什么是CSRF攻击？如何进行有效的防护

跨站点请求伪造是一种攻击，在这种攻击中，对手可以代表受害用户提交恶意请求。在具有跨站点请求伪造(CSRF)漏洞的应用程序中，恶意用户可以提交未经授权的命令，因为应用程序信任源用户帐户。CSRF攻击也被称为会话骑乘、XSRF、会话固定、恶意链接或一键式攻击，主要针对导致服务器状态改变的合法请求，使攻击者能够继承受害者的身份和特权。

什么是CSRF攻击?

CSRF攻击是通过强制用户登录到攻击者控制的帐户来策划的。为了达到这一目的，黑客使用他们的凭证向网站伪造一个状态改变请求，并将表单提交到受害者的浏览器。服务器对浏览器请求进行身份验证，并将用户登录到攻击者的帐户。当受害者向攻击者的帐户提交正在登录的敏感信息时，攻击者可以利用这些信息执行一些不必要的操作，包括身份盗窃。

策划CSRF攻击通常涉及两个步骤：

1.使用漏洞利用脚本构建恶意链接

2.通过策划社会工程攻击，欺骗受害用户提交敏感信息

根据暴露的用户帐户和信息，攻击的影响范围从轻微到严重。

攻击者可以利用多种技术欺骗用户，让他们登录到黑客控制的帐户。除了在登录页面上执行的攻击外，CSRF登录攻击几乎与经典的CSRF攻击相似。

在一些主要的网站和服务中，CSRF登录漏洞也已被识别和修复。发现的一些影响各种流行服务的缺陷包括:

eBay

2013年8月，eBay网站上报告了一个登录CSRF漏洞(并进行了进一步修补)，允许对手修改受害者的送货地址为其选择的一个地址。为了利用这个安全漏洞，攻击者强迫一个活动用户会话向ebay.com/intended-address-page发送请求。由于服务器是脆弱的，它更新送货地址为指定的恶意链接。这种攻击很容易实施，因为攻击者只需要填写表单字段，而无需猜测受害者的合法凭证。

PayPal

2016年，PayPal修复了其PayPal.me 网站上的一个CSRF漏洞。该漏洞允许黑客滥用合法用户的帐户信息。由于用户必须注册信用卡或银行帐户才能为PayPal帐户提供资金，因此攻击者通过以下步骤利用登录CSRF漏洞发起攻击：

受害者使用电子商务网站并在结账时选择PayPal
弹出一个窗口，要求用户提供他们的PayPal凭证
黑客使用一个隐藏的表单字段将用户登录到黑客的帐户
受害者注册了他们的信用卡，但它被登录到黑客的帐户
目前上面列出的所有漏洞都已修复，仅作为真实世界攻击示例的表示形式进行概述。

CSRF攻击会根据场景的不同而危害迥异，比较常见的有：

1.发送邮件
2.修改账户信息
3.资金转账
4.盗取用户隐私数据
5.网站被上传网马
6.作为其他攻击方式的辅助攻击（比如xss）
7.传播CSRF蠕虫

主要的特点在于：

1.攻击一般发起在第三方网站，而不是被攻击的网站。被攻击的网站无法防止攻击发生。
2.攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作；而不是直接窃取数据。整个过程攻击者并不能获取到受害者的登录凭证，仅仅是“冒用”。
3.跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中，难以进行追踪。
4.CSRF通常是跨域的，因为外域通常更容易被攻击者掌控。但是如果本域下有容易被利用的功能，比如可以发图和链接的论坛和评论区，攻击可以直接在本域下进行，而且这种攻击更加危险。

由此可见，针对CSRF攻击进行防护迫在眉睫。

一些常见的防止登录CSRF攻击的方法包括:

一、内置CSRF防御

大多数编程框架都内置了同步器令牌模式。建议开发人员和安全专家在实现自定义CSRF令牌生成器之前，研究一下默认情况下用于中继身份验证令牌的框架。虽然框架可以生成会话令牌，但软件团队负责进行适当的配置，以确保防止登录CSRF攻击。    

尽管同步器令牌模式强制服务器端令牌验证，但为了实现健壮的登录CSRF保护，应该为每个状态更改请求生成一个随机令牌。当客户端发出请求时，web服务器将请求令牌与为用户会话存储的令牌进行比较。这种技术被认为是防止攻击的最简单方法之一，因为如果没有有效的令牌，对服务器的登录请求将被拒绝。

二、双重提交Cookies

当实现CSRF令牌的服务器端验证具有挑战性时，双重提交cookie技术提供了另一种CSRF防御。该技术在请求参数中发送一个随机值，并将其作为会话cookie属性。在提交登录表单期间，站点生成一个伪随机值，设置为客户端浏览器上的cookie。这些随机值与会话标识符分离，应该包含在每个后续请求头的隐藏字段中。在身份验证和加密cookie中包含这种方法可以成倍地增强应用程序的登录CSRF保护。

三、基于用户交互的CSRF防御

这种技术要求用户防止不必要的操作。可以用于阻止登录CSRF尝试的基于用户交互的技术的例子包括：

1.重新认证授权机制
2.使用验证码机制
3.一次性请求令牌

四、漏洞扫描服务（VSS）

漏洞扫描服务（Vulnerability Scan Service）集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能，自动发现网站或服务器在网络中的安全风险，为云上业务提供多维度的安全检测服务，满足合规要求，让安全弱点无所遁形

主要的优势在于：扫描全面、高效精准、简单易用以及报告全面：

1.扫描全面

涵盖多种类型资产扫描，支持云内外网站和主机扫描，支持内网扫描、智能关联各资产之间的联系，自动发现资产指纹信息，避免扫描盲区。

2.高效精准

采用web2.0智能爬虫技术，内部验证机制不断自测和优化，提高检测准确率，时刻关注业界紧急CVE爆发漏洞情况，自动扫描，最快速了解资产安全风险。

3.简单易用

配置简单，一键全网扫描。可自定义扫描事件，分类管理资产安全，让运维工作更简单，风险状况更清晰了然。

4.报告全面

清晰简洁的扫描报告，多角度分析资产安全风险，多元化数据呈现，将安全数据智能分析和整合，使安全现状清晰明了。

除此之外，漏洞扫描服务丰富的应用场景完全可以针对CSRF漏洞攻击来进行对应的防护。

1.Web漏洞扫描：网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。

能够做到：

Ⅰ：常规漏洞扫描

丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。

Ⅱ：最紧急漏洞扫描    

针对最紧急爆发的CSRF漏洞，安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描。

2.弱密码扫描：主机或中间件等资产一般使用密码进行远程登录，攻击者往往使用扫描技术来探测其用户名和弱口令。

能够做到：

Ⅰ：多场景可用

全方位的OS连接，涵盖90%的中间件，支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

Ⅱ：丰富的弱密码库

丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测，同时支持自定义字典进行密码检测。

3.中间件扫描：中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。

Ⅰ：丰富的扫描场景

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

Ⅱ：多扫描方式可选

支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本，全方位发现服务器中的漏洞风险。

3.内容合规检测：当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。

能够做到：

Ⅰ：精准识别

同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

Ⅱ：智能高效

对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。

总之，CSRF漏洞防护是一个高技术含量的任务，需要采用多种技术手段和最佳实践进行综合防护。通过加强身份验证、使用CSRF令牌、漏洞扫描服务等措施，可以有效防止CSRF攻击，保护用户数据和网站安全。同时，定期进行安全审计和加强用户教育也是提高安全防护能力的重要手段。