Web安全系列之CSRF攻击

已于 2024-01-05 22:34:59 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: Web安全 网络安全 学习路线 文章标签: web安全 网络安全 安全
于 2022-12-02 17:58:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Button12138/article/details/128152165
版权
网络安全 同时被 3 个专栏收录
155 篇文章 24 订阅
订阅专栏
Web安全
99 篇文章 3 订阅
订阅专栏
学习路线
57 篇文章 0 订阅
订阅专栏

前面学习了 xss攻击的相关知识点,现在接着了解下 csrf攻击

什么是csrf攻击

csrf 全称跨站请求伪造(Cross-site request forgery),指的是攻击者携带网站cookie,冒充用户请求的攻击行为。

与 xss攻击 的区别

xss攻击主要指网站被攻击者利用漏洞恶意注入脚本并执行,是一种注入类攻击;csrf 描述的是攻击者携带cookie冒充用户的请求行为,它们属于两种不同维度上的分类。

可以预想的是,如果 xss攻击的执行脚本包含请求服务器的行为,其也会携带用户cookie达到冒充用户请求的行为,这时候也属于 csrf攻击,不过我们一般称这样的情况为 xsrf攻击。

经典的csrf攻击过程

  1. 用户C打开a网站,向服务器A发送请求进行登录

  2. 登陆验证通过,服务器返回cookieA

  3. cookieA被保存在浏览器中,生命周期默认为浏览器关闭

  4. 在浏览器未关闭的情况下(A域名的cookie还在),用户被攻击者诱导打开b网站

  5. 在网站b中,向服务器A发送跨域请求

  6. 在网站b的请求中浏览器为其自动携带上了服务器A的cookie

  7. 服务器A分析请求cookie得到此请求为用户C发起,正确处理网站b的请求

需要明确的是,浏览器设置和携带cookie是根据请求中服务器的域名来设置和获取的,而非请求所在网站域名。所以,用户首次在网站a请求服务器A得到的cookie对应服务器A的域名,在网站b中再次请求时也会携带服务器A域名下的cookie。其实仔细想想,如果cookie对应的是网站请求方的域名,那么一个网站如果请求多个服务器域名的话,那么它们之间的cookie很可能冲突,而且也无法通过cookie来做单点登陆了。

csrf的防范

  1. 验证 HTTP Referer 字段

HTTP 的 Referer 字段记录了该 HTTP 请求的来源(网址)。通过 HTTP Referer 可以判断请求所在的网址,进而拦截外站的非法请求。

使用这中方式防范 CSRF 的应当注意

  • 请求发起者可以设置不携带 Referer,重定向也不会携带 Referer

  • Referer 由浏览器携带,也可能由于浏览器的实现差异导致问题,或者因为浏览器安全漏洞导致被篡改。

  • 对于页面请求来说,要注意 Referer 可能是搜索引擎页面

关于 Referer 的知识可以参考阮一峰老师的HTTP Referer 教程

  1. 使用验证码校验

对于重要操作如支付来说,可以使用验证码验证用户身份。

  1. CSRF Token

CSRF 的本质在于盗用用户的 Cookie 信息然后作为用户凭证冒充用户的操作,如果在验证用户流程中多加个 CSRF Token 的验证,判断 Cookie 是否来自用户网站。那么第三网址发起的请求虽然携带 Cookie 但是获取不到用户网站的 CSRF Token,就可以在服务端设置拦截。

CSRF TOken 可以放置在请求参数中,也可以放在自定义 HTTP 头部字段。但是放在请求中可能由于 Get 请求被放置在 URL 中,再跳转第三方网站时被 Referer 携带泄露。所以推荐放在 HTTP 头部字段中

  1. 双重Cookie

csrf攻击的原因是请求会自动携带 Cookie,我们可以利用 JS 无法获取跨域 Cookie 的同源限制。发送请求时携带 Cookie 参数,服务器端校验开发者携带的 Cookie 和浏览器自动携带的 Cookie 是否一致来判断是否为正常请求。

双重 Cookie 有以下限制

  • Cookie 二级域名的跨域问题(Domain 设置为主域可能会由于其它子域被攻击而导致安全问题)

  • 无法设置 Cookie 的 HttpOnly

  • Cookie 导致请求数据加大,资源浪费

  1. 利用 Cookie 的新属性 SameSite

现代浏览器将 Cookie 的 SameSite 设置为 Lax 其实已经将大部分跨域请求都设置为不再携带 Cookie。当然如果设置为 Strict 就可以完全避免跨域携带 Cookie 了。具体详见做一个真正懂cookie的前端

使用 SameSite 严格模式的缺点

  • 新标签重新打开也不携带 Cookie,需要用户重复登录

  • 二级域名无法共享 Cookie,需要用户重复登录

  1. 检测、监控

  • CSRF检测工具:CSRFTester

  • CSRF监控:代理层统一拦截监控

  1. 防止网站被利用

  • 严格管理所有的上传接口,防止任何预期之外的上传内容(例如HTML)。

  • 添加Header X-Content-Type-Options: nosniff 防止黑客上传HTML内容的资源(例如图片)被解析为网页。

  • 对于用户上传的图片,进行转存或者校验。不要直接使用用户填写的图片链接。

  • 当前用户打开其他用户填写的链接时,需告知风险(这也是很多论坛不允许直接在内容中发布外域链接的原因之一,不仅仅是为了用户留存,也有安全考虑)。

总结

CSRF攻击利用了浏览器跨域自动携带 Cookie 的特点,我们可以从不同维度防范与减少 CSRF攻击的风险。对于前端安全这块,我也是刚刚开始学习和研究,如果有错误的地方,欢迎大家指出。

01网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

第二阶段:Web渗透(初级网安工程师)

第三阶段:进阶部分(中级网络安全工程师)

学习资源分享

披荆斩棘的GG
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2430
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
攻击JavaWeb应用1-9[JavaWeb安全系列]
04-02
JavaWeb安全是IT行业中至关重要的一个领域,尤其是在开发和维护Web应用程序时,了解并防范各类攻击至关重要。这个系列涵盖了从基础到进阶的JavaWeb安全问题,主要关注的是攻击手段和防御策略。以下是对这些知识点的...
CSRF漏洞原理攻击与防御(非常细)
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-14 1154
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 997
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
DreamSun的博客
09-14 3990
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF漏洞攻击原理及防御方案
xv7777666的博客
04-07 3177
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚未过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。在通常情况下,验证码能很好遏制CSRF攻击
什么是 CSRF 攻击
songshao の blog
08-10 2021
对 Cookie 进行双重验证,服务器在用户访问网站页面时,向请求域名注入一个 Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到URL参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。Samesite 一共有两种模式,一种是严格模式,在严格模式下 cookie 在任何情况下都不可能作为第三方 Cookie 使用,在宽松模式下,cookie 可以被请求是GET 请求,且会发生页面跳转的请求所使用。
Web安全复习.docx
06-22
Web安全是信息技术领域中的一个重要分支,它关注的是保护Web应用程序免受各种攻击和威胁。这份复习资料涵盖了Web安全的关键概念,主要包括Web应用的基础模型、安全信息收集和漏洞扫描,以及SQL注入的原理和防范。 ...
WEB安全体系课视频教程.rar
09-12
本教程通过一系列视频课程,详细讲解了Web安全的各个方面,对于想要在网络安全领域提升自己能力的人来说,是一份不可多得的学习资料。 教程内容可能涵盖以下几个关键知识点: 1. **Web应用基础**:首先,你需要...
web安全专项技术培训
09-28
3. **工具使用**:介绍一系列用于Web安全评估和漏洞检测的工具,如Burp Suite、Nessus、Nmap等。课程会教授如何使用这些工具进行扫描、渗透测试和漏洞管理,同时也会讨论如何结合使用它们以提高效率。 4. **答疑...
Web安全培训ppt(适合初学者)
10-31
一、Web安全系列之基础 1、Web安全基础概念(1天) 互联网本来是安全的,自从有了研究安全的人之后,互联网就变的不安全了。 2、web面临的主要安全问题(2天) 客户端:移动APP漏洞、浏览器劫持、篡改 服务器...
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8633
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1717
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
CSRF攻击与法防御
dzqxwzoe的博客
03-10 504
具体来讲,可以这样理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。登录Web应用程序,提交表单,在CSRF工具中修改表单内容,查看是否更改,如果更改表面存在CSRF漏洞。
什么是CSRF 攻击,怎样防御CSRF攻击
canduecho的专栏
06-02 968
CSRF(Cross-site request forgery)攻击是一种利用用户在已登录网站上的身份来伪造用户请求的攻击方式,造成用户数据的损失或网络安全的风险。CSRF 攻击一般是攻击者通过某些手段,伪造用户请求,让用户在不知情的情况下,达到攻击者预期的目的,主要涉及以下步骤:1. 攻击者获取用户已登录的 Cookie 信息。2. 攻击者构造一些恶意代码,将这些代码注入到受害者的浏览器中。”>4. 受害者浏览器访问攻击网站时,将自动向受害者之前已登录过的网站发送请求(上面存在的请求)。
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3084
CSRF 详解 ! spring security 攻击
web基础漏洞之CSRF(跨站请求伪造漏洞)
m0_62274649的博客
10-04 1269
一些自己的小总结,有待完善
网络安全CSRF漏洞:攻击原理、检测方法和防范措施
yyyyyybw的博客
09-27 825
CSRF漏洞是一种常见的网络安全威胁,但通过采取适当的防范措施,开发人员可以有效地保护他们的应用程序免受这种攻击的影响。渗透测试CSRF漏洞是一种重要的安全实践,帮助发现并解决潜在的风险。通过理解CSRF攻击的原理和防范措施,您可以更好地保护您的应用程序和用户的安全。如果你也想学网络安全渗透测试技术,你可以领取下面这套入门到进阶提升视频教程+配套笔记资料学习,希望可以帮到你!网络安全(黑客)自学笔记+学习路线+配套视频教程(超详细)t=N7T8。
web安全漏洞加固手册v2.0
07-22
### 回答1: 《Web安全漏洞加固手册v2.0》是一本针对web安全漏洞的加固手册。这本手册涵盖了许多常见的web安全漏洞,并提供了详细的加固方法和技巧。 这本手册的主要目的是帮助开发人员和网络管理员加强他们的网站和应用程序的安全性。它提供了一系列安全措施和建议,以减少常见的漏洞和攻击面。 手册中首先介绍了一些web安全的基础知识,如跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。然后详细介绍了这些漏洞的工作原理和可能的攻击场景。接下来,手册提供了一系列的加固措施和建议,以避免这些漏洞的利用。 手册中的加固方法包括输入验证、输出编码、会话管理、访问控制、密码安全等方面。它提供了具体的代码示例和配置建议,以帮助开发人员和网络管理员快速理解和实施这些安全措施。 除了加固方法,手册还提供了一些常见的安全测试工具和技术,以帮助用户评估他们的网站和应用程序的安全性。这些工具和技术包括漏洞扫描器、渗透测试、安全审计等。 总的来说,《Web安全漏洞加固手册v2.0》是一本非常有用的指南,可以帮助开发人员和网络管理员提高其网站和应用程序的安全性。它提供了详细的加固方法和技巧,以及一些常见的安全测试工具和技术。使用这本手册可以增强对web安全漏洞的防范和应对能力。 ### 回答2: Web安全漏洞加固手册(v2.0)是一份指导开发人员和网站管理员加强网站安全的手册。该手册包含了识别和解决常见Web安全漏洞的方法和建议。 首先,手册详细介绍了各种常见的Web安全漏洞,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入、文件上传漏洞等。手册通过详细解释漏洞的原理和攻击方式,帮助开发人员更好地了解这些漏洞的风险和潜在威胁。 其次,手册提供了加固漏洞的方法和建议。对于每种漏洞,手册列出了相应的修复措施和最佳实践,包括输入验证、输出转义、使用安全密码存储、限制访问权限等。这些方法和建议可以帮助开发人员及时修复漏洞、提高网站的安全性。 此外,手册还介绍了与Web安全相关的其他主题,如安全的会话管理、HTTP安全策略(CSP)配置、安全的加密传输(SSL/TLS)、安全的第三方API使用等。这些内容进一步提升了开发人员对Web安全的认识,并提供了相应的解决方案。 需要注意的是,Web安全是一个动态的领域,安全威胁和攻击技术不断演变。因此,手册还提供了定期更新和加固的建议,以保持技术的时效性和有效性。 总之,Web安全漏洞加固手册v2.0是一个全面指导开发人员加强Web安全的资源。通过遵循手册中的方法和建议,开发人员可以最大程度地减少Web安全漏洞的风险,并提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值