CSRF跨站请求伪造

最新推荐文章于 2020-06-13 20:37:49 发布
最新推荐文章于 2020-06-13 20:37:49 发布
阅读量198 收藏
点赞数
分类专栏: Architect Security 文章标签: CSRF XSRF 跨站请求伪造 CSRF攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prufeng/article/details/92011905
版权

文章目录

Cross-Site Request Forgery

CSRF,Cross-Site Request Forgery,跨站请求伪造,也被称为: XSRF, One-Click attack, Sea Surf, Session Riding, Cross-Site Reference Forgery, and Hostile Linking。

CSRF是指攻击者通过某些技术手段欺骗用户,盗用其已认证的身份去执行一些恶意操作(如修改用户邮件或密码,发消息,转账和购买商品)。

CSRF漏洞与浏览器的隐式身份认证机制有关。用户在目标网页完成身份认证时,浏览器会在本地(Cookie)保存当前会话状态信息,当用户再次发送请求时,浏览器会自动携带该会话Cookie, 服务器据此判断请求来自同一用户(会话),执行请求操作。

这时假如攻击者成功诱使用户打开攻击站点,则可向目标站点发送伪造请求。由于用户已经认证过,所以浏览器将自动携带之前的会话Id,被访问网站则会认为这是用户的真实请求而去执行。

跨站是指恶意请求是由攻击站点发起,而不是用户一开始访问的可信站点。由于浏览器同源策略(Same Origin Policy)的限制,攻击者一般无法在攻击站点获取用户Cookie,而只能通过伪造请求进行攻击。

CSRF攻击场景

典型场景如下:

  • 用户登录可信站点A
  • 未logout的情况下访问攻击站点B
  • 攻击站点B向站点A发送恶意请求

攻击实现的难点是第二步,即如何让用户在访问A的同时刚好打开B。

常见的形式有钓鱼邮件、诈骗信息、浏览器弹出窗口(浏览器劫持)、漏洞站点代码植入等。
比如你在操作网银时,刚好看到一封银行发送给你的(钓鱼)邮件,或者刚好浏览器弹出一个你感兴趣的新闻,然后你眼疾手快地点击了里面的链接。

攻击站点B不一定是恶意站点,可能只是有漏洞的普通网站,甚至是受欢迎的高流量网站。

B向A发送请求是通过技术手段自动实现。也就是说,当打开网页时,你就中招了,并不需要任何其他操作。所以尽管用户登录A的同时正好打开B的几率不大,但是黑客并不需要做什么,只是坐等收钱,因而这肯定也是一种受欢迎的攻击手段。

另外,大多数人都没有完成操作就立即退出登录的良好习惯。

CSRF请求伪造

GET

典型例子如下, img的情况下不需要用户点击链接,打开窗口便自动提交请求。

<a href="http://bank.com/transfer.do?acct=MARIA&amount=100000">View my Pictures!</a>

<img src="http://bank.com/transfer.do?acct=MARIA&amount=100000" width="0" height="0" border="0">

所以一般更新操作不要用Get,因为伪造成本太低。

POST

Post实现相对应的代码如下。

表单当然是不显示出来的,通常放在隐藏的iframe里。

<form action="<nowiki>http://bank.com/transfer.do</nowiki>" method="POST">
<input type="hidden" name="acct" value="MARIA"/>
<input type="hidden" name="amount" value="100000"/>
<input type="submit" value="View my pictures"/>
</form>

<body onload="document.forms[0].submit()">

XMLHttpRequest

XMLHttpRequest方法受浏览器同源策略限制,一般不会成功,除非目标站点定义了Access-Control-Allow-Origin: *

但是,在JavaScript的世界里,绕过同源策略的代码却很容易找到,更不用说各种各样的浏览器漏洞了。

<script>
function put() {
	var x = new XMLHttpRequest();
	x.open("PUT","http://bank.com/transfer.do",true);
	x.setRequestHeader("Content-Type", "application/json"); 
	x.send(JSON.stringify({"acct":"BOB", "amount":100})); 
}
</script>
<body onload="put()">

CSRF防守策略

由以上分析可知,CSRF攻击之所以能奏效,主要是因为攻击者可以成功地伪造一个合法的请求,即目标操作的所有参数都可以被分析出来。

因此防范的策略主要是往请求中加入无法猜测的参数值,比如验证码和Token。

验证码

验证码是最简单有效的方法,但是因为影响用户体验,不能作为主要的解决方案。

Anti CSRF Token

CSRF Token方法与验证码类似,只是不需要用户干预。

增加一个随机生成的Token,发送给前端,前端提交表单时包含该Token,在后台验证,验证通过才是有效请求。

一个请求提交后,Token即被消耗掉,然后重新生成新Token。所以,也要考虑同时有多个请求时的并发处理问题。

注意:

  • Token要足够随机,不可预测。
  • Token要注意保密,不能泄露。

比如页面如果同时有XSS(跨站脚本攻击)漏洞,则攻击者完全可以读出页面的Token值,再伪造合法的请求,这一过程一般称为XSRF,与CSRF相区别。

除了加Token,也可以考虑给参数加密,或者验证访问来源(Referrer)。

JSON Web Token

假如我已经使用了JWT无状态App设计,还需不需要再引入CSRF Token?

答案是:不需要。

除了不是by request生成,JWT具有CSRF Token相同的特征,因而是安全的。

总的来说,避免使用Cookie进行身份认证,应该已经可以防范大多数的CSRF漏洞。

参考

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
《白帽子讲Web安全》 —— 吴翰清
在这里插入图片描述

如锋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF 跨站请求伪造
bazzza的博客
12-29 377
文章目录CSRF 跨站请求伪造一、CSRF原理二、CSRF分类Get型Post型链接类型三、CSRF危害四、防御手段五、CSRF与XSS的区别CSRF本地漏洞复现一、有token复现失败的情况二、漏洞存在-csrf成功复现 CSRF 跨站请求伪造 一、CSRF原理 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的
session的初步理解
Amir‘s IT tec
10-09 568
今天学习到session,这里谈谈理解,部分为网友的解释,就不改了,我也是综合大家的意见,写写自己的理解。 *** session,英文中并没有很好的解释,但在英文中,它可以被理解为:会话,时域等意义。 简而言之,session是指当用户登录某服务器后,服务器方在自己的全局变量域中建立惟一的ID标识此用户,只要用户没有退出登录或者在规定的时间内响应服务器的通信,则认为此用户
Asp.net MVC 3 防止 Cross-Site Request Forgery (CSRF)原理及扩展 安全 注入
weixin_34008784的博客
06-11 149
原理:http://blog.csdn.net/cpytiger/article/details/8781457 原文地址:http://www.cnblogs.com/wintersun/archive/2011/12/09/2282675.html    Cross-Site Request Forgery (CSRF) 是我们Web站点中常见的安全隐患。 下面我们在Asp.net M...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
SSL证书PEM文件里有什么和要有什么
星之空
06-13 5408
Privacy-Enhanced Mail (PEM) 本来是研究来给邮件加密的,现在主要成为一种约定俗成的文件格式,用于存储和发送加密密钥,证书或其他数据。 简单理解就是格式如下这种文件。 -----BEGIN XXX----- BASE64 -----END XXX----- JKS Keystore 转化为 PEM 的过程 在HTTPS SSL证书准备过程里介绍过,我们生成了证书请求发给 CA 后,会收到一个 JKS Keystore 。 JKS Keystore 转化为 PEM 文件过程如下。 k
使用curl测试RESTful API
星之空
09-25 3275
发现git bash里curl命令也可以用,无需安装其他工具就可以用来简单测试RESTful API,非常方便。 1. GET curl localhost:3000 curl -X GET localhost:3000 include header: curl -i localhost:3000 verbose info: curl -v localhost:3000 curl -v -X GE...
JMeter测试动态参数API
星之空
01-17 3075
使用JMeter进行压力测试时,有可能需要为每次请求传递不同的参数。 如/testFn/name/张三,需要替换掉张三,测试100次,每次请求都使用不同的名字。 这个需求可以通过CSV Data Set Config,从CSV文件读取参数变量实现。 从文件读取 HTTP Request 首先将Path从 /testFn/name/张三 改为 /testFn/name/${name} CSV Dat...
LVS+Keepalived+Nginx高可用负载均衡方案
星之空
07-07 2810
负载均衡的基本思想是把单台服务器的访问分流到多台服务器,避免系统崩溃。以下是几种常见的解决方案。 1. Nginx反向代理 Nginx通过反向代理技术实现分流,可以按照设定的访问规则将请求转发给相应的后台服务器。 反向代理是指当用户访问网络上某个服务的时候,访问到的实际上是代理服务器,代理服务器转发用户请求到真正处理该业务的后台服务器,最后转发结果回来给用户。后台服务器被代理了,对用户不可见...
快速搭建ELK(7.2.0)
星之空
07-13 1621
文章目录Elastic StackELK架构ELK安装ElasticsearchCan not run elasticsearch as root远程访问ElasticsearchKibana远程访问KibanaKibana Logging配置Kibana StartupFilebeatLogstash验证 真正用ELK,才发现ELK的文档那么多,眼花缭乱。 也难怪,每一个单独起来也都是挺好的小工...
ELK - Hearthbeat实现服务监控
星之空
08-01 1502
Hearthbeat,心跳,顾名思义,Hearthbeat可以用来定时探测服务是否正常运行。 Hearthbeat支持ICMP、TCP 和 HTTP,也支持TLS、身份验证和代理。 Hearthbeat能够与Logstash、Elasticsearch和Kibana无缝协作。安装Hearthbeat,添加需要监控的服务,配置好Elasticsearch和Kibana,即可将结果输出到Elastic...
使用JMeter对接口进行压力测试
星之空
01-12 1222
How to Test Web Service Performance With Jmeter Download &amp;amp;amp;amp;amp;amp; Install Download and unzip. Run bin/jmeter.bat, will see the UI to new test plan. https://jmeter.apache.org/ Test Plan Thread Group Acti...
JWT技术简单理解和实现
星之空
06-01 986
文章目录JSON Web TokenJWT结构JWT用途JWT实现要点Node.js实现 JSON Web Token JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information bet...
ELK - ElastAlert最大的坑
星之空
09-15 881
我可以讲粗口吗! 官网说Python2.7! 实际要用Python3.6! https://elastalert.readthedocs.io/en/latest/running_elastalert.html https://github.com/Yelp/elastalert
Netty入门实例
星之空
06-22 742
最近读了许多基于Netty的代码,发现Netty实在是网络通信开发的不二之选,值得深入学习。它的性能和可靠性已经有许多应用实践的背书,单从代码来讲,也是极简洁优雅的。 本文提供一个完整入门实例,实现一个简单的客户端和服务器通信的例子:客户端发送数据到服务端,服务端稍微加工然后再发送回客户端。后面也简单提了下出现粘包拆包问题的原因,以及通过Netty编码解码器解决该问题的思路。 目录 目录...
CSRF跨站请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值