MVC 3.0学习笔记(防止跨站点请求伪造 (CSRF) 攻击)

最新推荐文章于 2024-04-05 17:39:52 发布
最新推荐文章于 2024-04-05 17:39:52 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Web学习 文章标签: csrf mvc asp.net class 浏览器 div
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JIAJINHAO/article/details/7908060
版权

什么是CSRF攻击

      

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

因为在ASP.NET程序中,我们的用户信息都是存在与cookies里面的,此时在用户自己来说,程序已经可以算是裸奔了。正因为如此,Web程序接受的正常客户端请求一般来自用户的点击链接和表单提交等行为。可是恶意攻击者却可以依靠脚本和浏览器的安全缺陷来劫持客户端会话、伪造客户端请求。攻击者盗用了你的身份,以你的名义发送恶意请求,以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。这就是CSRF攻击。

CSRF漏洞的攻击一般分为站内和站外两种类型:

CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的,一些敏感的操作本来是要求用户从表单提交发起POST请求传参给程序,但是由于使用了$_REQUEST等变量,程序也接收GET请求传参,这样就给攻击者使用CSRF攻击创造了条件,一般攻击者只要把预测好的请求参数放在站内一个贴子或者留言的图片链接里,受害者浏览了这样的页面就会被强迫发起请求。

CSRF站外类型的漏洞其实就是传统意义上的外部提交数据问题,一般程序员会考虑给一些留言评论等的表单加上水印以防止SPAM问题,但是为了用户的体验性,一些操作可能没有做任何限制,所以攻击者可以先预测好请求的参数,在站外的Web页面里编写javascript脚本伪造文件请求或和自动提交的表单来实现GET、POST请求,用户在会话状态下点击链接访问站外的Web页面,客户端就被强迫发起请求。

浏览器的安全缺陷

现在的Web应用程序几乎都是使用Cookie来识别用户身份以及保存会话状态,但是所有的浏览器在最初加入Cookie功能时并没有考虑安全因素,从WEB页面产生的文件请求都会带上COOKIE

       

MVC中防止CSRF攻击

       

使用AntiForgeryToken令牌,在ASP.NET的核心中为我们提供了一个用来检测和组织CSRF攻击的令牌。

只要在Html表单里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻击。

复制代码 
@model MvcApplication.Models.Person
@{
    ViewBag.Title = "修改人员";
    Layout = "~/Views/Shared/_Layout.cshtml";
}
<h2>
    修改人员</h2>
<script src="@Url.Content("~/Scripts/jquery.validate.min.js")" type="text/javascript"></script>
<script src="@Url.Content("~/Scripts/jquery.validate.unobtrusive.min.js")" type="text/javascript"></script>
@using (Html.BeginForm())
{
    @Html.AntiForgeryToken()
    @Html.ValidationSummary(true)
    <fieldset>
        <legend>人员信息</legend>
        @Html.HiddenFor(model => model.ID)
        <div class="editor-label">
            @Html.LabelFor(model => model.Name)
        </div>
        <div class="editor-field">
            @Html.EditorFor(model => model.Name)
            @Html.ValidationMessageFor(model => model.Name)
        </div>
        <div class="editor-label">
            @Html.LabelFor(model => model.Age)
        </div>
        <div class="editor-field">
            @Html.EditorFor(model => model.Age)
            @Html.ValidationMessageFor(model => model.Age)
        </div>
        <p>
            <input type="submit" value="保存" />
        </p>
    </fieldset>
}
<div>
    @Html.ActionLink("返回列表", "Index")
</div>
复制代码

  

相应的我们要在Controller中也要加入[ValidateAntiForgeryToken]过滤特性。

该特性表示检测服务器请求是否被篡改。

注意:该特性只能用于post请求,get请求无效。

复制代码 
        //修改方法
        // POST: /Person/Edit/5
        [ValidateAntiForgeryToken]
        [HttpPost]
        public ActionResult Edit(int id, Person person)
        {
            try
            {
                // 数据库操作代码

                return RedirectToAction("Success",person);
            }
            catch
            {
                return View();
            }
        }
复制代码

  

运行效果和上面的一样

然后我们在运行刚才保存的Html文件看看

哈哈报错了。。那就证明我们现在的阻止CSRF攻击是有效的。

       

使用Salt值加强保护

     

为了保证我们的AntiForgeryToken阻止在程序中唯一,更好的加密AntiForgeryToken,我们可以为AntiForgeryToken设置Salt值。

这样,即使攻击者设法得到了令牌,但是如果Salt值不匹配也不能进行post操作。

复制代码 
        //修改方法
        // POST: /Person/Edit/5
        [ValidateAntiForgeryToken(Salt = "aa")]
        [HttpPost]
        public ActionResult Edit(int id, Person person)
        {
            try
            {
                // 数据库操作代码

                return RedirectToAction("Success",person);
            }
            catch
            {
                return View();
            }
        }
复制代码

  

我们暂时不修改View代码

运行看看

可以看到加入Salt值后即使是MVC程序本身的页面都无法请求,更别说攻击者了,除非他能猜到我们的Salt值。

我们修改view代码

    @Html.AntiForgeryToken("aa")

  

继续运行项目

可以看到在view中加入Salt值后,阻止就变的有目的性了。

 

JIAJINHAO
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止站点请求伪造 (CSRF) ***
weixin_34417183的博客
09-18 247
我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止站点请求伪造 (CSRF) ***概述众所周知,ASP.Net MVC程序在浏览器运行时产生了标准的Html标签,包括浏览器要发送的关键数据等内容都在Html内容里面,听起来不错,但是假如我们仿造类似的Html内容,更改里面关键数据,在浏览器运行起来会怎么样呢?好下面我们就做这样一个例子。...
请求伪造漏洞(CSRF
最新发布
qq_44484541的博客
04-05 1288
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即请求伪造攻击
ASP.NET MVCCSRF站脚本)攻击
weixin_30716725的博客
08-17 370
CSRF 一 何为CSRF CSRF(Cross-site request forgery请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。需要注意的是,CSRF与XSS的区别,CSRF是其他网站进行对你的网站的攻击。 关于CSRF的详细信息请看:https://baike.baid...
asp.net mvc 安全测试漏洞 "站点请求伪造" 问题解决
weixin_30613727的博客
07-29 763
IBM Security Appscan漏洞筛查-请求伪造,该漏洞的产生,有多种情况: 1.WebApi的请求伪造,需要对WebApi的请求头部做限制(此文不做详细介绍); 2.MVC Action Post接口的请求伪造,具体解决方案,请查看mvc 当中 [ValidateAntiForgeryToken] 的作用; 3. MVC Action Get接口,例如: 跳转页面,数...
Spring 学习笔记代码
07-28
它可以保护Web应用免受各种攻击,如站脚本攻击(XSS)、请求伪造CSRF)等。 9. **Spring Batch**:对于批处理任务,Spring Batch提供了一套完整的解决方案,包括读取、处理和写入大量数据的抽象层。 10. *...
s2sh 个人学习笔记
07-31
在安全方面,Struts2有内置的安全机制,如防止XSS(站脚本攻击)和CSRF请求伪造)的过滤器。然而,历史上Struts2曾出现过严重的漏洞,如著名的CVE-2017-5638,这提醒开发者需要时刻关注框架的更新,及时修复...
javaweb笔记.pdf
11-29
* CSRF请求伪造攻击者通过伪造用户请求来获取敏感信息。 五、JavaWeb开发性能优化 * 什么是性能优化?性能优化是指通过优化Web应用程序的代码和配置来提高其响应速度和处理能力。 * 如何进行性能优化?...
传智的javaweb学习笔记,比较全的
03-13
12. **Web安全**:包括CSRF请求伪造)、XSS(站脚本攻击)等,笔记会讲解如何预防这些安全问题。 通过这份笔记,读者可以系统地回顾和巩固JavaWeb的基础知识,为更深入的框架学习和实际项目开发打下坚实...
AHPU云笔记
09-30
7. **安全性考虑**:作为一个Web应用,AHPU云笔记需要处理用户登录和权限验证,可能使用了HTTPS协议保障数据传输安全,同时可能运用了CSRF请求伪造)和XSS(站脚本攻击)防护措施。 8. **部署与运行**:war...
Asp.net MVC简单站登录的实现思路
11-25
这是我查询网上文章整合的站登录的一个思路。没有过多考虑安全问题,希望大家看完后可以给我指正。项目要求配置IIS,三个域名www.a.com,www.b.com;www.passport.com
我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止站点请求伪造 (CSRF) 攻击
weixin_30791095的博客
08-08 148
概述 众所周知,ASP.Net MVC程序在浏览器运行时产生了标准的Html标签,包括浏览器要发送的关键数据等内容都在Html内容里面,听起来不错,但是假如我们仿造类似的Html内容,更改里面关键数据,在浏览器运行起来会怎么样呢?好下面我们就做这样一个例子。 CSRF攻击例子 首先我们拿以前做好的person/edit作为例子 先看控...
csrf站点伪装请求和xss站点攻击
houdada1的博客
04-11 696
参考地址 http://selfcontroller.iteye.com/blog/1844653           http://blog.csdn.net/liushulin183/article/details/52613658 CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,
CSRF攻击与防御
Java/Android/IOS/前端/云计算
10-22 2796
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
web基础漏洞之CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1284
一些自己的小总结,有待完善
Appscan漏洞之站点请求伪造CSRF
arkqyo2595的博客
06-06 1908
  公司前段时间使用了Fortify扫描项目代码,在修复完这些Fortify漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复。现在,针对修复过的Appscan漏洞也一一总结一下。本次先对Cross-site request forgery(请求伪造) 漏洞进行总结如下: 1、站点请求伪造CSRF) 1.1、攻击原理   CSR...
如何解决站点请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1749
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
Cookie 的站点请求伪造CSRF攻击
06-02
CSRF(Cross-Site Request Forgery)攻击是一种利用用户已经登录的身份来伪造用户操作请求攻击方式。攻击者通过构造特定的请求,欺骗用户在不知情的情况下进行操作,从而达到攻击的目的。 其中,Cookie 是实现 CSRF 攻击的重要手段之一。攻击者可以通过各种手段获取到用户的 Cookie,然后将其伪造成用户的操作请求,从而达到攻击的目的。为了防止 CSRF 攻击,网站通常会采用一些防御措施,比如验证请求来源、使用验证码等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值