背景
最近公司安全部对我负责的web模板进行了安全测试,提出了很多安全问题,里面有一项是跨站攻击,优先级比较高,因此对这种攻击方式进行了研究。我们的使用的laravel框架,因此最后的解决方案是用php写的,其他语言可以自己实现下,原理一样。
一、CSRF攻击原理
英文名称:Cross-site request forgery 中文名称:跨站请求伪造 缩写:csrf/xcsrf。简单说就是是用户登录目标网站后,诱骗用户点击攻击界面,然后伪造用户请求,实现攻击。
简易转账的攻击例子:
image.png
说明:
访问A网站后,没有退出的情况下cookie会被保留。步骤4中请求A网站,通过修改转账用户和金额,会重新提交转账请求,由于cookie未过期,转账成功。
二、攻击模拟
开发防御代码,必须要在模拟攻击方式,这里有个神器burpsuit
1.proxy->intercept 设置为 is off
2.设置代理
image.png
3.设置搜狐浏览器(chrome也可以,需要安全插件)
image.png
image.png
4.找到常规-》网络设置-》手动配置代理,与burpsuit中的一致
image.png
image.png
点击test in browser,如果在浏览器中请求成功了说明存在csrf漏洞
三、伪造的网站能获取哪些信息
image.png- 转账链接。通过charles抓包可以获取
- 请求方法和参数名:post和get
这些是攻击的前提,在生成广告链接G之前这些是提前准备好的。 -
无法获取到信息:cookie。
这里简单说下 浏览器同源策略
官方文档 https://tools.ietf.org/html/rfc6454,这里说明了必须
scheme, host和 port必须完全一致才是同源,同源才可以访问cookie等信息。为了举例,下面的表格给出了与URLhttp://www.example.com/dir/page.html"的对比。
Screen Shot 2019-03-28 at 12.10.22 AM.png
四、防御方案
1、添加验证码
这种方式可以防止csrf攻击,但是成本高。一般是用在登录、短信等不频繁的操作界面。
2、验证http的refer
http的refer显示了网站的来源,但是http refer可以被关闭,不能保证可以获取到(例如IE)
3、token验证
原理:既然网站B不能访问到网站A的cookie,那么我们可以在请求中添加cookie的token进行安全校验。
具体操作是:服务端生成token放在cookie中,user 访问A网站都要带上公共参数token,token来自cookie,服务端校验token和session中的token是否一致,不一致则是非法操作。
前后端分离情况下示例代码:
<?php
namespace App\Http\Middleware;
use Illuminate\Cookie\Middleware\EncryptCookies as Middleware;
class EncryptCookies extends Middleware
{
/**
* The names of the cookies that should not be encrypted.
*
* @var array
*/
protected $except = [
'XSRF-TOKEN',
];
}
这个是laravel的cookie加密中间件,为了使用方便移除token的加密(官网未加密token是放在html中的),显然没必要加密
前端代码:
var token = getCookie("XSRF-TOKEN")
$.ajax({
//几个参数需要注意一下
type: "POST",//方法类型
dataType: "json",//预期服务器返回的数据类型
url: "/transfer" ,//url
headers:
{
"X-CSRF-TOKEN": token
},
data: $('#Form').serialize(),
success: function (result) {
window.location = '[http://test.com:8000/success](http://test.com:8000/success)'
console.log(result);//打印服务端返回的数据(调试用)
},
error : function() {
alert("异常!");
}
});
再次用burpsuit测试,发现页面已不能访问成功。
csrf防御成功!
4、jwt 方式登录和授权
一般攻击的地方都是需要登录验证的,因此可以在登录验证方式上进行防御。
image.png
- 客户端使用账户密码请求登录接口
- 登录成功后服务器使用签名密钥生成JWT ,然后返回JWT给客户端
- 客户端再次向服务端请求其他接口时带上JWT
- 服务端接收到JWT后验证签名的有效性.对客户端做出相应的响应
token是存在客服端的,可以是cookie或者localstorage等。客户端请求服务端一般会把token放在header中,这就天然的防止了跨域攻击。jwt的具体使用可以参考这篇文章。如果项目还没开始,建议使用使用这种方式进行登录授权,而且方便后期sso。
网友评论