美文网首页谈天说地
网站漏洞攻击之跨站请求伪造CSRF

网站漏洞攻击之跨站请求伪造CSRF

作者: 追梦人在路上不断追寻 | 来源:发表于2019-10-28 23:06 被阅读0次

    什么是CSRF

    跨站请求伪造是一种互联网安全漏洞,它允许一个攻击者诱导用户操作他们不想要进行的操作。它允许攻击者绕过同源策略来攻击(一种设计用来阻止不同互相干涉的策略)。

    网站漏洞攻击之跨站请求伪造CSRF

    跨站攻击有什么影响

    在一个成功的跨站攻击中,攻击者可以让受害者用户无意之中执行一些操作。比如,他可以更改账户的邮件地址或者密码或者进行资金转账等。如果受害者拥有更高的权限,那么整个操作系统和上面的数据文件都会受到窃取和破坏。

    跨站攻击的原理

    进行跨站攻击,必须满足三个条件:

    • 相关操作-攻击者应该能够诱导用户操作某些动作,比如修改密码等。
    • 基于cookie的会话处理-执行跨站伪造需要发出一个或者多个http请求,并且该请求是通过cookie来标识用户的。
    • 请求参数固定-跨站请求不能包含无法确定或者猜测的其它参数。例如,如果修改密码需要当前密码的值,那么攻击者就无法进行攻击。
    网站漏洞攻击之跨站请求伪造CSRF

    跨站攻击的例子

    假设有这样一个通过忘记密码的请求,请求的头如下:

    <pre style="-webkit-tap-highlight-color: transparent; box-sizing: border-box; font-family: Consolas, Menlo, Courier, monospace; font-size: 16px; white-space: pre-wrap; position: relative; line-height: 1.5; color: rgb(153, 153, 153); margin: 1em 0px; padding: 12px 10px; background: rgb(244, 245, 246); border: 1px solid rgb(232, 232, 232); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">POST /email/change HTTP/1.1
    Host: vulnerable-website.com
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 30
    Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE
    email=wiener@normal-user.com
    </pre>

    网站漏洞攻击之跨站请求伪造CSRF

    如果发送这个请求可以修改用户的密码,那么攻击者和就可以构造一个下面的网页。

    <html>
     <body>
     <form action="https://vulnerable-website.com/email/change" method="POST">
     <input type="hidden" name="email" value="pwned@evil-user.net" />
     </form>
     <script>
     document.forms[0].submit();
     </script>
     </body>
    </html>
    

    当受害者访问这个网页的时候,因为用户携带有网站的cookie,那么他就会将cookie和邮箱一并提交给网站,而网站认为是用户自己进行的请求,导致用户的密码泄露。

    如何进行跨站请求伪造

    首先,攻击者会将恶意的html放到他们控制的网站上。

    然后,诱导用户访问该网站。

    最后,通过电子邮件或者社交媒体向用户发送指向网站的链接。

    如何防止跨站伪造

    最可靠的防止跨站请求伪造的方式就是使用csrf令牌,这个令牌在很多语言和框架中都有实现。因为令牌是不可预测的,所以当用户进行操作的时候,都需要拿着令牌进行相关操作,这样就使得攻击者不能满足请求参数固定这个条件,导致无法进行攻击。

    常见的csrf漏洞

    最常见的csrf漏洞就是csrf令牌验证错误引起的。假还是下面的请求头。这里添加了csrf这个token。

    POST /email/change HTTP/1.1
    Host: vulnerable-website.com
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 68
    Cookie: session=2yQIDcpia41WrATfjPqvm9tOkDvkMvLm
    csrf=WfF1szMUHhiokx9AHFply5L2xAOfjRkE&email=wiener@normal-user.com
    

    这样应该可以防止csrf攻击,因为它打破了csrf的三个必要条件,不仅依赖cookie,还有csrf这个攻击者无法确定的参数。但是,攻击者却可以通过多种方式来打破这种防御。

    一种情况是当请求方法使用GET方法时,可以跳过验证。因为get方法可以获取到当前的token然后,进行访问就会导致攻击成功。

    一种情况是攻击者先通过自己的账户访问网站,获取到令牌,然后通过该令牌和用户的请求进行伪造,导致攻击成功。

    一种情况是令牌重复,比如 发出的令牌陈宫之后,服务器保存发出的令牌记录。当后续进行请求的时候,应用程序只是验证令牌和cookie中的值是否一致,导致双重提交攻击。

    网站漏洞攻击之跨站请求伪造CSRF

    总结

    随着人们的安全意识提升,现在很多开发者都已经非常重视跨站请求伪造攻击了。但是还是有部分网站,或者一些菜鸟程序员会犯一些低级错误。仅以此文提醒程序员们,代码须谨慎,漏洞二行泪。

    相关文章

      网友评论

        本文标题:网站漏洞攻击之跨站请求伪造CSRF

        本文链接:https://www.haomeiwen.com/subject/obbivctx.html