网站免费| 国内自拍第一区二区三区| 亚洲精品成人无百码中文毛片 | 欧美人与物videos另类xxxxx| 日本最新在线一区二区| 国产午夜激无码av毛片不卡| 国产亚洲精品aaaaaaa片| 国产日韩久久久久69影院| 美女视频在线观看网址大全|