摘要: 浏览器缓存主要用于加快用户对网络资源的请求速度,达到一种良好的用户体验,同时也面临着安全威胁,攻击者可以通过中间人攻击等方式实施缓存污染攻击,若用户没有清理浏览器缓存的习惯,这些被污染的资源将会长久的危害用户。无论攻击者采取何种方式,他们的目的都是一致的即污染用户的缓存,为此提出一种可调控的浏览器缓存污染防御策略,这种策略处于用户与服务器之间,不关注用户是否被污染,或者说攻击者使用何种方法进行浏览器缓存污染,对用户所请求的资源进行随机数判断、请求相应延时判断、资源代表性判断、哈希验证和众包策略。最后利用中间人攻击的方式模拟缓存污染攻击实验100条污染样本和100条正常样本,结果表明,在松弛条件下,污染样本的命中率达到87%,正常样本误判率为0%;而在严格条件下,污染样本的命中率达到95%,正常样本误判率为4%。该策略简化了缓存污染攻击防御的流程并可以通过不同的参数在用户体验性和安全性中取得平衡。
中图分类号: