美文网首页测试
laravel 跨站请求伪造攻击防御

laravel 跨站请求伪造攻击防御

作者: 大鱼七成饱 | 来源:发表于2019-03-28 00:16 被阅读41次

    背景

    最近公司安全部对我负责的web模板进行了安全测试,提出了很多安全问题,里面有一项是跨站攻击,优先级比较高,因此对这种攻击方式进行了研究。我们的使用的laravel框架,因此最后的解决方案是用php写的,其他语言可以自己实现下,原理一样。

    一、CSRF攻击原理

    英文名称:Cross-site request forgery 中文名称:跨站请求伪造 缩写:csrf/xcsrf。简单说就是是用户登录目标网站后,诱骗用户点击攻击界面,然后伪造用户请求,实现攻击。
    简易转账的攻击例子:


    image.png

    说明:
    访问A网站后,没有退出的情况下cookie会被保留。步骤4中请求A网站,通过修改转账用户和金额,会重新提交转账请求,由于cookie未过期,转账成功。

    二、攻击模拟

    开发防御代码,必须要在模拟攻击方式,这里有个神器burpsuit
    1.proxy->intercept 设置为 is off

    image.png
    2.设置代理
    image.png
    3.设置搜狐浏览器(chrome也可以,需要安全插件)
    image.png
    image.png
    4.找到常规-》网络设置-》手动配置代理,与burpsuit中的一致
    image.png
    image.png

    点击test in browser,如果在浏览器中请求成功了说明存在csrf漏洞

    三、伪造的网站能获取哪些信息

    image.png
    • 转账链接。通过charles抓包可以获取
    • 请求方法和参数名:post和get
      这些是攻击的前提,在生成广告链接G之前这些是提前准备好的。
    • 无法获取到信息:cookie
      这里简单说下 浏览器同源策略
      官方文档 https://tools.ietf.org/html/rfc6454,这里说明了必须
      scheme, host和 port必须完全一致才是同源,同源才可以访问cookie等信息。为了举例,下面的表格给出了与URLhttp://www.example.com/dir/page.html"的对比。
      Screen Shot 2019-03-28 at 12.10.22 AM.png

    四、防御方案

    1、添加验证码

    这种方式可以防止csrf攻击,但是成本高。一般是用在登录、短信等不频繁的操作界面。

    2、验证http的refer

    http的refer显示了网站的来源,但是http refer可以被关闭,不能保证可以获取到(例如IE)

    3、token验证

    原理:既然网站B不能访问到网站A的cookie,那么我们可以在请求中添加cookie的token进行安全校验。
    具体操作是:服务端生成token放在cookie中,user 访问A网站都要带上公共参数token,token来自cookie,服务端校验token和session中的token是否一致,不一致则是非法操作。
    前后端分离情况下示例代码:

    <?php
    
    namespace App\Http\Middleware;
    
    use Illuminate\Cookie\Middleware\EncryptCookies as Middleware;
    
    class EncryptCookies extends Middleware
    {
        /**
         * The names of the cookies that should not be encrypted.
         *
         * @var array
         */
        protected $except = [
            'XSRF-TOKEN',
        ];
    }
    

    这个是laravel的cookie加密中间件,为了使用方便移除token的加密(官网未加密token是放在html中的),显然没必要加密
    前端代码:

    var token = getCookie("XSRF-TOKEN")
    
    $.ajax({
    
        //几个参数需要注意一下
    
        type: "POST",//方法类型
    
        dataType: "json",//预期服务器返回的数据类型
    
        url: "/transfer" ,//url
    
        headers:
    
            {
    
                "X-CSRF-TOKEN": token
    
            },
    
        data: $('#Form').serialize(),
    
        success: function (result) {
    
            window.location = '[http://test.com:8000/success](http://test.com:8000/success)'
    
            console.log(result);//打印服务端返回的数据(调试用)
    
        },
    
        error : function() {
    
            alert("异常!");
    
        }
    
    });
    
    

    再次用burpsuit测试,发现页面已不能访问成功。
    csrf防御成功!

    4、jwt 方式登录和授权

    一般攻击的地方都是需要登录验证的,因此可以在登录验证方式上进行防御。


    image.png
    • 客户端使用账户密码请求登录接口
    • 登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端
    • 客户端再次向服务端请求其他接口时带上JWT
    • 服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应

    token是存在客服端的,可以是cookie或者localstorage等。客户端请求服务端一般会把token放在header中,这就天然的防止了跨域攻击。jwt的具体使用可以参考这篇文章。如果项目还没开始,建议使用使用这种方式进行登录授权,而且方便后期sso。

    相关文章

      网友评论

        本文标题:laravel 跨站请求伪造攻击防御

        本文链接:https://www.haomeiwen.com/subject/edaxbqtx.html