CSRF攻击的解释

最新推荐文章于 2024-08-14 09:24:15 发布
最新推荐文章于 2024-08-14 09:24:15 发布
阅读量160 收藏
点赞数
文章标签: csrf spring springboot
原文链接:https://www.docs4dev.com/docs/zh/spring-security/4.2.10.RELEASE/reference/csrf.html#
版权

下文来源于SpringSecurity官方文档。

CSRF 攻击

在讨论 Spring Security 如何保护应用程序免受 CSRF 攻击之前,我们将解释什么是 CSRF 攻击。让我们看一个具体的例子以获得更好的理解。

假设您的银行网站提供了一种表格,该表格允许将资金从当前登录的用户转移到另一个银行帐户。例如,HTTP 请求可能类似于:

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid; Domain=bank.example.com; Secure; HttpOnly
Content-Type: application/x-www-form-urlencoded

amount=100.00&routingNumber=1234&account=9876

现在,Feign 您对银行的网站进行身份验证,然后在不注销的情况下访问一个邪恶的网站。恶意网站包含具有以下格式的 HTML 页面:

<form action="https://bank.example.com/transfer" method="post">
<input type="hidden"
	name="amount"
	value="100.00"/>
<input type="hidden"
	name="routingNumber"
	value="evilsRoutingNumber"/>
<input type="hidden"
	name="account"
	value="evilsAccountNumber"/>
<input type="submit"
	value="Win Money!"/>
</form>

您想赢钱,因此单击“提交”按钮。在此过程中,您无意中将$ 100 转让给了恶意用户。发生这种情况的原因是,尽管恶意网站无法看到您的 cookie,但与您的银行关联的 cookie 仍与请求一起发送。

同步器令牌模式

问题在于,来自银行网站的 HTTP 请求与来自邪恶网站的请求完全相同。这意味着无法拒绝来自邪恶网站的请求并允许来自银行网站的请求。为了防御 CSRF 攻击,我们需要确保恶意站点无法提供请求中的某些内容。

一种解决方案是使用同步器令牌模式。该解决方案是确保除我们的会话 cookie 之外,每个请求还需要随机生成的令牌作为 HTTP 参数。提交请求后,服务器必须查找参数的期望值,并将其与请求中的实际值进行比较。如果值不匹配,则请求应失败。

我们可以放宽期望,只要求每个更新状态的 HTTP 请求都需要令牌。可以安全地完成此操作,因为相同的来源策略可确保恶意站点无法读取响应。另外,我们不想在 HTTP GET 中包含随机令牌,因为这可能导致令牌泄漏。

让我们看一下示例将如何变化。假设在名为_csrf 的 HTTP 参数中存在随机生成的令牌。例如,转帐的请求如下所示:

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid; Domain=bank.example.com; Secure; HttpOnly
Content-Type: application/x-www-form-urlencoded

amount=100.00&routingNumber=1234&account=9876&_csrf=<secure-random>

您会注意到,我们为_csrf 参数添加了一个随机值。现在邪恶网站将无法猜测_csrf 参数的正确值(必须在邪恶网站上明确提供),并且当服务器将实际令牌与预期令牌进行比较时,传输将失败。

何时使用 CSRF 保护

什么时候应该使用 CSRF 保护?我们的建议是对普通用户可能由浏览器处理的任何请求使用 CSRF 保护。如果仅创建非浏览器 Client 端使用的服务,则可能需要禁用 CSRF 保护。

CSRF 保护和 JSON

一个常见的问题是“我需要保护由 javascript 发出的 JSON 请求吗?”简短的答案是,这取决于。但是,您必须非常小心,因为有些 CSRF 漏洞会影响 JSON 请求。例如,恶意用户可以创建使用以下格式的带有 JSON 的 CSRF

<form action="https://bank.example.com/transfer" method="post" enctype="text/plain">
<input name='{"amount":100,"routingNumber":"evilsRoutingNumber","account":"evilsAccountNumber", "ignore_me":"' value='test"}' type='hidden'>
<input type="submit"
	value="Win Money!"/>
</form>

这将产生以下 JSON 结构

{ "amount": 100,
"routingNumber": "evilsRoutingNumber",
"account": "evilsAccountNumber",
"ignore_me": "=test"
}

如果应用程序未验证 Content-Type,则该应用程序将被暴露。根据设置的不同,仍然可以通过更新 URL 后缀以“ .json”结尾来利用可验证 Content Type 的 Spring MVC 应用程序,如下所示:

<form action="https://bank.example.com/transfer.json" method="post" enctype="text/plain">
<input name='{"amount":100,"routingNumber":"evilsRoutingNumber","account":"evilsAccountNumber", "ignore_me":"' value='test"}' type='hidden'>
<input type="submit"
	value="Win Money!"/>
</form>

CSRF 和 Stateless 浏览器应用程序

如果我的应用程序是 Stateless 的怎么办?那并不一定意味着您受到保护。实际上,如果用户不需要针对给定请求在 Web 浏览器中执行任何操作,则他们可能仍然容易受到 CSRF 攻击。

例如,考虑一个应用程序使用一个包含其内所有状态的自定义 cookie 而不是 JSESSIONID 进行身份验证。进行 CSRF 攻击后,自定义 cookie 将与请求一起发送,其方式与在前面的示例中发送 JSESSIONID cookie 相同。

使用基本身份验证的用户也容易受到 CSRF 攻击,因为浏览器将在所有请求中自动包括用户名密码,就像在前面的示例中发送 JSESSIONID cookie 一样。

小羊炒饭
关注
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 7022
什么是CSRF攻击,如何防范CSRF攻击
Web安全-会话ID漏洞
道阻且长,行则将至。
07-07 3815
概述 以下摘自《白帽子讲 web 安全》 密码与证书等认证手段,一般仅仅用于登录(Login)的过程。当登陆完成后,用户访问网站的页面,不可能每次浏览器请求页面时,都再使用密码认证一次。因此,当认证完成后,就需要替换一个对用户透明的凭证。这个凭证就是SessionID。 当用户登陆完成后,在服务器端就会创建一个新的会话(Session),会话中会保存用户的状态和相关信息。服务器端维护所有在线用户的...
WEB项目SESSIONID固定漏洞
一瓶绿茶三元钱
02-15 6569
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞 攻击步骤 第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESS
CSRF攻击原理介绍和利用
最新发布
2201_75735270的博客
08-14 876
</script><script></script>
jsessionid问题解决方案
u011277123的博客
11-25 2996
bigdatafish 2016-11-24 17:31 jessionid会话盗用漏洞,现在是两种方案: 1. 方案一:用户IP和用户会话绑定,目前F5代理后获取不到真实机器的IP , 2.方案二:判断jessionid来源,如果来源URL,就做403界面重定下,拒绝访问,目前方案一获取不到IP地址,只能用方案测试。 代码如下: package com.tydic.db
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1381
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
web漏洞--会话管理漏洞
xsh951103的博客
01-07 2918
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
CSRF 攻击
无知小九的博客
08-10 1825
这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。第三种方式使用双重 Cookie 验证的办法,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。同时这种方式不能做到子域名的隔离。...
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
WEB中SESSION盗用问题
老照片
09-06 912
WEB中SESSION盗用问题
jsessionid和jwt_jsessionid
weixin_42123456的博客
01-13 788
ntellij idea插件2020-12-25 17:03:27第一次从Eclipse转到idea时,那时候确实挺难受的,各种不是习惯,各种抵触,后来设置一些eclipse的使用习惯,发现越来越好用了,作为一名开发,工欲善其事必先利其器,hahha------ 取代POSTMAN的利器1、Tools -> HTTP Client -> Test RESTFUL Web Service...
jsessionid所引起的问题 和解决
12-13 5968
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsess
Allaire JRun “JSessionID” 信息泄露漏洞
ncnynl的专栏
09-01 1401
Allaire JRun “JSessionID” 信息泄露漏洞 发布日期: 2001-12-6受影响的系统:  Allaire JRun 3.0   - IBM AIX 4.2   - IBM AIX 4.3   - Microsoft Windows 95   - Microsoft Windows 98   - Microsoft Windows 2000   -
SessionID漏洞
CH3UHX9
02-28 1728
漏洞原理 当用户第一次访问服务程序时,服务器端会给用户创建一个独立的会话Session 并且生成一个SessionID。 SessionID在响应浏览器的时候会被加载到cookie中,并保存到浏览器中。 当用户再一次访问服务程序时,请求中会携带着cookie中的SessionID去访问服务器。 服务器会根据这个SessionID去查看是否有对应的Session对象,有则使用,没有就新创建一个Session。 漏洞介绍 如果SessionID的构造原理太简单,就很容易被别人仿造。 仿造了Session
jsessionid释疑解惑
snakeqi的专栏
03-03 5284
在web应用的开发中我们会经常看到这样的url:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x...。这跟一般的url基本一样,只有一个地方有区别,那就是“;jessionid=xxxxxxxx”。这个参数有时候有,有时候又没有,说它是参数可又跟一般传递的参数不同,它是紧跟在url后面用分号来分隔的,用一般的request.getP
CSRF攻击详解与防御策略
CSRF全称为跨站请求伪造(Cross-Site Request Forgery),这是一种网络攻击手段,攻击者利用受害者的...CSRF攻击是一种利用用户已登录状态的欺骗手段,网站开发者需要通过技术手段和用户教育相结合,来有效防止这种威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值