基于复杂方案OWSAP CsrfGuard的CSRF安全解决方案(适配nginx + DWR)

最新推荐文章于 2024-02-04 23:24:44 发布
最新推荐文章于 2024-02-04 23:24:44 发布
阅读量91 收藏
点赞数
原文链接:https://my.oschina.net/sniperLi/blog/778266
版权

1、什么是CSRF?
已经有很多博文讲解其过程和攻击手段,在此就不重复了。 O(∩_∩)O 不清楚的同学,请自行搜索或按链接去了解: http://blog.csdn.net/Flaght/article/details/3873590

2、CSRFGuard_Project
开源项目 CSRFGuard,介绍了如何使用在 HTTP 请求中加入 token 并验证的方法来抵御 CSRF。 https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project

3、检测CSRF方法?
OWASP上面有一个叫做CSRFTester的工具,可以构建进行测试。
下载链接:https://www.owasp.org/index.php/CSRFTester
教程指引:http://www.zyiqibook.com/article216.html

4、如何防御CSRF?
我们采用CSRFGuard_Project方案 JAVA DOM方式。
配置如下:

1)引入csrfguard-3.1.0.jar到你的工程: 2)配置web.xml:

<!-- 基于复杂方案OWASP CsrfGuard的CSRF安全过滤 -->
    <servlet>
       <servlet-name>JavaScriptServlet</servlet-name>
       <servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>
    </servlet>
    <servlet-mapping>
       <servlet-name>JavaScriptServlet</servlet-name>
       <url-pattern>/JavaScriptServlet</url-pattern>
    </servlet-mapping>
    <context-param>
      <param-name>Owasp.CsrfGuard.Config</param-name>
      <param-value>WEB-INF/csrfguard.properties</param-value><!-- 配置文件 -->
    </context-param>
    <context-param>
       <param-name>Owasp.CsrfGuard.Config.Print</param-name>
       <param-value>true</param-value>
    </context-param>
    <!-- session监听器 --><!-- 基于复杂方案CsrfGuard的session监听器 -->
    <listener>
        <listener-class>org.owasp.csrfguard.CsrfGuardHttpSessionListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.owasp.csrfguard.CsrfGuardServletContextListener</listener-class>
    </listener>
    <filter>
        <filter-name>CSRFGuard</filter-name>
        <filter-class>org.owasp.csrfguard.CsrfGuardFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CSRFGuard</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3)引入配置文件csrfguard.js csrfguard.properties(jar包META-INF里面有) csrfguard.properties配置文件中有几点需要注意:

可以指定加载的js,为方便管理,我放在WEB-INF目录下:

org.owasp.csrfguard.JavascriptServlet.sourceFile = WEB-INF/csrfguard.js

org.owasp.csrfguard.TokenName 对于nginx分发多servers的情况,nginx默认过滤带下划线的header,要么改掉nginx的配置,要么改这个参数的值。 参考:http://www.ttlsa.com/nginx/nginx-proxy_set_header

#>>>>>>>>>>>>>--author by caizhengluan  e-mail: SvenAugustus@outlook.com
#Nginx ignores the underlined header variables by default.
# Please do not set "TokenName" has any underlines if you can't unkonwn how to change nginx's configuration.
org.owasp.csrfguard.TokenName=PAYCSRFTOKEN
#<<<<<<<<<<<<<--author by caizhengluan  e-mail: SvenAugustus@outlook.com

org.owasp.csrfguard.JavascriptServlet.refererMatchDomain 对于nginx分发多servers的情况,需要设置为false

#>>>>>>>>>>>>>--author by caizhengluan  e-mail: SvenAugustus@outlook.com
# If you have cluster and nginx, please set this value to false.Otherwise, you will can't visit into the servers when you access nginx address.
org.owasp.csrfguard.JavascriptServlet.refererMatchDomain = false
#<<<<<<<<<<<<<--author by caizhengluan  e-mail: SvenAugustus@outlook.com

4、如何具体防御DWR和我们的页面? 在你的页面最后加上这么一句:

<!-- OWASP CSRFGuard JavaScript Support -->
<script src="<%=request.getContextPath()%>/JavaScriptServlet"></script>

输入图片说明

转载自:https://my.oschina.net/langxSpirit/blog/678901

转载于:https://my.oschina.net/sniperLi/blog/778266

cihongmo6452
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末已经更新更简单的方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道...
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4078
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF解决方案
最新发布
qq_35716689的博客
02-04 16万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
nginx解决CSRF安全漏洞
MRLEE1212的博客
11-10 2838
使用AppScan扫描出来安全漏洞中,出现修改referer,但是仍然可以获取请求结果,出现CSRF安全漏洞提示,修改方法如下: 防法1. 修改nginx配置文件: location /auth { valid_referers none blocked 10.100.13.55 10.100.13.55:80; if ($invalid_referer) { return 403; } proxy_set_header Host $host; proxy_set_header X-Real-IP $rem
在gin框架中实现csrf防护解决方案(gin+gorilla/csrf
hg_zhh
01-15 2562
背景 由于实际需求,需要将原来基于flask框架的web模块,使用gin框架重构,并且并加上CSRF防护。为此我了一些调研,并最终利用gorilla/csrf 为基于gin框架的web模块添加csrf防护。 前期调研 gin框架因为其速度快的特点被广泛使用,同时该框架功能也及其简单。gin不像beego提供了各种丰富的组件,因此需要使用者根据实际需要灵活组合。自然,gin也当然不会提供csrf功能。 在此之前,我调研了如下几种csrf中间件: https://github.com/gorilla/csrf
Django CSRF认证的几种解决方案
01-21
什么是CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF...
基于nginx的waf方案naxsi源码理解(5)-主要结构体
07-17
naxsi是基于nginx(从技术上讲,它是一个第三方的nginx模块)的web应用防火墙(waf)。主要功能包括:SQL注入 检测、XSS 检测、CSRF 检测、目录遍历 检测、OBVIOUS RFI 检测、文件上传漏洞 检测等,并支持则及字符串...
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
10-26
不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案.docx
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端...跨域实战解决方案 跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
应用安全威胁及解决方案_基于OWASP_top_10_2013.pdf
08-07
应用程序安全风险 A1 – 注入 A2 –失效的身份认证和会话管理 A3 –跨站脚本(XSS) A4 - 不安全的直接对象引用 A5-安全配置错误 A6-敏感信息泄漏 A7 - 功能级访问控制缺失 A8 – 跨站请求伪造CSRF A9 - 使用已知...
nginx+vue.js实现前后端分离的示例代码
11-30
适合解决跨域问题和反向代理(因为谁也不想看到在本域名下看到访问其他域名的情况发生,跨域可导致csrf攻击,这是本文用它的第二个原因) 占用内存少,秒启,能快速切换结点,防止宕机 2.es6 是ECMAScript的第六个版本,如果...
fenris:通用应用程序渲染和CSRF解决方案
03-20
通过已签名的到期CSRF令牌进行CSRF保护 基于Redux的路由器( naglfar ) 服务器不可知 SSR CSS-in-JS挂钩 客户端和服务器缓存数据和呈现的html 通过react-helmet完全控制呈现的html belowTheFold组件用于SSR优化 ...
跨站攻击(XSS+CSRF).docx
01-05
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
命令执行+CSRF
06-11
本节课程分两个方面,命令执行包含os命令执行、struts2远程命令执行、变量覆盖。CSRF漏洞包含GET型及POST型两种类型的CSRF漏洞,每种漏洞不仅包含原理分析还包含攻击过程演示。
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site ...
CSRFTester:一款CSRF漏洞的安全测试工具
02-26
CSRFTester:一款CSRF漏洞的安全测试工具CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞,CSRF英文全称是CrossSiteRequestForgery,常被叫跨站点伪造请求,是伪造客户端请求的一种攻击...
安全性测试--CSRF攻击
02-20
CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够...
帮我用ava写一个CSRF解决方案
03-02
当网站使用 CSRF 防护时,常常需要在用户的请求中添加一个随机的 token,然后在服务端验证该 token 是否匹配...需要注意的是,这只是一个基本的 CSRF 防护方案,具体实现可能会因应用场景和安全要求的不同而有所变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值