2024年csrf攻击原理与解决方法_CSRF攻击防御原理(1)，2024年最新阿里面试官

最新推荐文章于 2024-08-21 11:02:00 发布

2401_84911119

最新推荐文章于 2024-08-21 11:02:00 发布

阅读量504

点赞数 6

分类专栏：程序员文章标签： go 学习面试

本文链接：https://blog.csdn.net/2401_84911119/article/details/138813936

版权

程序员专栏收录该内容

59 篇文章 1 订阅

订阅专栏

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

1.Token构成

为了防止CSRF攻击，Token要求不能重复，需要含有时间戳信息、签名信息。

下面的图描述了一个token的数据构成：

Token的数据结构。

`-----------------------------------------------------------------------------``| msg | separator | signature |``-----------------------------------------------------------------------------``| key | timestamp | . | Base64(sha256(msg)) |``-----------------------------------------------------------------------------`

token由三部分组成：

a). 消息[msg]：而msg本身也有两部分组成：一部分：随机字符串，过期时间戳。

b). 分割符[separator]：用于分隔msg部分与加密后生成的signature签名部分，这里用的是”.“

c). 签名[signature]:signature。signature签名，是对“msg消息”用特定算法进行加密后的串。

`token = base64(msg)格式化..base64(sha256("密锁", msg))`

Token由被Base64的msg编码串+先256加密msg再进行Base64编码，两个串的内容结合。

2.Token的加密

首先，是按照合适的加密方法对数据进行加密。这里我们通用的就使用了sha256散列算法，然后进行BASE64的格式转换。然后，我们需要在token串中隐含过期时间的设定，这种机制要保证，每条与服务器交互的Token有过期时间控制，一旦token过期服务器不处理请求。

3.Token的验证校验

当用户向服务提出访问请求时，产生Token再提交给服务器的时候，服务器需要判断token的有效性(是否过期，签名有效)，一旦传向服务器的请求中的Token异常，就可以判定是可疑行为不做处理，返回异常提示。

Token校验

a. Token解包

先把接受到的token，进行分解，“.”为分隔符，分为msg部分+signature签名部分。

b. 比对签名

对msg部分的base64码反向decode_base64(msg)解码，在对解码后的msg明文，进行同样的encode_base64(sha256(msg))签名串转换处理。如果密锁相同，判断加密后的数据和客户端传过来的token.signature的部分是否一致。如果一致，说明这个token是有效的。

c. 判断时间过期

如果签名有效的,取出msg中的timestamp字段数据，与当前系统时间进行比较，如果过期时间小于当前时间，那这个token是过期的，需要重新的取得token。

0x05 流程实现

文字版本的防护原理上面讲了，下面我们将整个防护流程分解成函数实现，直接通过代码的形式来看实现，其实比看文字描述更简单。

Lua代码如下：

`local gen_token = function(key, expires)` `--做成一个过期时间戳。` `if expires == nil then` `expires = os.time() + 60 + 60 * 8` `end` `--对msg部分进行base64编码。` `local msg = encode_base64(` `json.encode({` `key = key,` `expires = expires` `}))` `--进行sha256哈希。` `local signature = encode_base64(hmac_sha256('testkey', msg))` `--拼接成一条token。` `return msg .. "." ..signature``end``local val_token = function(key,token)` `--对输入数据的判空操作` `if not (token) then` `return nil, 'mssing csrf token'` `end` `--对token的msg部分，signature签名部分进行拆分。` `local msg, sig = token:match("^(.*)%.(.*)$")` `if not (msg) then` `return nil, "malformed csrf token"` `end` `sig = encoding.decode_base64(sig)` `--对解包后msg，按照相同的加密key:"testkey"，重新进行sha256哈希，比对signature，` `--如果不一致，说明这个token中的数据有问题，无效的token。` `if not (sig == hmac_sha256('testkey', msg)) then` `return nil, "invalid csrf token(bad sig)"` `end` `--对msg进行base64解码，判断其中的key和传入的key是否一致。` `--如果不一致说明token也是无效的。` `msg =json.decode(decode_base64(msg))` `if not (msg.key == key) then` `return nil, "invalid csrf token (bad key)"`  `end` `--取出msg部分的时间戳，判断是否大于当前时间，如果大于，说明token过期无效了。` `if not (not msg.expires or msg.expires > os.time()) then` `return nil, "csrf token expired"` `end``end`

因为本文提到的 CSRF防护，是Moonscript实现的，最后翻译成Lua语言，而用的Token编码的函数与signature签名用的加密算法，也都是基于Lua库，所以下面列出了这些常用的库的相关信息。

库一览列表：

`http://lua-users.org/wiki/CryptographyStuff`

0x06 核心安全算法库

要实现上文所说的Token机制，要有库函数Bash64与sha256加密的工具包库支持。

1.SecureHashAlgorithm和SecureHashAlgorithmBW

这个工具包是支持sha256加密的，而且是纯lua方法的实现，问题是，这两个包分别依赖lua5.2和lua5.3。

大部分老系统的运行环境是lua5.1，因为大部分的生产环境都是lua5.1，因为历史原因暂时没法改变。如果要把5.2的程序移植到5.1下运行，还需要移植一个lua5.2才独有的包，这是lua5.2升级之后才有的部件：bit32,而在lua5.3中又将这个部件去掉了,移植的动力不大，lua5.1的用户可以考虑使用其他的库。

2.Lcrypt

这个包不是纯lua的实现，底层加密用的是C语言，而且额外还有依赖另外另个工具包 libTomCrypt和libTomMath，github上有源码，所以要想让这个包正常运行需要手动make安装3个源码工程。

网站：

`http://www.eder.us/projects/lcrypt/`

3.LuaCrypto

这个包的安装用的是luarocks，就比较简单了

`luarocks install luacrypto`

我们选用这个包进行加密处理。LuaCrypto其实是openssl库的前端lua调用，依赖openssl，openssl库显然会支持sha256加密，相对也比一般的第三方实现更可靠。写一个简单的加密程序：

`local crypto = require("crypto")``local hmac = require("crypto.hmac")``local ret = hmac.digest("sha256", "abcdefg", "hmackey")``print(ret)`

ret的返回结果是，如下这个字符串。

`704d25d116a700656bfa5a6a7b0f462efdc7df828cdbafa6fbf8b39a12e83f24`

我们需要改造一下代码，在调用digest的时候指定输出的形式是raw二进制数据形式，然后在编码成base64的数据形式。

`local ret = hmac.digest("sha256", "abcdefg", "hmackey",rawequal)``print(ret)`

这时候的输出结果是：



![img](https://img-blog.csdnimg.cn/img_convert/7dc9bc4c776f33db349033a5cd67e77f.png)
![img](https://img-blog.csdnimg.cn/img_convert/03476bcf36c3698516f5e02a21b6c8b9.png)

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友，可以添加戳这里获取](https://bbs.csdn.net/topics/618658159)**


**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友，可以添加戳这里获取](https://bbs.csdn.net/topics/618658159)**


**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

2401_84911119

关注

6
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
2024年csrf攻击原理与解决方法_CSRF攻击防御原理(1)，2024年最新阿里面试官

为了防止CSRF攻击，Token要求不能重复，需要含有时间戳信息、签名信息。下面的图描述了一个token的数据构成：Token的数据结构。token由三部分组成：a).：而msg本身也有两部分组成：一部分：随机字符串，过期时间戳。b).：用于分隔msg部分与加密后生成的signature签名部分，这里用的是”.“c).:signature。signature签名，是对“msg消息”用特定算法进行加密后的串。
复制链接

扫一扫

专栏目录