OWASP(CsrfGuard)源码解析04----CsrfGuardFilter分析

最新推荐文章于 2024-06-10 09:40:05 发布
最新推荐文章于 2024-06-10 09:40:05 发布
阅读量723 收藏
点赞数
分类专栏: OWASP-CSRF Guard 文章标签: CsrfGuardFilter OWASP csrf csrfguard filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mamamalululu00000000/article/details/112660541
版权

CsrfGuardFilter分析

一、介绍

前面两章 已经对 Listener 进行了分析, 本章主要 分析一下CsrfGuardFilter
在这里插入图片描述

二、CsrfGuardFilter 分析

CsrfGuardFilter 主要 就是对 请求进行拦截, 然后根据配置 设置要不要校验, 校验时 根据 ajax , page, session 等
不同情况分别处理 ,最后再更新 token.


public final class CsrfGuardFilter implements Filter {

	private FilterConfig filterConfig = null;
    
    // 初始化时
	@Override
	public void init(@SuppressWarnings("hiding") FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {

		// 首先判断 配置文件里面 org.owasp.csrfguard.Enabled 是否 开启, 默认是开启的
		// 如果为 false, 那就直接跳过
		if (!CsrfGuard.getInstance().isEnabled()) {
			filterChain.doFilter(request, response);
			return;
		}
		
		/** 仅适用于HttpServletRequest对象  **/
		if (request instanceof HttpServletRequest && response instanceof HttpServletResponse) {
			
			HttpServletRequest httpRequest = (HttpServletRequest) request;
			// 获取session
			HttpSession session = httpRequest.getSession(false);
			
			/**如果session 为null 需要直接跳过,可以将 配置文件里面 org.owasp.csrfguard.ValidateWhenNoSessionExists 设置为 false(默认为 true) ,即可跳过
			**/
			if (session == null && !CsrfGuard.getInstance().isValidateWhenNoSessionExists()) {
				// If there is no session, no harm can be done
				filterChain.doFilter(httpRequest, (HttpServletResponse) response);
				return;
			}

			CsrfGuard csrfGuard = CsrfGuard.getInstance();
			// 打印log 下面有对log 详细介绍,
			csrfGuard.getLogger().log(String.format("CsrfGuard analyzing request %s", httpRequest.getRequestURI()));
           // 转换成InterceptRedirectResponse 类型
			InterceptRedirectResponse httpResponse = new InterceptRedirectResponse((HttpServletResponse) response, httpRequest, csrfGuard);

//			 if(MultipartHttpServletRequest.isMultipartRequest(httpRequest)) {
//				 httpRequest = new MultipartHttpServletRequest(httpRequest);
//			 }

            // 如果session 不为null ,但是是新的,并且 使用新Token 登录页面 ,默认是false,这里的if 逻辑走不到
			if ((session != null && session.isNew()) && csrfGuard.isUseNewTokenLandingPage()) {
			    // 创建新Token 并 建 页面
				csrfGuard.writeLandingPage(httpRequest, httpResponse);
				// 进行验证
			} else if (csrfGuard.isValidRequest(httpRequest, httpResponse)) {
				filterChain.doFilter(httpRequest, httpResponse);
			} else {
				/** invalid request - nothing to do - actions already executed **/
			}

			/** 最后 再更新 token **/
			csrfGuard.updateTokens(httpRequest);

		} else {
		// 打印log
			filterConfig.getServletContext().log(String.format("[WARNING] CsrfGuard does not know how to work with requests of class %s ", request.getClass().getName()));

			filterChain.doFilter(request, response);
		}
	}

    // 销毁
	@Override
	public void destroy() {
		filterConfig = null;
	}

}

三、 CsrfGuard 类分析

3.1 isValidRequest 分析


	public boolean isValidRequest(HttpServletRequest request, HttpServletResponse response) {
        // 首先判断是否是需要保护的页面和方法
		boolean valid = !isProtectedPageAndMethod(request);
		HttpSession session = request.getSession(true);
		String tokenFromSession = (String) session.getAttribute(getSessionKey());

		/** 需要保护的页面资源, token 不为null, 进行校验Token **/
		if (tokenFromSession != null && !valid) {
			try {
			     // 如果开启了ajax 请求, org.owasp.csrfguard.Ajax 对应的值
			     // 并且是 ajax 请求, request 头部的 X-Requested-With 不为null, 有一个 值为XMLHttpRequest ,这个是在 csrfguard.js 里面 配置的
				if (isAjaxEnabled() && isAjaxRequest(request)) {
					verifyAjaxToken(request);
					// 如果是 page 验证
				} else if (isTokenPerPageEnabled()) {
					verifyPageToken(request);
				} else {
				   // session 验证
					verifySessionToken(request);
				}
			    // 修改flag 标志
				valid = true;
			} catch (CsrfGuardException csrfe) {
			   // 如果验证不通过, 调用对应的 action , action 对应的 操作 在下面有介绍
				callActionsOnError(request, response, csrfe);
			}

			/** 旋转 session 和 page  tokens 
			 如果 不是ajax 请求, 并且开启了 旋转替换token ,
			 那就对 session 和page 对应的tokens 替换掉
			**/
			if (!isAjaxRequest(request) && isRotateEnabled()) {
				rotateTokens(request);
			}
			/** expected token in session - bad state and not valid **/
		} else if (tokenFromSession == null && !valid) {
			try {
				throw new CsrfGuardException("CsrfGuard expects the token to exist in session at this point");
			} catch (CsrfGuardException csrfe) {
				callActionsOnError(request, response, csrfe);
				
			}
		} else {
			/** unprotected page - nothing to do **/
		}

		return valid;
	}

3.2 isProtectedPage 分析

public boolean isProtectedPage(String uri) {

		// 如果请求路径在 javascript  对应的Set<> 集合里面,直接返回false
		if (JavaScriptServlet.getJavascriptUris().contains(uri)) {
			return false;
		}
		
		// 从配置文件里面获取 org.owasp.csrfguard.Protect 对应的配置
		boolean retval = !isProtectEnabled();
        // 对需要保护的页面进行 遍历
		for (String protectedPage : getProtectedPages()) {
		    //精确匹配
			if (isUriExactMatch(protectedPage, uri)) {
				return true;
			} else if (isUriMatch(protectedPage, uri)) {
				retval = true;
			}
		}
        // 对不需要保护的进行 匹配
		for (String unprotectedPage : getUnprotectedPages()) {
			if (isUriExactMatch(unprotectedPage, uri)) {
				return false;
			} else if (isUriMatch(unprotectedPage, uri)) {
				retval = false;
			}
		}

		return retval;
	}

private boolean isUriExactMatch(String testPath, String requestPath) {
		
		// 粗略判断一下 是不是 正则表达式, 以 "^" 开头, 以 "$" 结尾
		// 如果是正则表达式, 直接返回false
		if (isTestPathRegex(testPath)) {
			return false;
		}
		
		boolean retval = false;

		/** 精确匹配 **/
		if (testPath.equals(requestPath)) {
			retval = true;
		}

		return retval;
	}

3.2.1 模糊匹配

这段代码是 拷贝的 tomcat 源码,tomcat 里面ApplicationFilterFactory 类

	private boolean isUriMatch(String testPath, String requestPath) {

		// 如果是正则表达式
		if (isTestPathRegex(testPath)) {
			// 获取对应的 pattern
			Pattern pattern = this.regexPatternCache.get(testPath);
			// 如果为null, 新建并放入缓存
			if (pattern == null) {
				pattern = Pattern.compile(testPath);
				this.regexPatternCache.put(testPath, pattern);
			}
			// 返回是否匹配
			return pattern.matcher(requestPath).matches();
		}
		
		boolean retval = false;

		/** Case 1: 精确匹配  **/
		if (testPath.equals(requestPath)) {
			retval = true;
		}

		/** Case 2 - Path Match ("/.../*") **/
		if (testPath.equals("/*")) {
			retval = true;
		}
		if (testPath.endsWith("/*")) {
			if (testPath
					.regionMatches(0, requestPath, 0, testPath.length() - 2)) {
				if (requestPath.length() == (testPath.length() - 2)) {
					retval = true;
				} else if ('/' == requestPath.charAt(testPath.length() - 2)) {
					retval = true;
				}
			}
		}

		/** Case 3 - Extension Match **/
		if (testPath.startsWith("*.")) {
			int slash = requestPath.lastIndexOf('/');
			int period = requestPath.lastIndexOf('.');

			if ((slash >= 0)
					&& (period > slash)
					&& (period != requestPath.length() - 1)
					&& ((requestPath.length() - period) == (testPath.length() - 1))) {
				retval = testPath.regionMatches(2, requestPath, period + 1,
						testPath.length() - 2);
			}
		}

		return retval;
	}

3.3 isProtectedMethod 分析

判断是否是需要保护的方法

public boolean isProtectedMethod(String method) {
		boolean isProtected = true;
		{
			Set<String> theProtectedMethods = getProtectedMethods();
			if (!theProtectedMethods.isEmpty() && !theProtectedMethods.contains(method)) {
					isProtected = false;
			}
		}
		
		{
			Set<String> theUnprotectedMethods = getUnprotectedMethods();
			if (!theUnprotectedMethods.isEmpty() && theUnprotectedMethods.contains(method)) {
					isProtected = false;
			}
		}
		
		return isProtected;
	}

3.4 verifyAjaxToken、verifyPageToken、verifySessionToken分析

ajax ,page, session 请求校验 , 这三块的逻辑差不多


	private void verifyAjaxToken(HttpServletRequest request) throws CsrfGuardException {
		HttpSession session = request.getSession(true);
		String tokenFromSession = (String) session.getAttribute(getSessionKey());
		String tokenFromRequest = request.getHeader(getTokenName());
        // 如果请求头部没有携带 Token, 抛错
		if (tokenFromRequest == null) {
			/** FAIL: token is missing from the request **/
			throw new CsrfGuardException("required token is missing from the request");
		} else {
			// 如果session 里面的token 和 request 里面携带的token 不相等 ,做一个进一步的判断
			if (!tokenFromSession.equals(tokenFromRequest)) {
			    // 如果request 里面的token  包含 "," , 进行split, 并取第一个
				if (tokenFromRequest.contains(",")) {
					tokenFromRequest = tokenFromRequest.substring(0, tokenFromRequest.indexOf(',')).trim();
				}
				// 如果还不相等,抛错
				if (!tokenFromSession.equals(tokenFromRequest)) {
					/** FAIL: the request token does not match the session token **/
					throw new CsrfGuardException("request token does not match session token");
				}
			}
		}
	}

// 
private void verifyPageToken(HttpServletRequest request) throws CsrfGuardException {
		HttpSession session = request.getSession(true);
		@SuppressWarnings("unchecked")
		Map<String, String> pageTokens = (Map<String, String>) session.getAttribute(CsrfGuard.PAGE_TOKENS_KEY);

		String tokenFromPages = (pageTokens != null ? pageTokens.get(request.getRequestURI()) : null);
		String tokenFromSession = (String) session.getAttribute(getSessionKey());
		String tokenFromRequest = request.getParameter(getTokenName());

		if (tokenFromRequest == null) {
			/** FAIL: token is missing from the request **/
			throw new CsrfGuardException("required token is missing from the request");
		} else if (tokenFromPages != null) {
			if (!tokenFromPages.equals(tokenFromRequest)) {
				/** FAIL: request does not match page token **/
				throw new CsrfGuardException("request token does not match page token");
			}
		} else if (!tokenFromSession.equals(tokenFromRequest)) {
			/** FAIL: the request token does not match the session token **/
			throw new CsrfGuardException("request token does not match session token");
		}
	}


	private void verifySessionToken(HttpServletRequest request) throws CsrfGuardException {
		HttpSession session = request.getSession(true);
		String tokenFromSession = (String) session.getAttribute(getSessionKey());
		String tokenFromRequest = request.getParameter(getTokenName());

		if (tokenFromRequest == null) {
			/** FAIL: token is missing from the request **/
			throw new CsrfGuardException("required token is missing from the request");
		} else if (!tokenFromSession.equals(tokenFromRequest)) {
			/** FAIL: the request token does not match the session token **/
			throw new CsrfGuardException("request token does not match session token");
		}
	}

页面请求校验

四、ILogger 分析

定义了一个 ILogger 接口, 并给出了 两种实现方式: JavaLooger 和 ConsoleLogger
可以通过 配置 文件里面 org.owasp.csrfguard.Logger=org.owasp.csrfguard.log.ConsoleLogger 选择 具体的某一种打印日志的方式,
在这里插入图片描述

4.1 ConsoleLogger

ConsoleLogger : 就是 System.out.println 输出

4.2 JavaLogger

JavaLogger: java.util.logging.Logger 是JDK自带的日志工具,其简单实现了日志的功能,不是很完善,所以在实际应用中使用的比较少。
Logger的默认配置,位置在JRE安装目录下lib中的logging.properties中,大致如下图:
在这里插入图片描述
其实这两种都不太好.

五、InterceptRedirectResponse

InterceptRedirectResponse主要是对 sendRedirect 这个方法重写了, 主要逻辑是更新了 token , 对 url 进行了重新的拼装, 还是调用 原先的response(response.sendRedirect(xx))

六、 IAction

下图为 IAction 的 关系, 在这里插入图片描述

IAction 主要是出现异常之后的 处理和跳转相关, 这里可以配置多个 action进行处理. IAction 接口被 AbstractAction 实现,被 如下方法 继承, 主要看一下 每一个方法对应的 execute() 方法, 这里也可以自定义 action.

  • Empty: do nothing
  • Error : 向客户端发送错误信息, code和message 自己定义
  • Forward : 请求转发到 对应的页面, page 自己定义
  • Invalidate : 将session 置位无效
  • Log : 打印log ,这里 可以打印 一些 ip, host, port , 等等
  • Redirect: 重定向
  • RequestAttribute : 设置 request 属性
  • Rotate : 更新Token
  • SessionAttribute : 设置session 属性

七、小结

本章主要介绍了 CsrfGuardFilter 这块的逻辑 以及设计到的 类,方法,整体都是比较好理解的.

一直打铁
关注
专栏目录
OWASP-CSRFGuard
11-28
OWASP-CSRFGuard-master.zip
OWASP-CSRFGuard:OWASP CSRFGuard 3.1.0
05-07
重要通知 我们正在开发CSRFGuard的新版本,其中包括大量合并请求,良好建议和新代码,以解决绕过CSRFGuard的XSS攻击的已知问题。 请在下面的官方OWASP CSRFGuard存储库中打开所有请求和问题: 我们需要您的帮助。 如果您想花几个小时来帮助我们,请与我联系。 OWASP CSRFGuard 3.1.0 BSD许可证,保留所有权利。 概述 欢迎来到OWASP CSRFGuard项目的主页! OWASP CSRFGuard是一个库,它实现了同步器令牌模式的一种变体,以减轻跨站请求伪造(CSRF)攻击的风险。 OWASP CSRFGuard库通过使用JavaEE筛选器进行集成,并公开了各种自动和手动方式,可将每个会话或每个请求的伪造令牌集成到HTML中。 当用户与此HTML交互时,CSRF预防令牌(即,密码随机同步器令牌)将与相应的HTTP请求一起提交。 OWASP
CSRF&OWASP CSRFGuard(原创)
Edison Xu
07-25 6543
一. 什么是CSRF?CSRF(Cross-Site Request Forgery)直译的话就是跨站点请求伪造也就是说在用户会话下对某个需要验证的网络应用发送GET/POST请求——而这些请求是未经用户允许并且用户未必愿意做。举例先:用户小a是某论坛的管理员,刚刚用他的用户名、密码登录了该论坛。攻击者现在利用一些手段(例如通过email或聊天窗口发给小a一个链接),但小a点击该链接时,在小a不知
推荐使用:OWASP CSRFGuard - 深度防御CSRF攻击的利器!
gitblog_00036的博客
06-10 393
推荐使用:OWASP CSRFGuard - 深度防御CSRF攻击的利器! 项目地址:https://gitcode.com/aramrami/OWASP-CSRFGuard 1、项目介绍 OWASP CSRFGuard 是一个强大的安全库,专门用于防范跨站请求伪造(CSRF)攻击。这个项目由OWASP(开放网络应用安全项目)维护,并提供了一种实现同步令牌模式的变体,以确保Web应用程序的安全性。...
OWASP(CsrfGuard)源码解析02----CsrfGuardServletContextListener分析
一直打铁
01-15 505
CsrfGuardServletContextListener分析一、整体框架介绍二、CsrfGuardServletContextListener 分析2.1 contextInitialized 解析三、小结 一、整体框架介绍 首先我们看一下 csrfguard 这个jar 的整体框架 如下图, 里面主要 是分 config 配置, Filter , listener ,action 和 resources 下面的 默认的 csrfguard.properties 和 csrfguard.js 文件
owasp-zap-historic-parser
04-28
owasp-zap历史解析器 安装 安装owasp-zap-historic-parser pip install owasp-zap-historic-parser 用法 OWASP ZAP Historic应用程序需要以下信息,并且用户在使用解析器时必须传递各自的信息 -s --> mysql ...
前端开源库-owasp-password-strength-test
08-30
前端开源库-owasp-password-strength-testOWASP密码强度测试,一个基于OWASP强密码实施指南的密码强度测试仪。
OWASP-Top-10-for-LLM-Applications-v1_1_Chinese.pdf
最新发布
08-23
OWASP-Top-10-for-LLM-Applications-v1_1_Chinese
owasp-java-html-sanitizer-20160924.1.jar
05-27
javaweb常用jar包,javaee框架常用jar包,亲测可用,若需其他版本可给我留言
OWASP(CsrfGuard)源码解析06----csrfguard.js分析
一直打铁
01-18 498
csrfguard.js分析一、介绍二、csrfguard.js分析三、小结 一、介绍 csrfguard.js 是 需要 在页面请求之后,执行里面的具体逻辑,通过对 ajax 或者 form 表单 进行 处理. ajax 是在 请求的头部 信息里面添加 form 表单是通过对 页面添加一个 hidden 存储对应的Token value. 二、csrfguard.js分析 下面看一下 csrfguard.js 内容 (function() { /** * Code to ensure our e
OWASP(CsrfGuard)源码解析01----整体介绍
一直打铁
01-13 852
OWASP 整体介绍一、介绍二、如何配置三、运作流程四、 小结 一、介绍 OWASP CSRFGuard是一个库,它实现了同步器令牌模式的变体,以降低跨站点请求伪造(CSRF)攻击的风险。 OWASP CSRFGuard库通过使用JavaEE过滤器进行集成,并公开了各种自动和手动方法,以将每个会话或伪每个请求令牌集成到HTML中。 OWASP CSRFGuard 最新的版本 是 3.1.0 ,4.x 的版本也一直没有出来 下图即可说明 OWASP CSRF Guard 的 作用: 更多详细的资料可以见OW
8.SpringSecurity中的核心过滤器-CsrfFilter
飘然渡沧海的博客
03-06 554
8.SpringSecurity中的核心过滤器-CsrfFilter
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4217
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
CSRFGuard工具介绍
weixin_30493401的博客
11-05 199
理解CSRFGuard的基础:http://www.runoob.com/jsp/jsp-tutorial.html 1:您需要做的第一件事是将OWASP.CSRFARGAD.JAR库复制到类路径中。放置Owasp.CsrfGuard.jar最常见的类路径位置在Web应用程序的WEB-INF文件夹的lib目录中。 OWASP CSRFGARD 3在传统JavaEE运行时环境之外没有额外的...
csrfguard3.1学习笔记
YSOLA4的专栏
10-25 2707
最近公司的机房需要进行二级等保的复评,其中涉及到应用的漏洞扫描一项,使用的是wvs9.0进行web应用漏洞扫描,高危漏洞没有,中级漏洞扫出来不少,虽然二级等保不要求进行修复,但出于信息安全的原则也进行了一次全面的修复,其中涉及到一中Csrf漏洞,也在网上稍微学习了一下,多余的就不说了,我是使用了Owasp.CsrfGuard这个开源项目来对漏洞进行了修复,下面稍微展开说一下. 首先在eclipse中
关于ESAPI无法打印debug级别日志
苍茫小鸟的博客
04-12 2252
项目场景: SpringBoot使用2.1.0版本的ESAPI日志输出。在使用ESAPI.Logger=x.x.x.JavaLogFactory无法打印debug级别日志,被迫将debug级别日志都是用info级别输出。再结合logback日志组件输出是。控制台无法正确的设置日志级别。 问题描述 在2.1.0版本的ESAPI中,使用JavaLogFactory无法通过调用.debug()输出日志,再结合logback只能使用info级别输出。 ESAPI.getLogger(loggers.getNa
CSRF防御方案
hdwlwang的博客
04-24 4807
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
基于复杂方案OWSAP CsrfGuardCSRF安全解决方案(适配nginx + DWR)
weixin_33936401的博客
10-30 145
2019独角兽企业重金招聘Python工程师标准>>> ...
(收藏)Spring Security笔记:解决CsrfFilter与Rest服务Post方式的矛盾
jackyrongvip的专栏
12-17 510
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即: 1 2 ... 3 4 如果应用中有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有POST方式请求的服务会调用失败。 复制代码 1 @RequestMappi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一直打铁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值