浏览器缓存污染防御策略研究

发布时间：2020-05-15 07:00

【摘要】：浏览器缓存主要用于加快用户对网络资源的请求速度,然而攻击者可以通过中间人攻击等方式实施缓存污染攻击。首先提出了一种基于Zipf定律的持久化缓存污染攻击模式,然后考虑到传统的缓存污染防御策略无法全面覆盖各种攻击方式,为此提出一种可调控的浏览器缓存污染防御策略,这种策略部署于用户与服务器之间,对用户所请求的缓存资源进行时间戳判断、请求相应延时判断、资源代表性判断、哈希验证和众包策略,可以有效防御浏览器缓存污染问题。实验选取200个JavaScript资源文件作为实验样本,利用中间人攻击的方式污染其中100个样本,在访问这些资源的同时启用防御脚本,分析污染样本的检测率和正常样本的误判率,结果表明,在松弛条件下,污染样本的检测率达到87%,正常样本误判率为0%。而在严格条件下,污染样本的检测率达到95%,正常样本误判率为4%。同时所有实验样本的请求响应时间差分别为5277ms和6013ms,均小于全部重新加载资源的时间差,在防御了绝大部分的受污染资源的同时还缩短了用户访问的时间,最后还提出基于支持向量机的资源代表性检测方法降低了污染样本的漏判率。该策略简化了缓存污染攻击防御的流程并可以通过不同的参数在用户体验性和安全性中取得平衡。
【图文】：

芯可，

本文编号：2664649