如何防御CSRF攻击

最新推荐文章于 2024-09-08 20:33:27 发布
最新推荐文章于 2024-09-08 20:33:27 发布
阅读量864 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tq1086/article/details/111829580
版权

http://tommwq.tech/blog/2020/12/28/294

1 会话和cookie

会话(session)这一术语通常有两重含义。首先,会话表示客户端和服务器端之间的一系列交互。一次交互可以理解为一次请求-应答过程。在这一系列交互过程中,往往需要保存一些和交互有关的信息(比如登录信息),这些信息有时叫做通讯上下文(context)。会话也可以用来指代通讯上下文。出于安全性和性能的考虑,通讯上下文通常保存在服务器端。为了让服务器可以同时服务多个客户端,区分不同客户端的上下文,服务器为每个客户端分配一个编号,根据编号访问对应的上下文。如果采用单一TCP连接通讯模式,套接字文件描述符(socket fd)往往成为天然的会话编号。套接字和客户端的绑定关系由操作系统维护,因此客户端不需要保存自己的会话编号。但是对于短连接和多连接通讯模式,套接字文件描述符的方案行不通了,客户端必须保存会话编号,并在每次请求时携带这一编号。

HTTP采用的就是短连接和多连接通讯模式。HTTP协议没有规定如何传递会话编号,具体打实现方式由客户端(浏览器/HTML/JavaScript)和服务器来决定。HTTP请求包括请求头和请求体,二者都可以传递会话编号。如果保存在请求头中,可以通过URL(或URL参数)传递、可以通过cookie传递,也可以通过自定义HTTP头传递。如果保存在请求体中,可以按照自定义消息格式传递。按照目前行业通行的做法,会话编号通过cookie传递。

2 会话编号泄漏和盗用

服务器根据会话编号来寻找请求的上下文,并根据上下文中包含的认证和授权信息,执行客户端请求的操作。如果第三方获得了会话编号,或者构造一个包含会话编号的请求,就可以盗用实际客户的身份,欺骗并要求服务器执行一些特权操作。HTTPS可以在大多数情况下(除了HTTPS中间人攻击)保护会话编号不被第三方窃取。但如果会话编号保存在cookie中,HTTPS无法阻止攻击者构造一个包含会话编号的请求。这种攻击方式就是CSRF(Cross Site Request Forgery,也叫做Session Riding)跨站请求伪造。

3 CSRF如何盗用会话

为了理解CSRF,我们将HTTP请求分为3部分:header(除了cookie)、cookie、body。在发送HTTP请求的时候,header和body是由HTML/JavaScript控制的,cookie是浏览器自动发送的。假设我们登录网站www.good.com,浏览器生成cookie。这时候点击连接www.good.com/somepath,浏览器会自动将good.com关联的cookie加入到HTTP请求头中。假如我们访问了网站www.bad.com,页面中包含 <img src="www.good.com/transfer_money"/> ,浏览器将自动发送请求到good.com,同样携带good.com的cookie。good.com收到请求后,从cookie中得到会话编号,发现用户已经认证和授权,执行请求。这样,bad.com就盗用了客户的身份。

4 如何防御CSRF

从上一节的分析可以看到,要避免会话被盗用,就需要将会话编号从cookie中移除,或者增加额外的校验方式。从cookie中移除会话编号的方案,对于一些Web应用改动较大。这里介绍增加额外校验的方式。方法就是使用令牌。服务器生成一个随机令牌,通过HTML发送给浏览器,比如在<form>中增加一个隐藏标签 <input type="hidden" value="some_random_number" name="csrf_token" /> ,或者通过JavaScript写入请求头。这种方案叫做Synchronizer Token Pattern,适用于Web服务器数量较少的情况。采用Synchronizer Token Pattern时,令牌不得通过cookie传递。

如果服务器数量较多,在多个服务器之间分发令牌比较困难,可以采用Encrypted Token Pattern。这种方法将会话编号和时间戳生通过服务器端密钥加密,生成令牌。验证时对令牌进行解密,如果解密成功并且会话编号和时间戳匹配,验证通过。Encrypted Token Pattern的好处是不用在服务器端保存状态。

如同账户密码登录校验,确认令牌匹配,并不一定要得到令牌内容。HMAC Based Token Pattern计算会话编号和时间键戳的信息摘要,得到令牌。令牌和时间戳一同发给浏览器。在验证时用同样的方法再次生成令牌。如果两个令牌一致,验证通过。采用这种方法时,最好采用SHA-256或安全性更强的HMAC函数。

在生成令牌时使用时间戳的目的是防止重放攻击(replay attack)。

5 HTTPS中间人攻击

HTTPS中间人攻击可以通过CA证书的数字签名进行防范,这里就不介绍了。

tq1086
关注
CSRF攻击防御方法
段远山
04-24 2609
目前防御 CSRF 攻击主要有三种策略: 1、 验证 HTTP Referer 字段; 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。对于每一个请求验证其 Referer 值 2、在请求地址中添加 token 并验证; 可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服...
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 3180
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
Web安全之CSRF攻击详解与防护
最新发布
J老熊
09-08 1724
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
CSRF防御方案
hdwlwang的博客
04-24 4839
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
CSRF攻击
weixin_42606458的博客
03-02 1271
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予以...
如何防止CSRF攻击
m0_58989398的博客
06-26 770
如上代码所示,可以看到,该页面只要打开,就会向Gmail发送一个post请求,请求中,执行了“Create Filter”命令,将所有邮件转发到“hacker@hakermail.com”,A由于刚刚就登录了Gmail,所以这个请求发送时,携带着A的登录凭证(Cookie),Gmail的后台接收到请求,验证了确实有A的登录凭证,于是成功给A配置了过滤器,黑客可以查看A的所有邮件,包括邮件里的域名验证码等隐私信息,拿到验证码后,黑客就可以要求域名服务商把域名重置给自己。
如何防止CSRF攻击
风烟
01-30 4576
什么是CSRF CSRF(cross-site request forgery)跨站请求伪造:攻击者诱导受害者进去第三方网站,在第三方网站,向被攻击网站发送垮站请求,利用受害者在被攻击网站已经获取的登陆凭证。绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作。 一个典型的CSRF攻击有着如下的攻击流程: 受害者登陆a.com,并保留了登陆凭证(cookie) 攻击者引诱受害者访问了b.com b.com向a.com发送了一个请求: a.com/act=xxx。浏览器会默认携带a.com的cooki
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
ASGI中间件,用于防御CSRF攻击 安装 pip install asgi-csrf 背景 请参阅及其。 该中间件实现了,该中设置了cookie,然后将其与csrftoken隐藏表单字段或x-csrftoken HTTP标头进行比较。 用法 像这样装饰您的ASGI...
如何防御CSRF攻击.zip
01-08
如何防御CSRF攻击.zip
Laravel中防御CSRF攻击
qq_54050785的博客
04-09 154
Laravel中防御CSRF攻击
CSRF攻击防御
稻草人技术博客
03-28 625
1、简介  CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)  CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。 2、CSRF攻击原理 下面为CSRF攻击原理图: 由上图分析我们可以知...
csrf攻击防御
lvbu89757的博客
07-11 176
csrf csrf 概念 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中W...
CSRF防御
Leon_Jinhai_Sun的博客
05-22 332
CSRF攻击的根源在于浏览器默认的身份验证机制(自动携带当前网站的Cookie信息),这种机制虽然可以保证请求时来自用户的某个浏览器,但是无法确保这请求是用户授权发送。攻击者和用户发送的请求一模一样,这意味着我们没有办法去直接拒绝这里的某一个请求。如果能在合法清求中额外携带一个攻击者无法获取的參数,就可以成功区分出两种不同的请求,进而直接拒绝掉恶意请求。在 SpringSecurity 中就提供了这种机制来防御 CSRF 攻击,这种机制我们称之为令牌同步模式。 ...
web攻击之二:CSRF跨站域请求伪造
weixin_30599769的博客
10-21 1485
CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用...
如何防御CSRF
2301_80124151的博客
02-20 781
比如:我对所有的登录用户提供一个token的cookie,同时,对于提交前的请求,把一个加密的token值(如: md5(token))放到提交表单中,用<input type="hidden" name="sign" value="sign_token">来隐藏。这时候,攻击者就伪造了一个网站B的提交链接,在网站A上发了个贴子,贴子里的图片(或者链接)的地址,就是网站B的提交链接。a、如果网站B是一个类似银行这样的财务网站,而post又是一个类似转账这样的接口,那对于用户来讲,就。
CSRF攻击防御措施
zhi_Miss的博客
05-07 4891
CSRF,跨站请求伪造,简单来说是盗用用户的身份,以用户的身份发送恶意请求,比如以用户的身份进行银行转账等。 原理:用户登录信任网站A,并生成本地cookie,在没有登出A的情况下,访问了危险网站B,B网站中要求访问第三方站点,发出request请求,浏览器带着A产生的cookie访问。 防御措施: a.在请求地址中添加token并验证 在请求中放入攻击者不能伪造的信息,并且该信息不在co
防御csrf攻击策略有哪些
06-08
CSRF攻击是一种常见的Web应用程序安全漏洞,为了防御这种攻击,可以采取以下策略: ... 2. 使用CSRF Token:Web应用程序可以使用CSRF Token来...综上所述,为了防御CSRF攻击,Web应用程序需要采取多种手段来提高安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值