美文网首页
CSRF攻击和防御

CSRF攻击和防御

作者: 饥人谷_魏少锋 | 来源:发表于2018-02-25 17:41 被阅读62次

一. CSRF攻击

CSRF(Cross-site request forgery),跨站请求伪造。

攻击者盗用用户身份,以用户身份发送恶意请求。

CSRF能够做的事情包括:以用户名义发送邮件,发消息,盗取账号,甚至于购买商品,虚拟货币转账......

造成的问题包括:个人隐私泄露以及财产安全。

image

产生CSRF攻击的前提步骤

  1. 登录受信任网站A,并在本地生成Cookie 。
  2. 在不退出A的情况下,访问危险网站B。
For example
1.
Dangerous website:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
2.
Bank website :
<form action="Transfer.php" method="POST">
<p>ToBankId: <input type="text" name="toBankId" /></p>
<p>Money: <input type="text" name="money" /></p>
<p><input type="submit" value="Transfer" /></p>
</form>

Transfer.php
<?php
   session_start();
   if (isset($_REQUEST['toBankId'] && isset($_REQUEST['money']))
   {
      buy_stocks($_REQUEST['toBankId'], $_REQUEST['money']);
   }/*$_REQUEST既可以获取GET请求的数据,也可以获取POST请求的数据,
   这就造成了在后台处理程序无法区分这到底是GET请求的数据还是POST请求的数据*/
?>

Dangerous website:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
3.
Transfer.php

<?php
    session_start();
    if (isset($_POST['toBankId'] && isset($_POST['money']))
    {
        buy_stocks($_POST['toBankId'], $_POST['money']);
    }
?>

Dangerous website:
<html>
  <head>
    <script type="text/javascript">
      function steal()
      {
               iframe = document.frames["steal"];
               iframe.document.Submit("transfer");
      }
    </script>
  </head>

  <body onload="steal()">
    <iframe name="steal" display="none">
      <form method="POST" name="transfer" action="http://www.myBank.com/Transfer.php">
        <input type="hidden" name="toBankId" value="11">
        <input type="hidden" name="money" value="1000">
      </form>
    </iframe>
  </body>
</html>

这三种方式都会造成CSRF攻击,使得银行用户自发转账,账号少了1000块钱。

第一,二种情况较为常见和容易发生,只需要用户进入危险网站发生图片加载,自动进入银行网站发生转账行为。

第三种情况利用hidden元素隐藏post请求,但是要使用JavaScript。

可以得出:CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!

二. CSRF防御

  • anti-csrf-token方案

服务端在收到路由请求时,生成一个随机数,在渲染请求页面时把随机数埋入页面(一般埋入 form 表单内,<input type="hidden" name="_csrf_token" value="xxxx">)

服务端设置setCookie,把该随机数作为cookie或者session种入用户浏览器

当用户发送 GET 或者 POST 请求时带上_csrf_token参数(对于 Form 表单直接提交即可,因为会自动把当前表单内所有的 input 提交给后台,包括_csrf_token)

后台在接受到请求后解析请求的cookie获取_csrf_token的值,然后和用户请求提交的_csrf_token做个比较,如果相等表示请求是合法的。

这个Token的值必须是随机的,不可预测的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。

注意:

Token 保存在 Session 中;

尽量少用 GET。

  • Cookie-to-header令牌

在大多数操作中使用JavaScript的 Web应用程序可能使用依赖于同源策略的反CSRF技术:

  1. 在登录时,Web应用程序会设置一个包含随机标记的cookie,该标记在整个用户会话中保持不变

    Set-Cookie:Csrf-token = i8XNjC4b8KVok4uw5RftR38Wgp2BFwql; 到期=星期四,23-Jul-2015 10:25:33 GMT; 最大年龄= 31449600; 路径= /

  2. 在客户端操作的JavaScript读取它的值并将其复制到每个事务请求发送的自定义HTTP头中

    X-Csrf-Token:i8XNjC4b8KVok4uw5RftR38Wgp2BFwql

  3. 服务器验证令牌的存在和完整性

这种技术的安全性基于这样一种假设,即只有在相同来源内运行的JavaScript才能读取cookie的值。从恶意文件或电子邮件运行的JavaScript将无法读取并复制到自定义标题中。即使csrf-token cookie将自动与恶意请求一起发送,服务器仍将期待有效的X-Csrf-Token 标头。

CSRF令牌本身应该是唯一且不可预测的。它可以随机生成,也可以使用HMAC从会话令牌派生:

csrf_token = HMAC(session_token,application_secret)

CSRF标记Cookie不得有httpOnly标志,因为它旨在由JavaScript设计读取。

这项技术由许多现代框架实现,如Django和AngularJS。因为令牌在整个用户会话中保持不变,所以它在AJAX应用程序中运行良好,但不会在Web应用程序中强制执行事件序列。

  • 客户端防御

诸如RequestPolicy(用于Mozilla Firefox)或uMatrix(用于Firefox和Google Chrome / Chromium)的浏览器扩展可以通过为跨站点请求提供默认拒绝策略来阻止CSRF。但是,这可能会显着干扰许多网站的正常运行。CsFire扩展(也适用于Firefox)可以通过从跨站点请求中删除身份验证信息来减轻CSRF的影响,同时减少对正常浏览的影响。

相关文章

  • Laravel - CSRF 攻击与防御

    CSRF攻击与防御-start 什么是CSRF攻击?CSRF是跨站请求伪造(Cross-site request ...

  • 网络安全系列(3) CSRF攻击

    1.CSRF概述 1.2 CSRF 攻击实例 1.3 CSRF 攻击的对象 2.当前防御 CSRF 的几种策略 2...

  • CSRF攻击和防御

    一. CSRF攻击 CSRF(Cross-site request forgery),跨站请求伪造。 攻击者盗用用...

  • CSRF攻击和防御

    CSRF的全称是Cross Site Request Forgery,即跨请求伪造。CSRF对于那些开源网站、多用...

  • 要学就学透彻!Spring Security 中 CSRF 防御

    上篇文章松哥和大家聊了什么是 CSRF 攻击,以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Sec...

  • 2018-03-29

    CSRF的攻击与防御 一、CSRF简介 CSRF(Cross-Site Request Forgery,跨站点伪造...

  • 防御CSRF攻击

    防御CSRF攻击主要有三种策略:验证HTTP Referer字段,在请求地址中添加token并验证,在HTTP头中...

  • CSRF攻击防御

    CSRF 攻击的应对之道web安全之token和CSRF攻击CSRF Token 的设计是否有其必要性? CSRF...

  • 每日安全资讯(2020.01.14)

    CSRF攻击防御原理因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以...

  • csrf攻击和防御方案

    CSRF(Cross Site Request Forgery, 跨站域请求伪造) 是一种网络的攻击行为,它可以在...

网友评论

      本文标题:CSRF攻击和防御

      本文链接:https://www.haomeiwen.com/subject/okwrxftx.html