浅谈CSRF

最新推荐文章于 2024-04-29 06:51:48 发布
最新推荐文章于 2024-04-29 06:51:48 发布
阅读量217 收藏
点赞数
文章标签: http 安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/milk_0126/article/details/103822263
版权

@浅谈CSRF

CSRF的定义

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

简单来说,CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。

在讲CSRF之前,先介绍一下网络请求的基础知识。

什么是认证

通俗地讲就是验证当前用户的身份,证明“你是你自己”。而体现在互联网中,就是服务器怎么知道现在发送请求的这个用户是有权限的用户,比如用户有没有登录,是通过账号密码,还是邮箱手机号?通常来说,我们认为当你知道某个应用账号的用户名密码,或者说你能收到手机验证码的时候,就认为你是账号的主人。

什么是凭证

实现认证和授权的前提是需要一种媒介(证书) 来标记访问者的身份

在现实生活中,每个人都会有一张专属的居民身份证,是用于证明持有人身份的一种法定证件。通过身份证,我们可以办理手机卡/银行卡/个人贷款/交通出行等等,这就是认证的凭证。
在互联网应用中,一般网站会有两种模式,游客模式和登录模式。游客模式下,可以正常浏览网站上面的文章,一旦想要点赞/收藏/分享文章,就需要登录或者注册账号。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌,就可以使用游客模式下无法使用的功能。

什么是 Cookie

  • HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。
  • cookie 存储在客户端:
    cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上
  • cookie 是不可跨域的:
    每个 cookie都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。

那么在了解到浏览器请求的基础知识之后,我们再来具体描述一下CSRF攻击是如何工作的。

CSRF攻击实例

例如,一论坛网站A的发贴是通过 GET 请求访问的,点击发贴之后,网站会发送一个请求:

http://www.example.com/postmessage?title=标题&content=内容

这个时候,我们构建一个攻击网站B,网站中放入一个如下的image标签,其地址指向刚才所说的发贴接口

< img src=“http://www.example.com/postmessage?title=哈哈&content=被攻击了吧”>

当登录用户C进入攻击者B网站的时候,页面会自动向A网站发送一个请求,这个时候,由于用户C已经登录,cookie中携带A网站的用户认证信息,服务器端会认为这就是用户C自发发送的请求,这个时候,B网站就在C用户完全不知情的情况下,利用C用户的身份,完成了一次发帖请求,这也就是我们所说的CRSF攻击。

在这个攻击过程中,攻击者借助受害者的 Cookie 骗取服务器的信任,但并不能拿到 Cookie,也看不到 Cookie 的内容。而对于服务器返回的结果,由于浏览器同源策略的限制,攻击者也无法进行解析。因此,攻击者无法从返回的结果中得到任何东西,他所能做的就是给服务器发送请求,以执行请求中所描述的命令,在服务器端直接改变数据的值,而非窃取服务器中的数据。

如何防范 CSRF 攻击

  1. 关键操作只接受 POST 请求

  2. 验证码

    CSRF攻击的过程,往往是在用户不知情的情况下构造网络请求。所以如果使用验证码,那么每次操作都需要用户进行互动,从而简单有效的防御了CSRF攻击。

    但是如果你在一个网站作出任何举动都要输入验证码会严重影响用户体验,所以验证码一般只出现在特殊操作里面,或者在注册时候使用。

  3. 检测 Referer

    常见的互联网页面与页面之间是存在联系的,比如你在 www.baidu.com 应该是找不到通往www.google.com的链接的,再比如你在论坛留言,那么不管你留言后重定向到哪里去了,之前的那个网址一定会包含留言的输入框,这个之前的网址就会保留在新页面头文件的Referer 中

    通过检查 Referer 的值,我们就可以判断这个请求是合法的还是非法的,但是问题出在服务器不是任何时候都能接受到 Referer的值,所以 Referer Check 一般用于监控 CSRF 攻击的发生,而不用来抵御攻击。

  4. Token

    目前主流的做法是使用 Token 抵御 CSRF 攻击。
    CSRF 攻击之所以能够成功,是因为攻击者可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 Cookie 中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的 Cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入攻击者所不能伪造的信息,并且该信息不存在于 Cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
    在这里插入图片描述
    具体流程简介:

  5. 客户端使用用户名跟密码请求登录

  6. 服务端收到请求,去验证用户名与密码

  7. 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端

  8. 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者 localStorage里

  9. 客户端每次向服务端请求资源的时候需要带着服务端签发的 token,把token 放到 HTTP 的 Header 里,服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据。

总结

本文主要介绍了CSRF 的攻击原理和防御措施。当然,在 Web 安全领域,除了这种常见的CSRF攻击方式,还存在XSS,SQL 注入等其它攻击方式,本文不做详细介绍。最后,总结一下

CSRF攻击原理:

  • 劫持受信任用户的cookie, 向服务器发送非预期请求的攻击

CSRF常见防御措施:

  • 验证码
  • Referer Check
  • Token 验证

参考文献:
https://github.com/dwqs/blog/issues/68

6 v_v 6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2444
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
CSRF
jpygx123的博客
10-10 334
同源策略: A网页设置的Cookie,B网页不能打开,除非这个两个网页同源。 三个相同:协议相同、域名相同、端口相同。 三个一块相同才是同源的。 目的:为了保证用户信息的安全,防止恶意的网站窃取数据。 限制范围: 1.cookie、localstorage和indexDB无法读取。 2.Dom无法获得。 3.AJAX请求不能发送。 虽然限制很必要但是有些合理的用途也会受到影响,比如同站点下的不同域...
HTTP层 —— CSRF保护
weixin_30566111的博客
10-27 151
简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得防止应用遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人。 任何时候在 Laravel 应用中定义HTML表单,都需要在表单中引入CSRF令牌字段,这样CSRF保护中间件...
HTTP系列:CSRF跨站攻击与防范
NIO4444
10-27 506
CSRF(Cross-site request forgery,跨站请求伪造)伪造请求,冒充用户在站内的正常操作,比如爬虫。 防范的方法 关键操作只接受POST请求 验证码(短信验证码) 检测Referer(header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。可以伪造) Token Token要足够随机——只有这样才算不可预测 Token是一次性的,即每次请求成功后要更新Token——这样可以增加攻击难度,增...
Spring Security(十一) Spring Security 中 CSRF
热门推荐
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
浅谈CSRF攻击方式
10-18
CSRF是什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人...
从开发角度浅谈CSRF攻击及防御
02-25
CSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF,攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1821
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
什么是HTTP协议中的跨站请求伪造(CSRF)?如何防范?
最新发布
长风破浪会有时的博客
04-29 205
具体来说,当你登录了一个网站(比如银行网站或者购物网站)之后,你的浏览器会保存一些信息,让你在接下来的浏览中保持登录状态。这个时候,如果你不小心访问了一个恶意的网站,这个网站可能会在背后偷偷地向你刚刚登录过的网站发送请求,就像是用你的名义去告诉银行:“请把我的钱转到这个账户。:这是一种特殊的标记,每次你访问网站时,网站都会给你一个新的Token。跨站请求伪造(CSRF)就像是一个坏人在你不知道的情况下,偷偷用你的名义去做一些不好的事情。这就像是你的朋友只接受来自你的电话,不接受陌生人的电话一样。
Web安全系列之CSRF攻击
Button12138的博客
12-02 1148
csrf指的是攻击者携带网站cookie,冒充用户请求的攻击行为。
跨站点请求伪造(CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9240
跨站点请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求。
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1288
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
Spring security CSRF 跨域访问限制问题
HONEY MOOSE
10-18 3216
在我们写 Spring 安全的时候通常有这么一句话: httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。 因为你很有可能会遇到一个错误: HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时
CSRF 原理与防御案例分析
weixin_43639741的博客
04-22 745
CSRF,也称 XSRF,即跨站请求伪造攻击,与 XSS 相似,但与 XSS 相比更难防范,是一种广泛存在于网站中的安全漏洞,经常与 XSS 一起配合攻击。 CSRF 原理 攻击者通过盗用用户身份悄悄发送一个请求,或执行某些恶意操作。 CSRF 漏洞产生的主要原因: 1、请求所有的参数均可确定 2、请求的审核不严格,如:只验证了 Cookie 关于 CSRF执行过程,这里引用自 hyddd 大...
2.自定义配置类——SpringSecurity
Lee_92的博客
08-12 1517
当前Java Web项目中主流的开发模式是前后端分离的模式,而Spring Security默认的登录是由Security框架提供的页面的表单来输入用户名、密码,且由Security框架自动处理登录流程,不适合我们前后端开发的模式,我们后端需要自己开发相关验证登录流程,我们在开发测试时需要对Security 进行初始配置!riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,我们往往在开发中将此验证关闭。的认证方式相比传统的。...
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3120
CSRF 详解 ! spring security 攻击
CSRF攻击原理及防御
uwenhao2008的博客
06-14 303
一、CSRF攻击原理  CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。想要深入理解CSRF的攻击特性我们有必要了解一下网站session的工作原理。   session我想大家都不陌生,无论你用.net或PHP开发过网站的都肯定用过session对象,然而session它是如何工作的呢?如果你不清楚请往下看...
多个WebSecurityJAVA配置导致csrf().disable()配置失效
路过君的博客
09-16 1792
版本 spring-security-oauth2-2.3.8 问题 存在两个继承WebSecurityConfigurerAdapter的WebSecurity JAVA配置文件,一个配置了http.csrf().disable(),一个没有配置,请求仍然报错Invalid CSRF token found 解决 合并WEBSECURITY配置,或两个文件都配置上http.csrf().disable() 分析 Spring源码WebSecurityConfigurerAdapter中http默认配置启用
csrf的jsonp利用
07-27
- *1* *2* [浅谈CSRF跨域读取型漏洞之JSONP劫持](https://blog.csdn.net/qq_63701832/article/details/129372608)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值