一、CSRF 是什么?
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
二、实际攻击场景
下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。
1、登录账号
-
正常登录了一家银行网站,查看其后台信息后,没有退出登录;* 假设这家银行操作转账的 URL 是:
https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
* * *
2、恶意链接
-
此时你看到其他网站的一个诱导链接,你下意识点开了;* 诱导链接中包含恶意代码(用 转账链接 替代 真实图片链接)
<img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />
* * *
3、攻击完成
-
点击链接后,浏览器会打开
<img>
中 src 属性的链接来加载图片,但实际上执行了转账操作; -
转账请求所用电脑、浏览器、ip等环境跟登录账号时的环境一模一样,银行网站后台会认为这就是你本人在操作,所以验证通过,直接转账。
三、防止 CSRF 攻击
服务器端对请求做一次身份验证,拒绝掉无法通过验证的请求,即可方式 CSRF 攻击。
1、第一种方法:验证码
给手机发送数字验证码、图形化验证码让客户识别、让用户再次输入账号密码等进行再次身份验证。
2、第二种方法:Token
-
Token 使用过程:
1、服务器生成一个 CSRF token;2、客户端(浏览器) 提交表单中含有 CSRF token 信息;3、服务端接收 CSRF token 并验证其有效性。
* 原理说明:攻击者有可能在上面客户端中拿到 CSRF token,但是攻击者只能使用 JavaScript 来发起请求,如果服务器不支持 CORS(跨域资源),那么攻击者的跨域 JavaScript 请求
是会被服务器拒绝,达到防止 CSRF 攻击目的。* Node.js 项目中推荐使用csurf
,具体使用方法,看这里!* * *
四、参考文档
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 当然你也可以看下面这个视频教程仅展示部分截图:
学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!