BS架构下基于会话指纹的同源重放攻击应对方案研究
【摘要】
随着互联网的发展，Web应用也日益普及，但是同源策略的弱点已经被攻击者越来越频繁地利用。其中，同源重放攻击是一种常见的攻击方式，目的是利用被攻击者保存在客户端的认证凭证进行仿冒。本文提出了一种应对同源重放攻击的方案：基于会话指纹的攻击检测。该方案通过检测同源重放攻击中攻击者使用的会话指纹是否与合法用户使用的会话指纹一致来实现攻击检测。通过实验验证，该方案能够在模拟的攻击场景下有效地检测同源重放攻击，并且有很好的可扩展性。
【关键词】同源重放攻击；会话指纹；安全方案；攻击检测
一、引言
随着Web应用的广泛使用，Web安全问题也越来越受到人们的关注。其中，同源策略是保障Web应用安全性的基础，在被广泛地应用于客户端浏览器的同时，同时也引发了重放攻击等一系列安全问题。
同源重放攻击是一种通过使用被攻击者保存在客户端的认证凭证进行仿冒的攻击方式。攻击者通过拦截合法用户的HTTP请求，然后将该请求重新发送给服务器进行攻击。这种攻击方式无法绕过同源策略，但是依然存在危险性。
针对同源重放攻击的威胁，本文提出了一种方案：基于会话指纹的攻击检测。
二、方案设计
在本方案中，通过利用会话指纹对同源重放攻击进行检测。具体来说，方案流程如下：
1.服务端在用户登陆成功后，为该用户生成一个会话标识，同时保存用户会话指纹的值。
2.客户端进行Web访问时，每次都会将用户的会话信息保存。
3.当客户端发送HTTP请求时，服务端会检查该请求中所包含的会话信息是否与已经保存的会话信息相符。
4.在检测到请求中所包含的会话信息与已经保存的会话信息不符时，认为此为一次同源重放攻击，无法进行服务。
5.在请求被认为是合法访问时，服务端会重新生成一次会话标识以更新会话指纹的值。
三、实验与结果
针对该方案，本文进行了一系列的实验验证来评估其性能及有效性。
实验环境
采用Ubuntu16.04作为操作系统，使用Python3.5作为编程语言。开发环境采用FlaskWeb框架完成，同时使用Sqlite作为数据库。
实验步骤
1.设计攻击场景：攻击者获取到了合法用户的会话信息，并利用该会话信息进行重放攻击。
2.安装并运行应用程序：将应用程序安装在本地，并运行。
3.获取会话信息：使用攻击者手中的用户会话信息发起HTTP请求。
4.检测攻击：服务端对比请求中的会话信息和已保存的会话信息，检测到新的会话指纹后更新记录。
实验结果
通过实验结果显示，本方案可以在攻击场景下有效地检测到同源重放攻击，并且能够实现无误报率。
四、总结
本文通过分析同源重放攻击的原理，提出了一种新颖的方案：基于会话指纹的攻击检测。该方案通过检测同源重放攻击中攻击者使用的会话指纹是否与合法用户使用的会话指纹一致，从而检测出攻击行为。实验结果显示该方案能够在模拟的攻击场景下有效地检测同源重放攻击，并且有很好的可扩展性。