同步令牌模式防范CSRF跨站请求伪造攻击

最新推荐文章于 2022-05-22 11:58:02 发布
最新推荐文章于 2022-05-22 11:58:02 发布
阅读量2.7k 收藏
点赞数

什么是“跨渣请求伪造”呢?这是信息安全领域的一个名词,译自英文“Cross Site Request Forgery”。

百度百科上介绍的很简单却很明了,大家可以看一下,我这里配合一些代码稍微多说一点。

 

假设我们要在银行网站上给老妈转100块钱,毕竟毕业这么多年了也没给过家里钱(虽然你认为他们都在赚钱不需要你给,况且你自己现在赚钱刚好可以经济独立,不过实际上爹妈还是很希望你能支援家里的)。这个转账的HTTP请求类似于这样:

Html代码   收藏代码
  1. POST /transfer HTTP/1.1  
  2. Host: bank.example.com  
  3. Cookie: JSESSIONID=randomidDomain=bank.example.com; Secure; HttpOnly  
  4. Content-Type: application/x-www-form-urlencoded  
  5.   
  6. amount=100.00&routingNumber=1234&account=9876  

 你现在已经登录银行的网站了(你说你用的客户端?那当然没有这个危险性了,所以银行才都推荐U盾的),然后你新开了个标签页,进入一个“危机四伏”的网站(你傻啊,为什么要这样做。其实当别人没骗的时候我们都可以马后炮,但是没有足够的防范意识,任何时候我们被骗都是在鼓里)。

这个网站有一个链接,代码类似于这样:

Html代码   收藏代码
  1. <form action="https://bank.example.com/transfer" method="post">  
  2.   <input type="hidden"      name="amount"      value="100.00"/>  
  3.   <input type="hidden"      name="routingNumber"      value="evilsRoutingNumber"/>  
  4.   <input type="hidden"      name="account"      value="evilsAccountNumber"/>  
  5.   <input type="submit"      value="点我拿红包!"/>  
  6. </form>  

 除了一个“拿红包”的按钮之外,其他都是隐藏域。一看抢红包了,赶紧抢吧!这个表单提交后,和上面的请求是完全一样的。尽管这个网站没有你的cookie信息,可是你提交的时候cookie照样会被发送,所以它完全不需要拿到你的cookie。

你说:好像只要我足够小心,不去点击按钮就行了。当然不是,因为给你个按钮让你点是貌似愚蠢的做法,这个网站打开的同时,它的javascript代码说不定就不停的发生那个请求了。而你完全不知道。

 

为什么会这样?

因为接收action的服务器并不知道请求是跨站的,跨不跨站对于服务器来说没什么两样。

知道了这一点,我们的解决方法也就应运而生了:增加点东西让其他站点提供不了(因为只用cookie是不够的),这样服务器去验证这个域不就可以了吗。

一种方案是同步令牌模式。你的每一次请求,除了session数据外,都会提供服务器经response返回的随机串作为一个单独的http参数。提交后服务器会验证这个随机串。而其他网站是拿不到这个随机串的。

与之前的请求相比,只多了一个参数_csrf:

Html代码   收藏代码
  1. POST /transfer HTTP/1.1  
  2. Host: bank.example.com  
  3. Cookie: JSESSIONID=randomidDomain=bank.example.com; Secure; HttpOnly  
  4. Content-Type: application/x-www-form-urlencoded  
  5.   
  6. amount=100.00&routingNumber=1234&account=9876&_csrf=<secure-random>  

对于经过浏览器进行访问和发送接收请求的场景,防范CSRF攻击都有必要。 

 

 Spring Secure是怎么防范CSRF攻击呢?

首先,我们使用spring secure应该保证action的HTTP动词是合适的,不应该使用GET请求处理编辑性活动。使用POST要好得多。有的框架检测到token(就是上面提到的随机串)不合法马上就将用户登出要求重新登录。而Spring是产生一个403状态。

spring默认是开启 csrf防范的(如果使用命名空间需要开发者显示开启),如果想关闭,可以使用disable()方法:

Java代码   收藏代码
  1. @EnableWebSecurity  
  2. @Configuration  
  3. public class WebSecurityConfig extends  
  4.    WebSecurityConfigurerAdapter {  
  5.   @Override  
  6.   protected void configure(HttpSecurity http) throws Exception {  
  7.     http.csrf().disable();  
  8.   }  
  9. }  

 最后,要保证在除了GET外的请求中都包含_csrf域。不然,连登出都会失败(咦,登出不是GET吗?所以最好用POST)。

转载地址:http://somefuture.iteye.com/blog/2282894


编程家阿笨猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf跨站请求伪造_跨站请求伪造CSRF)缓解—同步令牌模式
weixin_26722031的博客
07-31 787
csrf跨站请求伪造 什么是CSRF Attack ..? (What is CSRF Attack..?) A Cross-Site Request Forgery is also known as CSRF, one-click attack or session riding. This is a sort of assault whereby web site with noxious a...
深入了解CSRF漏洞
m8330466的博客
05-22 337
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
令牌同步模式
Leon_Jinhai_Sun的博客
05-22 397
这是目前主流的 CSRF 攻击防御方案。具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的宇符串,我们称之为 CSRF 令牌。这个 CSRF 令牌由服务端生成,生成后在 HtpSession 中保存一份。当前端请求到达后,将请求携带的 CSRF 令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该 HITTP 请求。 注意: 考虑到会有一些外部站点链接到我们的网站,所以我们要求请求是幂等的,这样对子HEAD、OPTIONS、
CSRF攻击技术
06-09
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络攻击方式,它利用了用户的已登录状态,通过诱导用户点击恶意链接或访问恶意网站,来执行非用户意愿的操作。这种攻击通常发生在Web应用程序中,对...
csrf漏洞.rar
09-15
**CSRF(Cross-Site Request Forgery,跨站请求伪造)漏洞详解** CSRF是一种网络攻击方式,攻击者通过伪造用户的请求,使用户在不知情的情况下执行非本意的操作。这种漏洞通常发生在需要用户身份验证的Web应用中,...
100道ajax面试题
最新发布
07-17
- 跨站请求伪造CSRF):使用令牌机制,每次请求携带唯一令牌。 - 数据泄露:使用HTTPS加密传输数据。 2. **同源策略:** - 为了保护用户的隐私和数据安全,浏览器实施了同源策略。该策略限制了一个文档或脚本...
tzxblog博客系统-概要设计V1.01
08-08
5. CSRF防范:通过生成并验证CSRF令牌,防止跨站请求伪造。 六、功能设计 1. 首页:展示最新或热门文章,可能包含搜索框、分类导航等元素,提供用户快速浏览内容的入口。 2. 文章详情:展示完整文章内容,支持评论...
PHP BBS论坛
12-27
设置CSRF令牌则可防范跨站请求伪造。 2. **搜索功能**:论坛通常有强大的全文搜索功能,实现关键词匹配和高亮显示。可利用MySQL的全文索引或第三方搜索引擎如Sphinx、Elasticsearch来优化搜索性能。 3. **负载均衡...
csrf令牌_是否需要CSRF令牌
weixin_26753891的博客
09-06 1291
csrf令牌by: Matt McEachern, Posh Co-founder and CTO 作者:Posh联合创始人兼CTO Matt McEachern CSRF, which stands for Cross-Site Request Forgery, is a common attack vector for vulnerable web applications with pot...
跨站请求伪造攻击(CSRF)的预防
my_one_piece的博客
09-30 658
跨站请求伪造攻击(CSRF)的预防 问题及解决思路 名词解释: 表单:泛指浏览器端用于客户端提交数据的形式;包括a标签、ajax提交数据、form表单提交数据等,而非对等于HTML中的form标签。 跨站请求伪造CSRF,Cross-site request forgery)是另一种常见的攻击攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据或执行
跨站请求伪造(CSRF)
前行的博客
08-15 7826
什么是CRSF 构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF-跨站请求伪造。   浏览器Cookie策略 cookie分类 cookie根据有无设置过期时间分为两种,没有设置过期时间的为Session ...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1750
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
令牌窃取及防范
weixin_45007073的博客
06-04 1198
令牌窃取什么是令牌伪造令牌原理令牌窃取 什么是令牌 令牌(Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个账户的。获得了令牌,就可以在不提供密码或其他凭证的情况下访问网络和系统资源。令牌会持续存在于系统内部,除非操作系统重新启动。 令牌最大的特点是随机性和不可预测性。一般的攻击者或软件都无法将令牌猜测出来。访问令牌(Access Token)代表访问控制操作主题的系统对象。密保令牌(Security Token)也叫作认证令牌或硬件令牌,是一种用于实现计算
防止csrf攻击之token
yezi__6的博客
04-02 641
1.设置随机字符串,尽量大一些 var csrfToken=parseInt(Math.random()*999999,10); ctx.cookies.set('csrfToken',csrfToken) console.log(ctx.cookies.get('csrfToken')) 2.在表单中提交的数据中加入csrfToken if(post){ ctx.rend...
post的 csrf 跨栈请求伪造的解决办法
咸鱼!!!
05-31 917
post的跨栈请求伪造的解决办法 方法一:HTML的form表单中增加 {% csrf_token %} 第二种:在项目的setting.py文件中注释中间键 第三种:增加一个装饰器在view的代码中 步骤: 1.导包 2.写入 ...
同步令牌
furenqiang的专栏
01-12 467
同步令牌的主要思想是:用一个共享令牌来监控请求流程及客户端对特定资源的访问。 我们可以用同步令牌来控制客户端的请求提交,不允许重复提交同一个请求。在处理一个刚到达的请求之前,需要先对同步令牌进行比对。在处理请求之后,将响应准备好并发至客户端之前,需要生成并保存一个新的令牌值。 本文采用的例子基于Spring框架: 比如要新增一条工作流程信息,需要经过两个步骤: 1、请求add...
Lab: CSRF where token validation depends on request method:CSRF,其中令牌验证取决于请求方法...
Zeker62的博客
08-26 304
CSRF,其中令牌验证取决于请求方法 漏洞 某些应用程序在请求使用 POST 方法时正确验证令牌,但在使用 GET 方法时跳过验证。 在这种情况下,攻击者可以切换到 GET 方法绕过验证并进行 CSRF 攻击: 沿用上次文章的代码,更改URL即可、 <html> <!-- CSRF PoC - generated by Burp Suite Professional --&...
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值