从Java代码实现角度探讨CSRF(未完待续)

       一、CSRF概念篇

        “图难于其易,为大于其细。天下难事,必作于易;天下大事,必作于细"出自老子的《道德经》,韩非在《韩非子-喻老》篇也曾提到过。这句话大概意思是解决难事要从简单方面入手,做大事情要从细微角度着手。Web系统安全亦是如此,CSRF攻击已出现多年,安全从业者也提供了许多有针对性的解决方案。但实际项目开发工作中,除了一些资深开发工程师,大部分程序开发人员对CSRF的具体攻击形式与原理理解还不够深入。本文将以Java Web项目的代码实现角度分析CSRF攻击,希望对web开发者有一定的启发作用。

        CSRF(Cross-site request forgery)中文名称为"跨站请求伪造”。CSRF攻击形式其实很简单,正因为它的简单反而容易被人忽视,因此它的危害非常巨大。其攻击形式为:用户(USER)首先登录一正常网站(Normal Website),正常网站向用户浏览器发送cookie信息,此时用户还未注销登录信息。然后用户又打开浏览器另一标签页(tab)访问了一个恶意网站(Malicious Website),Malicious Website会自动构造指向Normal Website的恶意HTTP请求(更新、删除、添加您的重要信息)。其中恶意HTTP请求是有Malicious Website来提交的(包括用户点击),理解这一点对于分析CSRF攻击十分重要,下文会对这一点其进行分析。

  


       

       二、CSRF攻击篇

        上图具体描述了CSRF的攻击过程,CSRF涉及到三种角色:用户(User)、正常网站(NW)、恶意网站(MW)。其中恶意网站可能是存在某些Web漏洞的网站,它已经被黑客获得了权限,可以自由构造CSRF攻击页面内容。一旦用户满足上图的过程,将不可避免遭受CSRF攻击。下面以一个bbs系统为例,相信大家一定在bbs上发过帖子,用户可以发布帖子、删除帖子、修改贴子。

       例子1:假设bbs系统以HTTP GET请求方式来删除帖子,攻击者在恶意网站加入以下HTML代码段

     <img src="http://www.mybbs.com/del_forum_posts.do?id=1234"/>
       CSRF攻击者在MW中嵌入上述<img>标签,一旦用户访问该网站将导致帖子被删除,显然用户没想过要删除帖子。那有人会问了,既然HTTP GET方式会导致帖子会被删除,那么我改用POST方式不就可以了嘛,嘻嘻我真聪明。

       例子2:为解决上面的问题,bbs程序员将删除帖子的方式改用POST表单提交方式。

<form action="del_forum_posts.do" mehtod="post">
    <input name="id" value="1234"/>
    <input type="submit" value="submit"/>
</form>

        实际上前端页面改用POST方式还是会存在两个问题,一是ava后端程序员如果编写Servlet或者SpringMVC控制器中时没有很好地区分出POST与GET请求时,那么以request.getAttribute()或者request.getParameter()方式获取客户单请求参数,那么还是无法判断出请求是来自POST还是GET的;假设不存在第一个问题,那是不是真的就不存在问题了呢。哈哈,程序员很自信也很聪明,可攻击者也不傻呀,你在页面改用POST请求,那么攻击者在恶意页面中也可以改用POST方式,正所谓以其人之道还治其人之身。

<script language="JavaScript" type="text/javascript">
    function autoSubmit() {
        document.forms['myForm'].submit();
    }
</script>
    <body οnlοad="autoSubmit()">
        <form id="myForm" name="myForm" action="del_forum_posts.do" mehtod="post"> 
        <input name="id" value="1234"/> </form>
</body>

          显然,一旦访问该页面还是会遭受攻击,因此改用POST方式来防御CSRF是治标不治本。

          那么到底要如何来防御呢?吴翰清在《白帽子讲WEB安全》提到,使信息具有不可预测性是保证系统安全的一个重要特性。CSRF攻击发起者能够预测到发动攻击所需的参数以及请求方式,如本文例子中攻击者能够预测出表单id的值,HTTP请求方式无非就是POST、GET、PUT、DELETE。基于不可预测性的理论,我们可以在表单中加入一个随机数,那么攻击者就没办法预测出了呀。

         目前一般提供两种方式防御CSRF攻击,一是在每个表单提交处增加验证码,但使用验证码对于使用用户来说是比较难以接受的。每个表单都需要填验证码,用户会奔溃的。二是每个表单提交处提供不同的随机参数(TOKEN)。

        CSRF是一种奇怪的Web攻击方式,实际上还存在一种基于Referer Check的检测方式。Referer Check能够防御CSRF的原因是它能够检查请求是否来自合法的服务器。它有一个明显的缺陷是,服务端并非都是可以取到Referer信息,因为很多浏览器出于信息安全考虑会阻止发送Referer信息。网易微博曾经存在该问题,可参考乌云地址:点击打开链接

 

         CSRF基本上只针对增删改操作,读操作对于攻击者基本没有什么意义(CSRF攻击对于攻击者来讲攻击的流程是透明的,他不能得到服务器的Response信息),所以Java开发者在编写程序时要制定符合HTTP协议的规范:GET请求用于获取数据  ,POST请求用于修改数据。常用POST提交有表单(Form)和AJAX两种方式,表单可以通过增加一个隐藏域

     <input type=’hidden’ name=’token’ value=’token值’>
,AJAX可以通过添加请求头(header)。

            后端MVC框架若是采用SpringMVC,客户端每次向Springmvc发送请求时(*.do,*.jhtml等),Springmvc后台可以设置一个全局拦截器,可以产生一个随机数token(在Java中可以使用方法UUID.randomUUID.toString()),以cookie形式发送到客户端。

           假如前端Post表单请求是由于伪造网站来提交的,一般不存在hidden隐藏域 token,即使在页面中增加hidden token,它也没办法获取cookie中的随机token值,并且由于token是随机的也很难猜测出来。

          假如前端Post过来的AJAX请求是有伪造网站提交过来的,一般不存在header 请求头token,即使在请求头中加入header token, 它也是没办法获取cookie中的随机token值, 并且由于token是随机的也很难猜测出来。

         被攻击的网站是可以带上cookie,但是恶意网站是没办法获取cookie,当然是假设不存在其他XSS漏洞可以获取cookie的前提下。Forgery Request里面没有hidden token。

 三、CSRF防御篇

            当用户访问正常网站时,该站点会生成一个随机数的cookie值,Java语言可以采用UUID.randomUUID.toString()方式生成一个随机值。每次用户提交POST请求时需要带上这个随机数token,问题来了要怎么带呢?我们知道客户端发送请求一般有表单和AJAX方式:

        (1) 如果是表单提交方式需要在每次提交之前向表单增加一个包含token值得隐藏域,其中getCookie用于获取客户端cookie值

$("#myForm").submit(function(){
    if($(this).attr("method") != null && $(this).attr("method").toUpperCase() == "POST" && $(this).find("input[name=csrf_token]").size() == 0) {
    	var token = getCookie("csrf_token");
	$(this).append("<input type='hidden' name='csrf_token' value='"+token+"'/>");
    }	
});
       (2)如果是AJAX方式提交,那么我们可以使用 
$.ajaxSend()全局回调函数,当AJAX请求即将被发送时以下代码将执行。 
    
	$(document).ajaxSend(function(event, request, option) {
		if (!option.crossDomain && sett.type != null && option.type.toLowerCase() == "post") {
			var token = getCookie("token");
			if (token != null) {
				request.setRequestHeader("csrf_token", token);
			}
		}
	});

            这里以SpringMVC制器框架为例,分析服务器后端如何对CSRF进行校验防御。SpringMVC提供类似Filter功能的拦截器,但功能更加强大。SpringMVC不仅实现了Filter的所有功能,并提供更加细化的过滤拦截功能。 
  org.springframework.web.servlet.handler.HandlerInterceptorAdapter

           HandlerInterceptorAdapter是SpringMVC提供的拦截器适配器类,继承此类可能实现各种时机的拦截功能。

/**
 * Abstract adapter class for the HandlerInterceptor interface,
 * for simplified implementation of pre-only/post-only interceptors.
 *
 * @author Juergen Hoeller
 * @since 05.12.2003
 */
public abstract class HandlerInterceptorAdapter implements AsyncHandlerInterceptor {

	/**
	 * This implementation always returns {@code true}.
	 */
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
		throws Exception {
		return true;
	}

	/**
	 * This implementation is empty.
	 */
	public void postHandle(
			HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView)
			throws Exception {
	}

	/**
	 * This implementation is empty.
	 */
	public void afterCompletion(
			HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
	}

	/**
	 * This implementation is empty.
	 */
	public void afterConcurrentHandlingStarted(
			HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
	}

}


      JAVA后端验证代码,首先判断请求方式是否为POST方式,

                                      (1) 若为POST请求方式, 则判断是否为AJAX POST请求方式,从requst请求头中取出csrf_token与cookie的token进行比较,值相同表示csrf验证通过

public class CSRFTokenInterceptor extends HandlerInterceptorAdapter {

	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, 
			Object handler) throws IOException {
		String token = CookieUtils.getCookie("csrf_token"); //从cookie中读取token
		if (request.getMethod().equalsIgnoreCase("POST")) {
			String requestType = request.getHeader("X-Requested-With");
			//AJAX POST 请求
			if (requestType != null && requestType.equalsIgnoreCase("XMLHttpRequest")) {
				if (token != null && token.equals(request.getHeader("csrf_token")))
					return true;
			} else if (token != null && token.equals(request.getParameter("csrf_token"))) {//普通表单POST方法
				return true;
			}

			if (token == null) {
				token = UUID.randomUUID().toString();
				CookieUtils.addCookie(request, response, "csrf_token", token);
			}
			//SC_FORBIDDEN,状态码是403,表示服务器明白客户的请求,但拒绝响应
			response.sendError(403, "Bad or missing token!");
			return false;
		}

		
		if (token == null) {
			token = UUID.randomUUID().toString();
			CookieUtils.addCookie(request, response, "csrf_token", token);
		}

		//request只有两个页面之间的作用域,不能再传给第3个页面了
		//request只能在一次页面传递之间保存数据,超过就会丢失
		request.setAttribute("token", token);
		return true;
	}
}



 四、CSRF代码篇


  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: Java代码可以使用以下方法来解决网络安全CSRF问题: 1. 在表单中添加CSRF令牌。在表单提交之前,应该为用户分配一个随机的CSRF令牌,并将其存储在服务器上。当用户提交表单时,该令牌应该与表单数据一起提交。服务器可以检查令牌的有效性,并防止恶意攻击者提交伪造的表单。 以下是一个示例代码: ``` //生成随机的CSRF令牌 String token = UUID.randomUUID().toString(); //将令牌存储在用户会话中 session.setAttribute("csrfToken", token); //在表单中添加CSRF令牌 <form action="/submit-form" method="post"> <input type="hidden" name="csrfToken" value="<%= token %>"> <!-- 其它表单元素 --> <input type="submit" value="提交表单"> </form> //检查CSRF令牌的有效性 protected boolean isValidCsrfToken(HttpServletRequest request) { HttpSession session = request.getSession(); String token = (String) session.getAttribute("csrfToken"); String requestToken = request.getParameter("csrfToken"); return token != null && token.equals(requestToken); } ``` 2. 防止跨域请求。可以使用Java Servlet规范中的SameSite属性来限制Cookie的发送。将SameSite属性设置为"strict"或"Lax"可以防止跨域请求。 以下是一个示例代码: ``` //设置SameSite属性为Lax Cookie cookie = new Cookie("session-id", sessionId); cookie.setPath("/"); cookie.setHttpOnly(true); cookie.setSameSite(Cookie.SameSite.Lax); response.addCookie(cookie); ``` 3. 使用验证码。如果表单中包含敏感数据或操作,则可以使用验证码来确保用户是人类而不是机器。验证码可以防止恶意攻击者使用自动化程序提交表单。 以上是几种常用的防止CSRF攻击的方法,可以在Java代码中使用。 ### 回答2: CSRF(Cross-site Request Forgery)是一种网络安全攻击攻击者利用用户在已认证的网站上执行非自愿的操作。为了解决这个问题,可以采取以下的Java代码实现: 1. 随机生成并保存一个CSRF令牌(Token)到用户的会话(Session)中。 ```java String token = generateToken(); // 生成CSRF令牌 request.getSession().setAttribute("csrfToken", token); // 将令牌保存到会话中 ``` 2. 在用户执行重要操作之前,将该CSRF令牌添加到表单中。 ```html <form action="/submit" method="post"> <input type="hidden" name="csrfToken" value="${sessionScope.csrfToken}"> <!-- 表单其他字段 --> <input type="submit" value="提交"> </form> ``` 3. 在服务器端验证提交请求中的CSRF令牌是否与会话中保存的令牌相同。 ```java String csrfToken = request.getParameter("csrfToken"); // 获取提交请求中的令牌 String sessionToken = (String) request.getSession().getAttribute("csrfToken"); // 获取会话中的令牌 if (csrfToken == null || !csrfToken.equals(sessionToken)) { // 令牌不匹配,拒绝请求或采取其他处理 return; } // 令牌匹配,继续处理请求 ``` 通过以上的实现,我们可以有效地防止CSRF攻击。当用户发起操作时,我们在会话中生成一个随机的CSRF令牌,并将其添加到表单中。在服务器端接收到请求时,我们会从提交请求中获取令牌并与会话中保存的令牌进行比较,如果两者一致,则表明请求是合法的;如果不一致,则很可能是恶意的请求,我们可以拒绝该请求或采取其他适当的处理措施。 这样做的好处是,即使攻击者能够诱导用户点击恶意链接或图片,但由于缺乏正确的CSRF令牌,攻击者无法成功发起合法请求。因此,我们可以保障用户的安全和数据的完整性。 ### 回答3: CSRF(Cross-Site Request Forgery)指的是攻击者利用受害者的身份在受信任的网站上执行未经授权的操作。为了解决这个问题,我们可以在Java代码中采取以下措施: 1. 随机令牌(CSRF Token):在每个与服务器的请求中,包括表单提交和AJAX请求,都生成一个随机令牌。该令牌仅存储在会话中,并在生成的HTML表单中包含一个隐藏字段。服务器在处理请求时验证令牌的有效性,如果令牌不存在或无效,则拒绝请求。 2. 双重提交cookie:每当生成随机令牌时,将其存储在会话中,并将其同时设置为一个cookie,以便每个请求都包含此cookie。服务器在收到请求时,比较表单中的令牌与cookie中的令牌,如果不匹配,则拒绝请求。 3. SameSite属性:将cookie的SameSite属性设置为Strict。这样,浏览器将只在用户直接导航到网站时包含cookie,阻止来自其他网站的跨站请求。 4. 验证来源(Referer)头:服务器验证请求的Referer头,确保请求来自相同的源或受信任的源。阻止来自其他网站的跨站请求。 5. 验证请求方法:对于敏感操作,例如修改、删除数据,仅接受POST请求。防止攻击者通过GET请求进行滥用。 通过以上措施,我们能够在Java代码中有效地解决CSRF问题。这些措施可以在服务器端实施,确保请求的有效性,并防止攻击者利用受信任的用户身份进行未经授权的操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值