第四章 跨站点请求伪造(CSRF)
1. 什么是CSRF?
全名:Cross Site Request Forgery, 中文名:跨站点请求伪造。
2. CSRF可以做什么?
攻击者盗用了你的身份,以你的名义发送恶意请求。
3. GET类型的CSRF
只需要一个HTTP请求,就可以构造一次简单的CSRF。
示例:
银行网站A,它以GET请求来完成银行转账的操作,如:http://www.mybank.com/Transfer.php?toBankId=11&money=1000
危险网站B,它里面有一段HTML的代码如下:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块......
为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中的<img>以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取资源http://www.mybank.com/Transfer.php?toBankId=11&money=1000 ,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账操作),所以就立刻进行转账操作......
4. POST类型的CSRF
攻击者可以使用JavaScript构造表单。
栗子略。
5. 如何防御CSRF
-
验证码
- 在表单中增加一个随机的数字或字母验证码,通过强制用户和应用进行交互,来有效地遏制CSRF攻击。
-
Referer Check
- 检查如果是非正常页面过来的请求,则极有可能是CSRF攻击。
-
Anti CSRF TOKEN
- 在请求的参数里增加一个随机的参数token,token只能服务器和客户端知道,不能有第三方知道。
- token需要足够随机
- 敏感的操作应该使用POST,而不是GET,以form表单的形式提交,可以避免token泄露。
网友评论