跨站点请求伪造攻击的原理及防御

最新推荐文章于 2023-07-14 18:01:51 发布
最新推荐文章于 2023-07-14 18:01:51 发布
阅读量3.7k 收藏 8
点赞数
分类专栏: spring 文章标签: referer 跨站点请求伪造攻击 公司培训资料
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxy799/article/details/100123382
版权

攻击原理

跨站点请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。
下面以网上银行转账的例子来说明该攻击的流程。
1.小明在网上银行(bank.com)转账,浏览器cookie记录了小明的用户信息。
2. 小明在未关闭浏览器的情况下,又新建了页面开始浏览帖子(sns.com)。
3. 小黑是个黑客,已经将伪造的请求链接包含在sns.com的页面中。
4. 小明点中了小黑提供的伪造链接,那么该请求将会使用cookie中的合法信息,通过了银行的认证系统,实现小黑的非法操作。
这样就实现了跨站点请求伪造攻击。

防御措施

解决跨站点请求伪造攻击,一般有以下两种方法:

  1. Referer校验
  2. Token校验
    2.1、referer校验
    在 HTTP 协议的请求头部含有一个字段叫 Referer,它记录了本次请求的来源地址。例如从A网站跳到B网站,那么在B网站的看到的referer值就是A网站的域名。

在上面的银行转账例子的攻击中,银行系统接收到的攻击请求的referer是sns.com。如果该系统增加了referer校逻辑,就可以判断本次请求是否来自本系统bank.com,如果不是则拒绝。因此如

果银行系统看到请求的referer是sns.com,则可以拒绝访问。注意,第一次访问时,referer值会为空。
所以referer校验的策略是,允许referer值是本服务域名和空值的请求通过。
我们可以采用过滤器进行统一拦截和校验,代码如下:

package com.***.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.core.annotation.Order;

@Order(1)
@WebFilter(filterName = "CSRFFilter", urlPatterns = "/*")
public class CSRFFilter implements Filter {
	private static final Logger logger = LoggerFactory.getLogger(CSRFFilter.class);

	@Override
	public void init(FilterConfig config) throws ServletException {
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// System.out.println("==============CSRFFilter=================");
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;

		if (checkReferer(req, resp)) {
			// 拦截
			response.setContentType("text/html;charset=utf-8");
			logger.error("跨站点请求伪造攻击,系统已拦截");
			throw new ServletException("非法请求!");
			// return;
		}
		// 放行
		chain.doFilter(req, resp);
	}

	private boolean checkReferer(HttpServletRequest request, HttpServletResponse response) {
		String referer = request.getHeader("referer");
		String serviceName = request.getServerName();

		if (null == referer) {
			return false;
		}
		if (referer != null && referer.matches("^(http|https)+://(" + serviceName + ")(.*)")) {
			// 本系统的访问 直接放行
			return false;
		}		
		if (referer != null && referer
				.matches("^[(http)|(https)]+://(localhost|10\\.|172\\.|127\\.0\\.0\\.1)+(.*)")) {
			// 内网的访问 直接放行
			return false;
		}
		logger.error("referer:{}", referer);
		return true;
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}
}

2.2、Token校验
token校验的原理是用户第一次登陆成功之后,系统给用户颁发随机且唯一的token,用户下次请求的时候,将该token作为参数传到后台,后台通过过滤器或者拦截器校验该token是否合法。若合法,则放行,不合法则拒绝访问。前端可以把token值存在请求头或者请求参数中,都可以。
后台校验逻辑如下:

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpSession s = req.getSession();
		// 从 session 中得到 csrftoken 属性
		String sToken = (String) s.getAttribute("csrftoken");
		if (sToken == null) {
			// 产生新的 token 放在session 中
			sToken = generateToken();
			s.setAttribute("csrftoken", sToken);
			chain.doFilter(request, response);
		} else {
			// 从 HTTP 头中取得 csrftoken
			String xhrToken = req.getHeader("csrftoken");
			// 从请求参数中取得 csrftoken
			String pToken = req.getParameter("csrftoken");
			if (sToken != null && xhrToken != null && sToken.equals(xhrToken)) {
				chain.doFilter(request, response);
			} else if (sToken != null && pToken != null && sToken.equals(pToken)) {
				chain.doFilter(request, response);
			} else {
				request.getRequestDispatcher("error.jsp").forward(request, response);
			}
		}
	}
	```
wangxy799
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强大的防御站点请求伪造.pdf
08-01
配套博客:https://blog.csdn.net/qq_41739364/article/details/96846943
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
flask-xsrf:烧瓶扩展,用于防御站点请求伪造攻击(XSRFCSRF)
05-18
烧瓶-xsrf 扩展,通过为每个请求使用唯一生成的令牌来保护flask请求端点,从而防御站点请求伪造攻击 。 烧瓶 PYTHON X射线荧光光谱仪 建立状态 分支 服务 地位 服务 标题 地位 master ci-build github tags develop ci-build github releases-all master coveralls.io github releases-latest develop coveralls.io pypi releases-latest master landscape.io pypi downloads develop landscape.io pypi dl-month 参考/链接 pypi:包 阅读文档:docs github:维基 github:源 github:发布 更
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
网络安全-站脚本攻击(XSS)的原理攻击防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
web渗透测试----14、CSRF(请求伪造攻击
七天
03-25 3487
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
DVWA靶场系列(二)—— CSRF(请求伪造
qq_45612828的博客
07-10 1432
DVWA靶场系列(二)—— CSRF(请求伪造
每日漏洞 | 请求伪造
03-12 809
HTTP的无状态性,导致Web应用程序必须使用会话机制来识别用户。一旦与Web站点建立连接(访问、登录),用户通常会分配到一个Cookie,随后的请求,都会带上这个Cookie,这样Web站点就很容易分辨请求来自哪个用户,该修改哪个用户的数据。如果从第三方发起对当前站点请求,该请求也会带上当前站点的Cookie。正是这是这个缺陷,导致了CSRF的产生,利用这个漏洞可以劫持用户执行非意愿的操作。
XSS(站脚本攻击原理详解(内含攻击实例)
qq_52642385的博客
07-05 6610
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码,可以回显一些东西站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 3813
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
linux12k8s --> 03二进制安装
明日之星
07-21 1584
文章目录K8S 二进制安装部署kubernetes角色与部署Master节点部署插件:Node节点部署插件:优化节点并安装Dockerk8s架构图一、节点规划1、插件规划参考2、环境准备二、系统优化三、安装docker四、生成+颁发集群证书 (master01执行)1.准备证书生成工具2、生成根证书3、生成根证书请求文件证书详解4、生成根证书参数详解五、部署ETCD集群1、节点规划2.创建ETCD集群证书2、创建ETCD集群证书配置项详解3、生成ETCD证书参数详解4、分发ETCD证书5、部署ETCD6、注
Unity制作批量配音制作工具
VAIN的博客
08-26 1077
最近一直在忙项目,都没有时间和大家分享文章了。今天是来送福利的,送个大家一个语音合成音频工具,当然这也是用Unity制作的。看到讯飞官网有个配音制作,还需要收费,我就不能忍啊,就把之前之前做的批量配音制作工具分享给大家。 就一段音频收这么贵,啧啧啧!!! MSCDLL.cs 接口 using System; using System.Runtime.InteropServices; namespace msc { public class MSCDLL { #region 登录登出 [Dll
工作笔记
u012852188的博客
07-11 553
收集表的统计信息:DECLAREBEGINDBMS_STATS.GATHER_TABLE_STATS(USER,’F_IS_AGT_M’);END;Chown:用来更改某个目录或文件的用户名和用户组的;Chmod:用来修改某个目录或文件的访问权限。启监听:lsnrctl start;;用MINUS比较两个表时的字段时要把两个表的主键列出来,这样才会根据主键找到两个表对应的唯一一条数据,然后对两个表...
flask中的csrf防御机制
FreeSpider
07-17 2015
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
请求伪造(CSRF)
最新发布
jkzyx123的博客
07-14 895
目标网站会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网站。由于浏览器会自动携带受害者的身份验证凭证,购物网站会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网站上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网站发送一个购买商品的请求
CSRF——请求伪造攻击
peanut5036的博客
12-04 1145
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
如何解决站点请求伪造
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
CSRF 漏洞原理详解及防御方法
weixin_30248399的博客
08-09 2425
请求伪造攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。 例如:请求http://x.com/del.php?id=1 是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中<img src= “http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆...
站点请求伪造(CSRF)
前行的博客
08-15 7799
什么是CRSF 构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF-站点请求伪造。   浏览器Cookie策略 cookie分类 cookie根据有无设置过期时间分为两种,没有设置过期时间的为Session ...
Cookie 的站点请求伪造(CSRF)攻击
06-02
CSRF(Cross-Site Request Forgery)攻击是一种利用用户已经登录的身份来伪造用户操作请求攻击方式。攻击者通过构造特定的请求,欺骗用户在不知情的情况下进行操作,从而达到攻击的目的。 其中,Cookie 是实现 CSRF 攻击的重要手段之一。攻击者可以通过各种手段获取到用户的 Cookie,然后将其伪造成用户的操作请求,从而达到攻击的目的。为了防止 CSRF 攻击,网站通常会采用一些防御措施,比如验证请求来源、使用验证码等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值