CSRF进攻 (跨站域请求伪造)

最新推荐文章于 2021-09-29 14:10:35 发布
最新推荐文章于 2021-09-29 14:10:35 发布
阅读量677 收藏 1
点赞数
分类专栏: 爬虫

CSRF 攻击的对象

在讨论如何抵御 CSRF 之前,先要明确 CSRF 攻击的对象,也就是要保护的对象。从以上的例子可知,CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任,但是黑客并不能拿到 cookie,也看不到 cookie 的内容。另外,对于服务器返回的结果,由于浏览器同源策略的限制,黑客也无法进行解析。因此,黑客无法从返回的结果中得到任何东西,他所能做的就是给服务器发送请求,以执行请求中所描述的命令,在服务器端直接改变数据的值,而非窃取服务器中的数据。所以,我们要保护的对象是那些可以直接产生数据改变的服务,而对于读取数据的服务,则不需要进行 CSRF的保护。比如银行系统中转账的请求会直接改变账户的金额,会遭到 CSRF 攻击,需要保护。而查询余额是对金额的读取操作,不会改变数据,CSRF 攻击无法解析服务器返回的结果,无需保护。\

 

Csrf攻击方式:

对象:A:普通用户,B:攻击者

1、假设A已经登录过xxx.com并且取得了合法的session,假设用户中心地址为:http://xxx.com/ucenter/index.do

2B想把A余额转到自己的账户上,但是B不知道A的密码,通过分析转账功能发现xxx.com网站存在CSRF攻击漏洞和XSS漏洞。

3B通过构建转账链接的URL如:http://xxx.com/ucenter/index.do?action=transfer&money=100000 &toUser=(B的帐号),因为A已经登录了所以后端在验证身份信息的时候肯定能取得A的信息。B可以通过xss或在其他站点构建这样一个URL诱惑A去点击或触发Xss。一旦A用自己的合法身份去发送一个GET请求后A100000元人民币就转到B账户去了。当然了在转账支付等操作时这种低级的安全问题一般都很少出现。

 

防御CSRF

1、验证 HTTP Referer 字段

2、在请求地址中添加 token 并验证

3、 HTTP 头中自定义属性并验证

4、加验证码

 (copy防御CSRF毫无意义,参考上面给的IBM专题的URL)

Token

最常见的做法是加token,Java里面典型的做法是用filterhttps://code.google.com/p/csrf-filter/(链接由plt提供,源码上面的在:http://ahack.iteye.com/blog/1900708)

 

 

csrf-filter:

 

 

package com.google.code.csrf;

import java.io.IOException;
import java.security.SecureRandom;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Random;
import java.util.Set;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class StatelessCookieFilter implements Filter {

	private final static Logger LOG = LoggerFactory.getLogger(StatelessCookieFilter.class);
	private final static Pattern COMMA = Pattern.compile(",");

	private String csrfTokenName;
	private String oncePerRequestAttributeName;
	private int cookieMaxAge;
	private Set<String> excludeURLs;
	private List<String> excludeStartWithURLs;
	private Set<String> excludeFormURLs;
	private Random random;

	public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest httpReq = (HttpServletRequest) req;
		HttpServletResponse httpResp = (HttpServletResponse) resp;

		if (httpReq.getAttribute(oncePerRequestAttributeName) != null) {
			chain.doFilter(httpReq, httpResp);
		} else {
			httpReq.setAttribute(oncePerRequestAttributeName, Boolean.TRUE);
			try {
				doFilterInternal(httpReq, httpResp, chain);
			} finally {
				httpReq.removeAttribute(oncePerRequestAttributeName);
			}
		}
	}

	private void doFilterInternal(HttpServletRequest req, HttpServletResponse resp, FilterChain chain) throws IOException, ServletException {
		if (!req.getMethod().equals("POST")) {
			if (excludeFormURLs.contains(req.getServletPath())) {
				chain.doFilter(req, resp);
				return;
			}
			for (String curStart : excludeStartWithURLs) {
				if (req.getServletPath().startsWith(curStart)) {
					chain.doFilter(req, resp);
					return;
				}
			}
			String token = Long.toString(random.nextLong(), 36);
			LOG.debug("new csrf token generated: {} path: {}", token, req.getServletPath());
			req.setAttribute(csrfTokenName, token);
			Cookie cookie = new Cookie(csrfTokenName, token);
			cookie.setPath("/");
			cookie.setMaxAge(cookieMaxAge);
			resp.addCookie(cookie);
			chain.doFilter(req, resp);
			return;
		}

		if (excludeURLs.contains(req.getServletPath())) {
			chain.doFilter(req, resp);
			return;
		}

		String csrfToken = req.getParameter(csrfTokenName);
		if (csrfToken == null) {
			LOG.error("csrf token not found in POST request: {}", req);
			if (!resp.isCommitted()) {
				resp.sendError(400);
			}
			return;
		}
		req.setAttribute(csrfTokenName, csrfToken);

		for (Cookie curCookie : req.getCookies()) {
			if (curCookie.getName().equals(csrfTokenName)) {
				if (curCookie.getValue().equals(csrfToken)) {
					chain.doFilter(req, resp);
					return;
				} else {
					LOG.error("mismatched csrf token. expected: {} received: {}", csrfToken, curCookie.getValue());
					if (!resp.isCommitted()) {
						resp.sendError(400);
					}
					return;
				}
			}
		}

		LOG.error("csrf cookie not found at: {}", req.getServletPath());
		if (!resp.isCommitted()) {
			resp.sendError(400);
		}
	}

	public void destroy() {
		// do nothing
	}

	public void init(FilterConfig config) throws ServletException {
		String value = config.getInitParameter("csrfTokenName");
		if (value == null || value.trim().length() == 0) {
			throw new ServletException("csrfTokenName parameter should be specified");
		}
		csrfTokenName = value;
		String excludedURLsStr = config.getInitParameter("exclude");
		if (excludedURLsStr != null) {
			String[] parts = COMMA.split(excludedURLsStr);
			excludeURLs = new HashSet<String>(parts.length);
			for (String cur : parts) {
				excludeURLs.add(cur);
			}
		} else {
			excludeURLs = new HashSet<String>(0);
		}
		String excludedFormURLsStr = config.getInitParameter("excludeGET");
		if (excludedFormURLsStr != null) {
			String[] parts = COMMA.split(excludedFormURLsStr);
			excludeFormURLs = new HashSet<String>(parts.length);
			for (String cur : parts) {
				excludeFormURLs.add(cur.trim());
			}
		} else {
			excludeFormURLs = new HashSet<String>(0);
		}
		String excludeStartWithURLsStr = config.getInitParameter("excludeGETStartWith");
		if (excludeStartWithURLsStr != null) {
			String[] parts = COMMA.split(excludeStartWithURLsStr);
			excludeStartWithURLs = new ArrayList<String>(parts.length);
			for (String curPart : parts) {
				excludeStartWithURLs.add(curPart.trim());
			}
		} else {
			excludeStartWithURLs = new ArrayList<String>(0);
		}
		String cookieMaxAgeStr = config.getInitParameter("cookieMaxAge");
		if (cookieMaxAgeStr != null) {
			try {
				cookieMaxAge = Integer.parseInt(cookieMaxAgeStr);
			} catch (NumberFormatException nfe) {
				throw new ServletException("cookieMaxAge must be an integer: " + cookieMaxAgeStr, nfe);
			}
		} else {
			cookieMaxAge = 3600; // 60*60 seconds = 1 hour
		}
		oncePerRequestAttributeName = getFirstTimeAttributeName();
		random = new SecureRandom();
	}

	public static String getFirstTimeAttributeName() {
		return StatelessCookieFilter.class.getName() + ".ATTR";
	}

}

 

 

HowTo

  • Configure web.xml:
<filter>
                <filter-name>csrfFilter</filter-name>
                <filter-class>com.google.code.csrf.StatelessCookieFilter</filter-class>
                <init-param> 
                        <param-name>csrfTokenName</param-name> 
                        <param-value>csrf</param-value> 
                </init-param>
                <init-param>
                        <!-- optional. urls to exclude from check -->
                        <param-name>exclude</param-name> 
                        <param-value>/url1,/url/url2</param-value> 
                </init-param>
                <init-param>
                        <!-- optional. urls to exclude from generating csrf cookie. Useful for ajax requests that do not contain forms -->
                        <param-name>excludeGET</param-name> 
                        <param-value>/url3,/url/url4</param-value> 
                </init-param>
                <init-param>
                        <!-- optional. urls to exclude from generating csrf cookie. Exclude do check servletPath().startsWith() -->
                        <param-name>excludeGETStartWith</param-name> 
                        <param-value>/js/,/css/,/img/</param-value> 
                </init-param>
                <init-param>
                        <!-- optional. cookieMaxAge. By default 3600 seconds -->
                        <param-name>cookieMaxAge</param-name> 
                        <param-value>18000</param-value> 
                </init-param>
        </filter>
        <filter-mapping>
                <filter-name>csrfFilter</filter-name>
                <url-pattern>/*</url-pattern>
        </filter-mapping>

 

 

  • Add to every POST request parameter "csrf". For example form.jsp:

 

<form method="POST">
                <input type="hidden" name="csrf" value="${csrf}">
 </form>

 

  • For "multipart/form-data" requests add to "action" attribute:
<form action="/url?csrf=${csrf}" method="POST" enctype="multipart/form-data">
                <input type="file" name="file" size="50"/>
</form>

  

IT_LOSER
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python项目java重构各种问题
IT过客的博客
07-31 873
最近在搞python项目用java重构,出现了各种问题,记录如下: 1 post请求失败,报csrf错误 错误日志: Java代码 018-07-30 10:46:51.568 ERROR 24753 — [nio-7001-exec-2] ssDeniedHandlerLoggingMethodBeforeAdvice : To access request URI [/warehouseIte...
spring security中CSRF中设置不针对某些请求过滤
lvluohao1的博客
01-16 6639
在spring security 4中,CSRF默认开启:  Java代码          ...             但如果某些URL不想加入CSRF,可以使用下面的办法下载 :  实现RequestMatcher.这个接口中的方法,在这里排除某些URL不做CSRF,比如:  Java代码   publi
Laravel设置某个URL跳过csrf例外的方法
wgchen
09-29 365
阅读目录 1、 首先打开项目下的/app/Http/Middleware目录中的VerifyCsrfToken.php文件 2、 编辑添加我们不需要验证csrf的URL地址 <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /*
在header中添加自定义属性防止CSRF
lc20008的博客
09-24 8596
在header中添加自定义属性防止CSRF 一、 概述 CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
无状态服务(stateless service)
kyfxbl
09-24 1381
一、定义 无状态服务(stateless service)对单次请求的处理,不依赖其他请求,也就是说,处理一次请求所需的全部信息,要么都包含在这个请求里,要么可以从外部获取到(比如说数据库),服务器本身不存储任何信息 有状态服务(stateful service)则相反,它会在自身保存一些数据,先后的请求是有关联的 二、优劣 有状态服务常常用于实现事务(并不是唯一办法,下文有另外的方案)。
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django CSRF请求伪造防护过程解析
09-18
主要介绍了Django CSRF请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
CSRF请求伪造,含使用教程和测试工具
05-04
CSRF请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
无状态Spring安全性第1部分:无状态CSRF保护
最佳 Java 编程
05-24 169
如今,随着RESTful架构变得越来越标准,可能值得花一些时间重新考虑当前的安全方法。 在这个小系列的博客文章中,我们将探索一些以无状态方式解决与Web相关的安全问题的相对较新的方法。 这第一篇文章是关于保护您的网站免受请求伪造CSRF)的攻击。 总结:什么是站点伪造CSRF攻击基于挥之不去的身份验证Cookie。 在登录或以其他方式标识为网站上的唯一访问者之后,该网站可能会...
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8223
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
在SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符
lawliet的博客
02-17 5356
一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(站脚本攻击),比如说这样: form表单中有这么一个字段: 1 <input type="text" id="author" name="author" placeholder="昵称" />
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1710
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
域及请求伪造详解
dh554112075的博客
07-08 3093
什么是域? 简单来说,就是我在一个站点向另一个站点发送了请求(ajax或者链接),只要这两个站点HTTP协议、域名或是端口中有一个不一样,说明发送了域。 由于浏览器的同域安全策略(the same-origin security policy),这种请求会被禁止。 eg.如下为在一个站点向另一个站点发送请求域问题解决 (1)@CrossOrigin:该注解有一个origins参数,可配置允许进行域的站点。 @CrossOrigin(origins = {"http://b.com:8080
飞歌G6IV刷机包,恢复出厂解决车机问题
05-05
飞歌G6IV刷机包,恢复出厂解决车机问题
人工智能大作业-无人机图像目标检测.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
node-v10.9.0-linux-s390x.tar.xz
05-05
Node.js,简称Node,是一个开源且平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Telecord机器人,无electron依赖。.zip
05-05
无人机最强源码,无人机算法,易于部署和学习交流使用
中国统计NJ面板数据-(更新至2022年)林业有害生物防治情况.xls
最新发布
05-06
数据来源:中国统计NJ-2023版
无人机共享平台小程序.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
CSRF请求伪造漏洞
12-06
CSRF(Cross-site request forgery)请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发CSRF攻击。攻击者可以通过这种方式窃取用户的个人信息、账号密码等敏感信息,或者进行一些非法操作,比如在用户不知情的情况下转账、购买商品等。 CSRF攻击的过程一般包括以下几个步骤: 1. 攻击者在第三方网站上设置陷阱,比如在网页中插入一个图片或者链接。 2. 用户在浏览器中访问第三方网站,触发了陷阱,浏览器会自动向被攻击网站发送请求。 3. 被攻击网站接收到请求后,会认为这是用户的合法请求,从而执行相应的操作,比如转账、购买商品等。 防御CSRF攻击的方法包括: 1. 在表单中添加随机的token,防止攻击者伪造请求。 2. 检查Referer头部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值