目录
1 CSRF概述
定义:CSRF(Cross-site request forgery,跨站请求伪造) 也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。
发生地点:Web应用程序上,不是系统也不是组件。
发生时间:在终端用户在当前对其进行身份验证后。
发生形式:“强制”执行用户非本意的操作,此处的强制也可以是诱导用户执行的。
目标:
主要目的是伪造更改状态(如修改密码、转账)的请求而不是盗取数据,因为攻击者无法看到对伪造请求的响应。借助一些社工的帮助(例如通过电子邮件或聊天发送链接),攻击者可以诱骗用户执行攻击者选择的操作。
CSRF 攻击目标是能够更改服务器状态或数据的业务或功能,例如更改受害的电子邮件地址、密码或购买商品。强制受害者查询数据,对于供给者来说没什么用,因为无法获得服务器响应。因此,SCRF攻击正对引起状态变化的请求。
有时可以将CSRF 攻击存储在易受攻击的站点上。这些漏洞被称为“存储的CSRF漏洞”。这可以通过简单地接受HTML 的字段中存储IMG 或IFRAME 标记,或通过更复杂的跨站点脚本攻击来实现。如果攻击可以在站点中存储SCRF 攻击,则攻击的严重性会放大。特别是,收到攻击的可能性增加,因为受害者比互联网上的某个随机页面更有可能查看包含攻击的页面。(具备普遍性)
与XSS对比:
尽管CSRF听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站 。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比XSS更具危险性。
CSRF危害
- 如果受害者是普通用户,则CSRF攻击可以成功地强制用户执行状态更改的请求,例如以目标用户的名义发送邮件、发消息,盗取目标用户的账号,甚至购买商品、虚拟货币转账,这会泄露个人隐私并威胁到了目标用户的财产安全。
- 如果受害者是管理员账户,CSRF可能危害整个Web应用程序。
- 例子:你想给某位用户转账100元,那么单击“转账”按钮后,发出的HTTP请求会与http://www.xxbank.com/pay.php?user=xx&money=100类似。而攻击者构造链接http://www.xxbank.com/pay.php?user=hack&money=100,当目标用户访问了该URL后,就会自动向Hack账号转账100元,而且这只涉及目标用户的操作,攻击者并没有获取目标用户的cookie或其他信息。
2 CSRF攻击过程及原理
2.1 CSRF场景例子
假如有一个受信任的站点银行网站,用户登录了银行网站并已经进行了身份验证,用户在未退出银行网站的情况下,访问了黑客发的某个钓鱼链接,使得用户在不知情的情况下相当于向银行发起了转账请求。
2.2 攻击过程
(1)用户C浏览并登陆信任的服务器站点A;
(2)用户C登陆A验证通过,在用户C的浏览器上产生A的Cookie等相关信息;
(3)用户C在没有退出登陆的情况下访问攻击站点B;
(4)用户C被攻击站点B载入了恶意代码;
(5)载入的恶意代码给第三方的站点A发出一个伪造的请求(该请求不是用户非本意的请求);发送请求时,用户C的浏览器会将第2步中自身所携带的cookie等信息发送给站点A;
(6)站点A无法区分5中发出的请求是否是由用户C的本意,由于浏览器会自动带上用户C的Cookie,所以A会根据C的权限处理5的请求。
2.3 原理
(1)原理简答概况为:攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。
(2)对于大多数站点,浏览器请求自动发送与站点关联的所有凭据,例如用户的会话cookie、IP地址、Windows域凭证等。因此,如果用户当前已对站点进行了身份验证,则该站点将无法区分客户端发送的请求是攻击者伪造的还是受害者本意的。
2.4 攻击成功的条件:
(1)用户已经登录了站点 A,并在本地记录了 cookie。
(2)在用户没有退出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B(B 站点要求访问站点A)。
(3)站点 A 没有做任何 CSRF 防御。
3 CSRF攻击方式/如何触发
(1)GET请求类型:
- 使用a标签定义超链接。例如攻击者在恶意网页中,某个a标签语句源代码是
<a href="目标站点网页+相关参数">兼职</a>,当受害者点击该网页时,就会向目标站点发送攻击者伪造的请求。 - 使用img标签插入图像。例如攻击者在恶意网页中,某个img标签语句源代码是
<img src="目标站点网页+相关参数">,当受害者刷到该网页的时候,就会向目标站点发送攻击者伪造的请求,由于src不是一个图片的远程地址,所以此时图片显示出错。 - 其他一些可以触发攻击者伪造URL的标签。
(2)POST请求类型:
- 即使网站相关操作采用的是POST方法,攻击者也可以通过构造表单的方式来伪造请求,核心代码如下:其中第2~5行是攻击者伪造的请求和参数,通过受害者点击a标签触发JS代码提交伪造请求。
<meta charset='utf-8'>
<form name ='csrf'
action ='目标站点网页'
method = 'post'>
<input type= 'hidden' name='username' vlaue='攻击者伪造'>
<input type= 'hidden' name='money' vlaue='攻击者伪造'>
</form>
<script>document.csrf.submit()</script>
<img src='./1.jpg'><br />
<a href='javascript:document.csrf.submit()'>兼职</a>
- 与XSS相结合,上述两种攻击方式,攻击者需要自己搭建一个网站用于存放那些带有恶意代码的网页,而与XSS相结合的CSRF跨站请求伪造是将恶意代码存放与他人的网站中。比如,攻击者通过研究目标网站的业务流程,构造以下代码,假如目标网站的管理员在登录目标网站的情况下触发了这段代码,则会在网站上自动注册一个账户。
<script>
xmlhttp=new XMLHttpRequest();
xmlhttp.open(\'post\',\'http://目标网站\',false);
xmlhttp.setRequestHeader("Cintent-type","application/x-www-form-urlencoderd");
xmlhttp.send(\'act=add&username=hacker&password=123456&password2=123456&其他参数\');
</script>
5 CSRF的防御
5.1 一些无效的防御手段
(1)使用密码cookie
所有的cookie,即便是密码的cookie,也会随着每个请求一起提交,无论最终用户是否被欺骗提交请求,都将提交所有身份证明令牌或凭证。
(2)仅接受POST请求
开发者可以开发应用程序以仅接受用于执行业务逻辑的POST请求,误解以为攻击者无法构建恶意链接,因此无法执行CSRF攻击。不幸的是,这种逻辑是不正确的,有许多方法可以让攻击者欺骗受害者提交伪造的POST,例如在隐藏值的攻击者网站中托管的简单表单,此表单可以由JavaScript自动触发,也可以由受害者(以为表单会执行其他操作的)触发。
(3)多步交易
多步交易不足以预防CSRF,只要攻击者可以预测或推断完整事务的每个步骤,就可以实现CSRF。
(4)URL重写
这可能被视为一种有用的CSRF预防技术,因为攻击者无法猜测受害者的会话ID,但是用户的会话ID在URL中公开,所以不建议通过引入另一个安全漏洞来修复一个安全漏洞。
(5)HTTPS
HTTPS本身无法低于CSRF,但是,HTTPS应被视为任何预防措施值得信赖的先决条件。只要目标网站没有使用https,渗透测试报告中就需要就该点提出问题。
5.2 有效的防御手段
(1)验证Referer字段
根据HTTP协议,在HTTP头中有Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自于网站自身。由于Referer支持客户端自定义,所以只能认为不是来源于网站自身的请求不可信,但不足以认为referer是网站自身就可信。
(2)添加Token验证
CSRF攻击之所以能够成功,是因为攻击者可以伪造用户的请求,该请求中所有用户验证信息都存在于Cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。由此可知,抵御CSRF攻击的关键在于:在请求中以参数的形式加入一个随机产生的token(随机字符串),并在服务器端建立一个拦截器来验证所有请求的token,如果请求中没有token或token内容不正确,则认为可能是CSRF攻击而拒绝该请求。
(3)二次验证
二次验证就是在转账等关键操作之前提供当前用户的密码或验证码,该方法能有效低于CSRF攻击。
(4)用户养成良好的上网习惯
养成良好的上网习惯,则能够很大程度上减少CSRF攻击的危害。例如,用户上网时,不要轻易点击网络论坛、聊天室、即时通讯工具或电子邮件中出现的连接或图片;及时退出长时间不使用的已登录账户,尤其是系统管理,应尽量在登出系统的情况下点击未知来源的链接或图片。除此之外,用户还需要在连接互联网的计算机上安装合适的安全防护软件,并及时更新关键厂商发布的特征库,以保持安全软件对最新攻击的实时跟踪。
6 总结
(1)理解CSRF的攻击原理;
(2)重点掌握CSRF的三种攻击方式;
(3)了解CSRF的危害;
(4)重点掌握CSRF的防御手段。
参考文章
[1]《什么是CSRF?如何防御CSRF攻击?》
5304
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
