基于Cookie欺骗的Session渗透入侵分析及其安全模型研究-计算机软件与理论专业论文.docxVIP

下载本文档

1
0
约4.77万字
约 54页
2019-02-11 发布于上海
举报
版权申诉

基于Cookie欺骗的Session渗透入侵分析及其安全模型研究-计算机软件与理论专业论文.docx

1、本文档共54页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

浙江太学硕士研究生毕业论乏浙江太学硕士研究生毕业论乏《基于Cookie欺骗的Session渗透八侵分析及其安全模型研究》摘要 Cookie的引入弥补了HTTP协议的无状态性的缺陷。Web应用的服务端和某一客户端可以通过一个相对惟一的Cookie值来维系一个Session，从而达到状态U{别的目的。本论文指出了这种基于Cookie的Session管理机制的一种典型缺陷，阐述了目I{{『常见的Web环境下基于Cookie欺骗的Session渗透入侵的实现原理和预防检测手段，提出并且实现了一个局域网下利用网络监听来实现 Session渗透攻防和入侵检测的比较完整的系统。／Session渗透入侵主要表现在伪造Cookie中的Session ID从而冒充合法客户端和服务器端进行数据交换，造成这个漏洞的原因是几乎所有的Web脚本解释引擎都未对不同的IP所发送的Cookie进行充分的检查，如果非法用户截获了发送给其他客户端的Cookie，便可能通过发送此Cookie来进行Session渗透入侵。另外，Web脚本解释引擎通过自己的一套算法来给每个独立客户端生成随机的Cookie值，如果这个随机生成过程能够被外界模拟猜测，那么也就相当于其他客户端可以随时伪造Cookie来进行Session渗透，而无需预先进行网络监听。对Session渗透入侵的预防主要在于改良Web脚本解释引擎，加入IP验证部分，减轻丌发人员手工编程验证的负担。而对于其检测则需要在1DS的结构原理方面进行一些实质性的探索。本文即深入探讨了一个基于网络监听的 Session渗透入侵检测系统的设计与实现原理，这部分也是包括原理分析、入侵预防和检测在内的Session塞全模型研究的主要内容。)尹7—一一关键词：Cookie；Session；圈而F■可口；国网络安全；仄硬≥ 2 冲国务凑泻}羽蹶、? 丝兰奎兰丝圭竺奎兰兰当丝叁丝兰奎兰丝圭竺奎兰兰当丝叁 !垒兰竺!竖：鳖些璧!!塑!塑垒垒垒堡坌堑垒茎塞全!些竺叁! ABSTRACT Cookie remedies the non．state flaw of HTTP protoc01．Web client and server can keep sessions through some unique cookie strings to distinguish states from each other．This paper pointed out a typical limitation of this cookie—based session management mechanism，described the principium of session penetration vulnerability based on cookie snooping in common Web environments．and gives some preventing and detecting measures．It also designed and implemented a LAN session penetrationIDS system．using network spoofing． Session penetration invasion，as sending snooped cookies to exchange data with servers without session authorization．occurs witll the reason that all ofthe Web script engines would not check the cookies from different clients、vith different 1P addresses．If an illegal user spoofed a cookie of session id．it may send it to W曲 server to inject into the session which the cookie presents．A web script engine generates session—id cookies through some independent secret algofism．If this process can be guessed or simulated，it means other client hosts can also generate the same cookies exactly