为什么CSRF Token能够放在Cookie中

最新推荐文章于 2024-06-24 15:45:23 发布
最新推荐文章于 2024-06-24 15:45:23 发布
阅读量2.9k 收藏 18
点赞数 3
分类专栏: 基础知识 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a709046532/article/details/119999318
版权
本文探讨了在网站中将CSRFToken存于Cookie中的策略,涉及Chrome SameSite属性的应用、双重Cookie验证以及其在防御CSRF攻击中的作用。作者通过实例解析了如何通过设置SameSite属性和进行安全实践来增强网站安全性。
摘要由CSDN通过智能技术生成

0x01 前言

在某次测试中注意到网站的CSRF的TOKEN放在Cookie中,感觉和之前的一些知识起了冲突。遂查了些资料整理明白了,并记录于此文。



0x02 CSRF与CSRF Token

相信有很多师傅的知识都是通过道哥的《白帽子讲WEB安全》中习得的,里面有一个删除搜狐博客的例子,从大体来说可以概括如下:

在这里插入图片描述

对于防御方法,很多博文中也有介绍,就是通过种种形式添加CSRF Token



0x03 疑问&解答

然后呢在某次测试中,抓到的包如下

在这里插入图片描述



可以看到有多个csrftoken的字样,当时我就纳闷了,因为攻击者的CSRF攻击(大多数)恰恰就是利用的Cookie,那么csrftoken写在这个地方有用吗?


为了验证我的想法,我用Burp的CSRF工具进行了一个小小的测试:

在这里插入图片描述



在界面点击按钮,可以看到发起了请求

在这里插入图片描述



之后看到拿到的数据包,可以看到是没有Cookie信息的,理所当然不能通过网站的校验,自然网站本身也是安全的。

在这里插入图片描述



那这个我之前学到的知识冲突在哪呢?我们常见的CSRF Token往往是放在URL或者Form表单中的,没太意识到原来CSRF Token也能放在Cookie中,那么这种方式能够防御的原理是啥?


在一番查阅资料后,我发现主要使用了两种技术,能够使得站点能够把Token放在Cookie中,参考链接


其一是Chrome中Cookie的SameSite字段,这里摘抄一段,如下

防止CSRF攻击的办法已经有上面的预防措施。为了从源头上解决这个问题,Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有两个属性值,分别是 Strict 和 Lax,下面分别讲解:

Samesite=Strict

这种称为严格模式,表明这个 Cookie 在任何情况下都不可能作为第三方 Cookie,绝无例外。比如说 b.com 设置了如下 Cookie:

Set-Cookie: foo=1; Samesite=Strict
Set-Cookie: bar=2; Samesite=Lax
Set-Cookie: baz=3

我们在 a.com 下发起对 b.com 的任意请求,foo 这个 Cookie 都不会被包含在 Cookie 请求头中,但 bar 会。举个实际的例子就是,假如淘宝网站用来识别用户登录与否的 Cookie 被设置成了 Samesite=Strict,那么用户从百度搜索页面甚至天猫页面的链接点击进入淘宝后,淘宝都不会是登录状态,因为淘宝的服务器不会接受到那个 Cookie,其它网站发起的对淘宝的任意请求都不会带上那个 Cookie。

Samesite=Lax

这种称为宽松模式,比 Strict 放宽了点限制:假如这个请求是这种请求(改变了当前页面或者打开了新页面)且同时是个GET请求,则这个Cookie可以作为第三方Cookie。比如说 b.com设置了如下Cookie:

Set-Cookie: foo=1; Samesite=Strict
Set-Cookie: bar=2; Samesite=Lax
Set-Cookie: baz=3

当用户从 a.com 点击链接进入 b.com 时,foo 这个 Cookie 不会被包含在 Cookie 请求头中,但 bar 和 baz 会,也就是说用户在不同网站之间通过链接跳转是不受影响了。但假如这个请求是从 a.com 发起的对 b.com 的异步请求,或者页面跳转是通过表单的 post 提交触发的,则bar也不会发送。



而在我们的案例中,打开开发者界面,可以看到我们的Cookie是被设置了SameSite属性的,且其值为Lax。我们的数据包是个POST请求,自然也就不会带上Cookie了

在这里插入图片描述



为了进一步验证,我们可以将SameSite属性设置成None,同时添加Secure属性,如下

在这里插入图片描述



再次使用CSRF的Poc,可以发现可以携带Cookie了

在这里插入图片描述



我们需要注意的是,这个SameSite属性是Google家的东西,也就是可能存在别的浏览器不兼容的情况,所以我们还需要别的方案作辅助验证


刚好这个站点也有这个方案,名字是双重Cookie验证,这里继续摘抄

在会话中存储CSRF Token比较繁琐,而且不能在通用的拦截上统一处理所有的接口。

那么另一种防御措施是使用双重提交Cookie。利用CSRF攻击不能获取到用户Cookie的特点,我们可以要求Ajax和表单请求携带一个Cookie中的值。

双重Cookie采用以下流程:

  • 在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串(例如csrfcookie=v8g9e4ksfhw)。
  • 在前端向后端发起请求时,取出Cookie,并添加到URL的参数中(接上例POST https://www.a.com/comment?csrfcookie=v8g9e4ksfhw)。
  • 后端接口验证Cookie中的字段与URL参数中的字段是否一致,不一致则拒绝。

此方法相对于CSRF Token就简单了许多。可以直接通过前后端拦截的的方法自动化实现。后端校验也更加方便,只需进行请求中字段的对比,而不需要再进行查询和存储Token。

当然,此方法并没有大规模应用,其在大型网站上的安全性还是没有CSRF Token高,原因我们举例进行说明。

由于任何跨域都会导致前端无法获取Cookie中的字段(包括子域名之间),于是发生了如下情况:

  • 如果用户访问的网站为www.a.com,而后端的api域名为api.a.com。那么在www.a.com下,前端拿不到api.a.com的Cookie,也就无法完成双重Cookie认证。
  • 于是这个认证Cookie必须被种在a.com下,这样每个子域都可以访问。
  • 任何一个子域都可以修改a.com下的Cookie。
  • 某个子域名存在漏洞被XSS攻击(例如upload.a.com)。虽然这个子域下并没有什么值得窃取的信息。但攻击者修改了a.com下的Cookie。
  • 攻击者可以直接使用自己配置的Cookie,对XSS中招的用户再向www.a.com下,发起CSRF攻击。


在这个站点中,如下

在这里插入图片描述



也就是说,就算我们SameSite属性由于种种原因失效了,浏览器访问的时候带上了Cookie,我们依旧无法完成CSRF攻击。因为发起请求的HTTP HEADER对攻击者来说是不可控的,服务端只需要比较头部的自定义属性(即csrf-token)和Cookie中值是否一致即可

h1nt
关注
专栏目录
在django使用post方法时,需要增加csrftoken的例子
09-17
在Django框架,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器利用已登录用户的权限...
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当用户提交表单时,Django会检查表单提供的CSRF令牌是否与Cookie的令牌匹配,如果匹配,则认为请求是安全的,否则会抛出"CSRF token missing or incorrect"的错误。 解决这个错误的方法通常涉及以下几个步骤: ...
为什么CSRF Token写在COOKIE里面
热门推荐
18年3月萌新白帽子
08-14 2万+
最近做渗透测试的时候经常看到用户的COOKIE信息里带有CSRF等字样的信息,问了一下同事,他们说这个是用来防御CSRF的字段。 这一下可把我弄懵了,因为我对CSRF的理解是:攻击者盗用用户的COOKIE执行非用户本意的操作。 我的想法是,用户的COOKIE就像是一张门禁卡一样,攻击者可以盗用用户的门禁卡,以被盗用户的身份来执行一些设计增删改的操作,既然用户已经盗用了用户的COOKIE刷卡进门...
什么是CSRF?为什么CSRF Token写在COOKIE里面?
积微成著
07-01 1万+
自制工具翰华Box:https://hanhuabox.lanzous.com/b00zjq9uf 翰华Box - 开发日志:https://blog.csdn.net/qq_41517936/article/details/106409456 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本...
为什么Cookie无法防止CSRF攻击,而Token可以?
最新发布
m0_58989398的博客
06-24 382
上边提到,进行Session认证的时候,一般是使用Cookie来存储Session,当我们登录后,后端生成一个SessionId放在Cookie返回给客户端,服务端通过Redis或者其他存储工具记录保存这个SessionId,客户端登录以后每次请求都会带上这个SessionId,服务端通过这个SessionId来标识登录用户这个人,如果别人通过Cookie拿到了SessionId后就可以代替你的身份访问系统了。,那跨站请求伪造是什么意思呢?下一章我们说说如何防止CSRF攻击?,跨站脚本攻击缩写为。
cookie是不能跨域访问的,为什么会有csrf攻击?
oqqaKun1的博客
10-29 5246
浏览器会依据加载的域名附带上对应域名cookie。 就是如果用户在a网站登录且生成了授权的cookies,然后访问b网站,b站故意构造请求a站的请求,如删除操作之类的,用script,img或者iframe之类的加载a站着个地址,浏览器会附带上a站此登录用户的授权cookie信息,这样就构成crsf,会删除掉当前用户的数据。 注释:script、image、iframe的src都不受同源策略的...
cookies为什么会有csrf风险,为什么token可以避免
qq_44705614的博客
03-16 661
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie 且同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
为什么token能防范CSRF攻击、cookie是同源的
qq_36582776的博客
03-19 1113
CSRF是用户登录安全A网站后,点击危险B网站,危险B利用Acookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然是存储于cookie的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。 cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。 查看cookiecookie有哪些内容? 以键值对形式存储,包括
superagent-django-csrf:修补程序,将cookie的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求
05-02
补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
CSRFCookie、Session和token之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5473
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
为什么xss可以获取cookiecsrf却不能获取cookie而是利用cookie
m0_49706119的博客
07-09 711
Xss和csrf都是跨域,为什么一个能获取cookie一个不能获取cookie,这要清楚,是从哪跨到哪的问题,xss是从信任网站跨向恶意网站,可以把cookie传入。而csrf是恶意网站跨向信任网站,根本没有cookie或者说,恶意网站没有给浏览器设置该站点的cookie,而是利用浏览器访问信任网站携带cookie的原则,而形成请求伪造。 ...
修改哪个请求头可以伪造请求ip_被忽视的漏洞CSRF跨站请求伪造
weixin_39862669的博客
11-23 821
人类才是最大的bug起因几天前,有位师傅联系我询问CSRF的事,最近也刚好在学习CSRF,就弄出一篇文章出来吧。01CSRF简介CSRF(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。02Cookie这里需要了解一个概念,cookie...
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5393
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
被问出花了的 CookieCSRF
javagty6778的博客
03-05 362
我们知道 http 是无状态的,也就是说用户登录后进行其他操作时服务端无法知道用户是否已登录。有机灵的小伙伴很快想到,把用户登录信息存起来后面的接口都带上不就可以了?但 Cookie 出现前浏览器端还没有本地存储方法,JS 在强的变量也抵不过浏览器的一次刷新。就这样Cookie\color{red}{ Cookie }Cookie 亮相了。
一文带你了解CSRFCookie、Session和token,JWT之间的关系
大河之犬的博客
09-15 1213
所以存在被盗用的风险。比如在银行里转账,银行页面上的转账请求链接,是银行服务器那边生成的链接,所以那边是可以在请求里面就加上你客户端的token的,但是钓鱼网站无法得到你的token,钓鱼网站仿造的转账请求链接是无法把token写入的,所以就无法生效。意思是,客户端打开了钓鱼网站,却在不知情的情况下,发送了一个请求给淘宝,这个请求有可能是转账,付款等等,因为是客户端发出的请求,所以客户端会带上自己的cookie,这样就可以请求成功。基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。
CSRF为什么攻击方无法获取到token
weixin_43280025的博客
02-23 1434
CSRF
cookie取不到的问题
神zhi殇的博客
12-26 1534
后端接口个set-cookie: set-cookie: tenantUuid=49OLU08; path=/; HttpOnly; Max-Age=604800; Expires=Thu, 02-Jan-2020 08:36:08 GMT set-cookie: XSRF-TOKEN=9d380ddc-11ba-422d-8ecf-d723e3da21d6; path=/ 上面两个是logi...
解决cookie获取不到的问题
dearbaba_11的博客
09-29 2594
解决cookie获取不到的问题
通俗易懂的csrf漏洞(token为什么能放cookie)
qq_39739740的博客
09-07 1051
csrf漏洞即跨站请求伪造,通俗来说即攻击者通过发送第三方网站(乱七八糟的网站)给你,然而这个网站隐藏了对你已经登陆过的网站的一些请求,也就是含有你的身份认证信息,从而可以假扮你去操作一些事情。假设微博的关注功能存在csrf漏洞那么这就表示给用户小明点了个关注。。注意:实际http请求是携带了你cookie(即身份信息)的,总不能还没登陆微博就能点关注吧这时,如果有人给你发了一个恶意链接****这个网站里头有一个很吸引你的图或者什么话题,然而这个话题或图的链接。
你的回答csrftoken是什么
06-12
`csrftoken`是Django框架用于防止跨站请求伪造攻击(Cross Site Request Forgery, CSRF)的一种防御机制,它是一种基于cookie和表单的方式来防止恶意的跨站请求。 在Django,当用户登录系统时,Django会在HTTP响应添加一个名为`csrftoken`的cookie,同时在每个POST请求的表单添加一个名为`csrfmiddlewaretoken`的隐藏字段,该字段包含与`csrftoken`相同的值。当浏览器向Django发送POST请求时,Django会检查请求的`csrfmiddlewaretoken`值是否与`csrftoken`的值相同,以此来判断请求是否可信。 在前端代码,我们需要获取`csrftoken`的值,并在发送POST请求时将其添加到请求头,以确保请求通过Django的CSRF验证。我之前提到的在Vue使用axios发送POST请求的示例,我们需要从Django响应的cookie获取`csrftoken`的值,并将其添加到请求头
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1nt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值