CN103312666B - 一种防御跨站请求伪造csrf攻击的方法、系统和装置 - Google Patents

一种防御跨站请求伪造csrf攻击的方法、系统和装置 Download PDF

Info

Publication number
CN103312666B
CN103312666B CN201210061000.3A CN201210061000A CN103312666B CN 103312666 B CN103312666 B CN 103312666B CN 201210061000 A CN201210061000 A CN 201210061000A CN 103312666 B CN103312666 B CN 103312666B
Authority
CN
China
Prior art keywords
http request
token value
session cookie
read
website server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210061000.3A
Other languages
English (en)
Other versions
CN103312666A (zh
Inventor
操龙敏
龙丁奋
郭学亨
朱磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Tencent Cloud Computing Beijing Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201210061000.3A priority Critical patent/CN103312666B/zh
Publication of CN103312666A publication Critical patent/CN103312666A/zh
Application granted granted Critical
Publication of CN103312666B publication Critical patent/CN103312666B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种防御跨站请求伪造CSRF攻击的方法、系统和装置。包括:网站服务器向登录成功的客户端发送会话cookie,所述会话cookie包括token值;客户端根据源网站服务器的完整域名,读取与该完整域名对应的会话cookie以及该会话cookie中的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向目标网站服务器发送该http请求;目标网站服务器将cookie中的token值和从http请求包体中读取的token值进行比较,如果不一致、或无法从cookie中读取token值,则不进行业务处理。应用本发明能够防御CSRF攻击。

Description

一种防御跨站请求伪造CSRF攻击的方法、系统和装置
技术领域
本发明涉及网络技术领域,尤其涉及一种防御跨站请求伪造(CSRF)攻击的方法、系统和装置。
背景技术
跨站请求伪造(CSRF)攻击,是指攻击者利用用户在一网站下的登录态信息,向与该一网站属于相同根域的任意网站发送请求,从而以用户的名义发送邮件、或修改信息、或购买商品等。其中,属于相同根域的不同网站的一级域名相同,但二级域名不同。
现有技术中,如果用户成功登录根域下的一个网站,则认为该用户在该根域下的任一网站都处于登录态,因此如果攻击者冒充该用户向该根域下的网站发送购买商品、修改用户资料等请求,则该根域下的网站将根据该请求进行相应的业务处理。
具体地,由于同一根域下的不同网站的登录信息相同,而登录信息都保存在会话cookie中,因此,攻击者可以通过在http请求中携带用户已经成功登录的网站的cookie值,来冒充该用户,向与该用户已经成功登录的网站的一级域名相同的目标网站发送http请求。
例如,假设用户A登录了自己的个人网络空间,并且,该用户A处于个人网络空间的登录态时,访问了某危险网站A,该危险网站A中有一个<img>图片,该<img>图片的src是修改用户资料的url,即<imgsrc=”qzone.qq.com/cgi-bin/mod?nick=csrf”/>。由于HTML的img标签可以自动执行,以GET的方式发送http请求,因此,当用户A登录该危险网站A时,该危险网站A将以GET的方式向管理用户资料的服务器发送修改该用户A用户资料的http请求,管理用户资料的服务器收到该危险网站A发送的http请求后,判断该用户A当前是否处于个人网络空间所属根域的登录态,如果是,则依据该http请求修改该用户A的用户资料,否则,拒绝修改该用户A的用户资料。
目前,防御CSRF攻击的一种方法是,对重要的写操作,例如修改用户资料等,管理用户资料的服务器只根据以POST请求方式发送的用户资料修改请求进行用户资料的修改。
然而,即便是管理用户资料的服务器只根据以POST请求的方式发送的用户资料修改请求进行用户资料的修改,攻击者仍然可以使用伪造FORM表单请求的方式篡改用户资料。
例如,在危险网站A中嵌入有如下的内嵌框架(iframe):
由于iframe也是可以自动执行的,因此,如果用户A在处于某一网站的登录态时登录所述危险网站A,则一样可以触发CSRF攻击,即该危险网站冒充登录的用户A,向管理用户资料的服务器以POST请求的方式发送用户资料修改请求,从而篡改用户资料。
可见,由于现有技术中,当用户成功登录根域下的一个网站后,该根域下的各个网站均认为该用户处于登录态,如果接收到攻击者冒充用户发送的请求,则会进行相应的处理,因此,难以防御CSRF攻击。
发明内容
有鉴于此,本发明提供了一种防御跨站请求伪造CSRF攻击的方法、系统和装置,从而防御CSRF攻击。
本发明的技术方案具体是这样实现的:
一种防御CSRF攻击的方法,该方法包括:
网站服务器向登录成功的客户端发送会话cookie,客户端接收所述会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令token值;
客户端在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向该目标网站服务器提交该http请求;
目标网站服务器接收客户端发来的http请求,从所述http请求的包头中读取会话cookie,从所述http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,如果不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。
一种防御CSRF攻击的系统,该系统包括客户端和网站服务器;
所述客户端,用于接收网站服务器发送的会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令token值,在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里,向该目标网站服务器提交该http请求;
所述网站服务器,用于向登录成功的客户端发送会话cookie,接收客户端发来的http请求,从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,如果不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。
一种防御CSRF攻击的客户端,所述客户端包括接收模块、识别模块、保存模块、http请求构造模块和发送模块;
所述接收模块,用于接收网站服务器发送的会话cookie,所述会话cookie包括随机口令token值;
所述识别模块,用于识别所述网站服务器的完整域名;
所述保存模块,用于保存所述会话cookie与所述网站服务器的完整域名之间的对应关系;
所述http请求构造模块,用于根据请求该客户端发送http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里;
所述发送模块,用于向网站提交所述http请求。
一种防御csrf攻击的服务器,该服务器包括发送模块、接收模块、安全模块和业务处理模块;
所述发送模块,用于向登录成功的客户端发送会话cookie,该会话cookie中包括随机口令token值;
所述接收模块,用于接收客户端发送的http请求;
所述安全模块,用于从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,判断从所述会话cookie中读取的token值与从所述http请求中读取的token值是否一致;
所述业务处理模块,用于在从所述会话cookie中读取的token值与从所述http请求包体中读取的token值一致时,根据所述http请求进行业务处理,在从所述会话cookie中读取的token值与从所述http请求包体中读取的token值不一致、或无法从所述会话cookie中读取token值时,不进行所述业务处理。
由上述方案可见,本发明中,网站服务器向登录成功的客户端发送会话cookie,其中携带有token值,客户端在向目标网站服务器提交http请求时,会读取请求该客户端发送该http请求的源网站服务器发来的会话cookie,以及该cookie中携带的token值,将所述会话cookie和所述token值携带在http请求中发给目标网站服务器,而目标网站服务器在接收到客户端发来的http请求时,会从该http请求中读取会话cookie和token值,并读取所述会话cookie中的token,将直接从所述http请求中读取的token值、和直接从所述会话cookie中读取的token值进行比较,只有在两者一致时,才会根据所述http请求进行业务处理,如果两者不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。可见,如果http请求不是从已登录的目标网站服务器发出的,则一方面,客户端在构造http请求时,无法读取目标网站服务器的cookie、也无法从目标网站服务器的cookie中读取出token值,因此,客户端无法构造http请求,进而无法向目标网站服务器发送能够得到正确响应的http请求,因此,能够防止CSRF攻击,另一方面,如果客户端伪造了token值携带在http请求中,则在目标服务器对http请求中的cookie和token值进行检验时,也将检验不通过,也不会为其提供相应的业务处理,因此也能够防止CSRF攻击。
附图说明
图1是本发明提供的防御CSRF攻击的方法流程图。
图2是本发明提供的防御CSRF攻击的系统组成示意图。
图3是本发明提供的防御CSRF攻击的客户端结构图。
图4是本发明提供的防御CSRF攻击的服务器结构图。
具体实施方式
图1是本发明提供的防御CSRF攻击的方法流程图。
如图1所示,该方法包括:
步骤101,网站服务器向登录成功的客户端发送会话cookie,所述会话cookie包括随机口令(token)值。
步骤102,客户端接收所述会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系。
步骤103,客户端在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie、以及该会话cookie中携带的token值,将该会话cookie和该token值携带在该http请求中,向目标网站服务器提交该http请求。
其中,将会话cookie和token值携带在该http请求中具体包括:将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里。
步骤104,目标网站服务器接收客户端发来的http请求,从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,执行步骤105,如果不一致、或无法从所述cookie中读取token值,则执行步骤106。
步骤105,则根据所述http请求进行业务处理。
步骤106,不进行所述业务处理。
本步骤中,在从会话cookie中读取的token值和从http请求中读取的token值不一致时,目标网站服务器可以向所述客户端反馈token值错误的提醒消息。
为了避免token值被破解,token的字符串长度需要大于预定阈值。
为了进一步提高安全性,客户端在向目标网站服务器提交http请求时,可以向用户显示需要输入的验证码,并接收用户输入的验证码,将所述验证码也携带在所述http请求中,目标网站服务器进一步通过对所述验证码进行验证,来防御CSRF攻击。
根据本发明提供的上述方法,本发明还提供了相应的系统和装置,具体请参见图2~图4。
图2是本发明提供的防御CSRF攻击的系统组成示意图。
如图2所示,该系统包括客户端201和网站服务器202。
客户端201,用于接收网站服务器发送的会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令(token)值,在向目标网站服务器提交http请求时,根据请求该客户端201发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie、以及该会话cookie中携带的token值,将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里,向该目标网站服务器提交该http请求。
网站服务器202,用于向登录成功的客户端发送会话cookie,接收客户端发来的http请求,从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,否则,不进行所述业务处理。
典型地,所述客户端可以是网页浏览器。
图3是本发明提供的防御CSRF攻击的客户端结构图。
如图3所示,该客户端包括接收模块301、识别模块302、保存模块303、http请求构造模块304和发送模块305。
接收模块301,用于接收网站服务器发送的会话cookie,所述会话cookie包括token值。
识别模块302,用于识别所述网站服务器的完整域名。
保存模块303,用于保存所述会话cookie与所述网站服务器的完整域名之间的对应关系。
http请求构造模块304,用于根据请求该客户端发送http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie、以及该会话cookie中携带的token值,将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里。
发送模块305,用于向目标网站服务器提交所述http请求。
图4是本发明提供的防御CSRF攻击的服务器结构图。
如图4所示,该服务器包括发送模块401、接收模块402、安全模块403和业务处理模块404。
发送模块401,用于向登录成功的客户端发送会话cookie,该会话cookie中包括token值。
接收模块402,用于接收客户端发送的http请求。
安全模块403,用于从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,判断从所述会话cookie中读取的token值与从所述http请求包体中读取的token值是否一致。
业务处理模块404,用于在从所述会话cookie中读取的token值与从所述http请求包体中读取的token值一致时,根据所述http请求进行业务处理,在从所述会话cookie中读取的token值与从所述http请求包体中读取的token值不一致、或无法从所述会话cookie中读取token值时,不进行所述业务处理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (8)

1.一种防御跨站请求伪造CSRF攻击的方法,其特征在于,该方法包括:
网站服务器向登录成功的客户端发送会话cookie,客户端接收所述会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令token值;
客户端在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将该会话cookie携带在http请求的包头中,将该token值携带在http请求的包体里,向该目标网站服务器提交该http请求;
目标网站服务器接收客户端发来的http请求,从所述http请求的包头中读取会话cookie,从所述http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,如果不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。
2.根据权利要求1所述的方法,其特征在于,该方法还包括:在从所述会话cookie中读取的token值和从所述http请求包体中读取的token值不一致时,所述目标网站服务器向所述客户端反馈token值错误的提醒消息。
3.根据权利要求1所述的方法,其特征在于,该方法还包括:所述token的字符串长度大于预定阈值。
4.根据权利要求1所述的方法,其特征在于,该方法还包括,客户端在向目标网站服务器提交http请求时,接收用户输入的验证码,将所述验证码携带在所述http请求中。
5.一种防御跨站请求伪造CSRF攻击的系统,其特征在于,该系统包括客户端和网站服务器;
所述客户端,用于接收网站服务器发送的会话cookie,识别所述网站服务器的完整域名,保存所述会话cookie与所述网站服务器的完整域名之间的对应关系,所述会话cookie包括随机口令token值,在向目标网站服务器提交http请求时,根据请求该客户端发送该http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里,向该目标网站服务器提交该http请求;
所述网站服务器,用于向登录成功的客户端发送会话cookie,接收客户端发来的http请求,从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,如果一致,则根据所述http请求进行业务处理,如果不一致、或无法从所述cookie中读取token值,则不进行所述业务处理。
6.根据权利要求5所述的系统,其特征在于,所述客户端包括浏览器。
7.一种防御跨站请求伪造CSRF攻击的客户端,其特征在于,所述客户端包括接收模块、识别模块、保存模块、http请求构造模块和发送模块;
所述接收模块,用于接收网站服务器发送的会话cookie,所述会话cookie包括随机口令token值;
所述识别模块,用于识别所述网站服务器的完整域名;
所述保存模块,用于保存所述会话cookie与所述网站服务器的完整域名之间的对应关系;
所述http请求构造模块,用于根据请求该客户端发送http请求的源网站服务器的完整域名,读取与该源网站服务器的完整域名对应的会话cookie,并读取该会话cookie中携带的token值,将会话cookie携带在http请求的包头中,将token值携带在http请求的包体里;
所述发送模块,用于向网站提交所述http请求。
8.一种防御跨站请求伪造CSRF攻击的服务器,其特征在于,该服务器包括发送模块、接收模块、安全模块和业务处理模块;
所述发送模块,用于向登录成功的客户端发送会话cookie,该会话cookie中包括随机口令token值;
所述接收模块,用于接收客户端发送的http请求;
所述安全模块,用于从http请求的包头中读取会话cookie,从http请求的包体里读取token值,从所述会话cookie中读取token值,将从所述会话cookie中读取的token值和从所述http请求包体中读取的token值进行比较,判断从所述会话cookie中读取的token值与从所述http请求中读取的token值是否一致;
所述业务处理模块,用于在从所述会话cookie中读取的token值与从所述http请求包体中读取的token值一致时,根据所述http请求进行业务处理,在从所述会话cookie中读取的token值与从所述http请求包体中读取的token值不一致、或无法从所述会话cookie中读取token值时,不进行所述业务处理。
CN201210061000.3A 2012-03-09 2012-03-09 一种防御跨站请求伪造csrf攻击的方法、系统和装置 Active CN103312666B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210061000.3A CN103312666B (zh) 2012-03-09 2012-03-09 一种防御跨站请求伪造csrf攻击的方法、系统和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210061000.3A CN103312666B (zh) 2012-03-09 2012-03-09 一种防御跨站请求伪造csrf攻击的方法、系统和装置

Publications (2)

Publication Number Publication Date
CN103312666A CN103312666A (zh) 2013-09-18
CN103312666B true CN103312666B (zh) 2016-03-16

Family

ID=49137452

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210061000.3A Active CN103312666B (zh) 2012-03-09 2012-03-09 一种防御跨站请求伪造csrf攻击的方法、系统和装置

Country Status (1)

Country Link
CN (1) CN103312666B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103944900B (zh) * 2014-04-18 2017-11-24 中国科学院计算技术研究所 一种基于加密的跨站请求攻击防范方法及其装置
CN105450587B (zh) 2014-07-28 2018-08-24 国际商业机器公司 用于保护网络通信安全的方法和装置
CN104601558A (zh) * 2014-12-31 2015-05-06 微梦创科网络科技(中国)有限公司 防御跨站请求伪造攻击的方法及装置
CN106341370B (zh) * 2015-07-07 2020-11-24 北京京东尚科信息技术有限公司 一种防御跨站请求伪造攻击的方法及装置
CN106549925A (zh) * 2015-09-23 2017-03-29 阿里巴巴集团控股有限公司 防止跨站点请求伪造的方法、装置及系统
CN106776975A (zh) * 2016-12-06 2017-05-31 成都知道创宇信息技术有限公司 一种识别网页中CSRF token元素的方法
CN106790007A (zh) * 2016-12-13 2017-05-31 武汉虹旭信息技术有限责任公司 基于XSS和CSRF的Web攻击防御系统及其方法
CN106790238B (zh) * 2017-01-19 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种跨站请求伪造csrf防御认证方法和装置
CN107634967B (zh) * 2017-10-19 2021-06-25 南京大学 一种CSRF攻击的CSRFToken防御系统和方法
CN108600172B (zh) * 2018-03-23 2020-11-24 广州广电研究院有限公司 撞库攻击检测方法、装置、设备及计算机可读存储介质
CN108712367A (zh) * 2018-03-28 2018-10-26 新华三信息安全技术有限公司 一种报文处理方法、装置及设备
CN109067769A (zh) * 2018-09-03 2018-12-21 浙江农林大学暨阳学院 一种利用身份认证机制来进行csrf防护方法
CN111212016B (zh) * 2018-11-21 2022-09-23 阿里巴巴集团控股有限公司 跨站请求处理方法、装置及电子设备
CN110046500B (zh) * 2019-03-11 2022-04-15 刘勇 一种用于网络防护的动态cookie验证方法及装置
CN111200603A (zh) * 2019-12-30 2020-05-26 南京旅享云网络科技有限公司 一种数据交互的方法
US11363070B2 (en) 2020-01-05 2022-06-14 International Business Machines Corporation Preventing cross-site request forgery
CN111327621A (zh) * 2020-02-27 2020-06-23 紫光云技术有限公司 一种基于自定义http请求头防御CSRF攻击的方法
CN111628965B (zh) * 2020-04-03 2022-09-30 北京奇艺世纪科技有限公司 一种跨域名登录方法及装置
CN113783824B (zh) * 2020-06-10 2022-08-30 中国电信股份有限公司 防止跨站请求伪造的方法、装置、客户端、系统及介质
CN113343278B (zh) * 2021-07-05 2022-07-26 湖南快乐阳光互动娱乐传媒有限公司 一种防御csrf攻击的登录请求校验方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296087A (zh) * 2007-04-23 2008-10-29 Sap股份公司 用于防止跨站攻击的方法和系统
CN101594343A (zh) * 2008-05-29 2009-12-02 国际商业机器公司 安全提交请求的装置和方法、安全处理请求的装置和方法
CN101883024A (zh) * 2010-06-23 2010-11-10 南京大学 一种跨站点伪造请求的动态检测方法
US8051465B1 (en) * 2008-09-26 2011-11-01 Amazon Technologies, Inc. Mitigating forgery of electronic submissions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296087A (zh) * 2007-04-23 2008-10-29 Sap股份公司 用于防止跨站攻击的方法和系统
CN101594343A (zh) * 2008-05-29 2009-12-02 国际商业机器公司 安全提交请求的装置和方法、安全处理请求的装置和方法
US8051465B1 (en) * 2008-09-26 2011-11-01 Amazon Technologies, Inc. Mitigating forgery of electronic submissions
CN101883024A (zh) * 2010-06-23 2010-11-10 南京大学 一种跨站点伪造请求的动态检测方法

Also Published As

Publication number Publication date
CN103312666A (zh) 2013-09-18

Similar Documents

Publication Publication Date Title
CN103312666B (zh) 一种防御跨站请求伪造csrf攻击的方法、系统和装置
CN112567710B (zh) 用于污染网络钓鱼活动响应的系统和方法
US11922423B2 (en) Systems and methods of global identification
US20240089267A1 (en) Method and system for identifying users and detecting fraud by use of the internet
US9076132B2 (en) System and method of addressing email and electronic communication fraud
JP6527590B2 (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
US8839369B1 (en) Methods and systems for detecting email phishing attacks
US9390384B2 (en) Systems and methods of sharing information through a tagless device consortium
CN107634967B (zh) 一种CSRF攻击的CSRFToken防御系统和方法
US20110231913A1 (en) System and methods of determining computational puzzle difficulty for challenge-response authentication
CN102571846A (zh) 一种转发http请求的方法及装置
Siddiqui et al. Cross site request forgery: A common web application weakness
CN101180826A (zh) 较高级协议认证
EP3214817B1 (en) Phishing page detection method and device
CN103338211A (zh) 一种恶意url鉴定方法及装置
CN102624687A (zh) 基于移动终端的联网程序用户验证方法
CN107835160A (zh) 基于二维码的第三方用户认证方法
Dakpa et al. Study of phishing attacks and preventions
CN106341370B (zh) 一种防御跨站请求伪造攻击的方法及装置
VS et al. A Comprehensive Examination of Email Spoofing: Issues and Prospects for Email Security
WO2005048522A1 (en) System and method of addressing email and electronic communication fraud
Jang et al. An Analysis of Phishing Cases Using Text Mining
Uma et al. Improved cross site scripting filter for input validation against attacks in web services
Rahamathunnisa et al. Preventing from phishing attack by implementing url pattern matching technique in web
Lemmen et al. Automating Payload Delivery & Detonation Testing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20231228

Address after: 518057, 35th Floor, Tencent Building, Keji Middle Road, High tech Zone, Shenzhen, Guangdong Province

Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd.

Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd.

Address before: 2, 518044, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District

Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd.

TR01 Transfer of patent right