基于复杂方案OWSAP CsrfGuard的CSRF安全解决方案(适配nginx + DWR)

最新推荐文章于 2024-11-08 14:24:57 发布
最新推荐文章于 2024-11-08 14:24:57 发布
阅读量147 收藏
点赞数
文章标签: 运维 php python
原文链接:https://my.oschina.net/sniperLi/blog/778266
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1、什么是CSRF?
已经有很多博文讲解其过程和攻击手段,在此就不重复了。 O(∩_∩)O 不清楚的同学,请自行搜索或按链接去了解: http://blog.csdn.net/Flaght/article/details/3873590

2、CSRFGuard_Project
开源项目 CSRFGuard,介绍了如何使用在 HTTP 请求中加入 token 并验证的方法来抵御 CSRF。 https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project

3、检测CSRF方法?
OWASP上面有一个叫做CSRFTester的工具,可以构建进行测试。
下载链接:https://www.owasp.org/index.php/CSRFTester
教程指引:http://www.zyiqibook.com/article216.html

4、如何防御CSRF?
我们采用CSRFGuard_Project方案 JAVA DOM方式。
配置如下:

1)引入csrfguard-3.1.0.jar到你的工程: 2)配置web.xml:

<!-- 基于复杂方案OWASP CsrfGuard的CSRF安全过滤 -->
    <servlet>
       <servlet-name>JavaScriptServlet</servlet-name>
       <servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>
    </servlet>
    <servlet-mapping>
       <servlet-name>JavaScriptServlet</servlet-name>
       <url-pattern>/JavaScriptServlet</url-pattern>
    </servlet-mapping>
    <context-param>
      <param-name>Owasp.CsrfGuard.Config</param-name>
      <param-value>WEB-INF/csrfguard.properties</param-value><!-- 配置文件 -->
    </context-param>
    <context-param>
       <param-name>Owasp.CsrfGuard.Config.Print</param-name>
       <param-value>true</param-value>
    </context-param>
    <!-- session监听器 --><!-- 基于复杂方案CsrfGuard的session监听器 -->
    <listener>
        <listener-class>org.owasp.csrfguard.CsrfGuardHttpSessionListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.owasp.csrfguard.CsrfGuardServletContextListener</listener-class>
    </listener>
    <filter>
        <filter-name>CSRFGuard</filter-name>
        <filter-class>org.owasp.csrfguard.CsrfGuardFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CSRFGuard</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3)引入配置文件csrfguard.js csrfguard.properties(jar包META-INF里面有) csrfguard.properties配置文件中有几点需要注意:

可以指定加载的js,为方便管理,我放在WEB-INF目录下:

org.owasp.csrfguard.JavascriptServlet.sourceFile = WEB-INF/csrfguard.js

org.owasp.csrfguard.TokenName 对于nginx分发多servers的情况,nginx默认过滤带下划线的header,要么改掉nginx的配置,要么改这个参数的值。 参考:http://www.ttlsa.com/nginx/nginx-proxy_set_header

#>>>>>>>>>>>>>--author by caizhengluan  e-mail: SvenAugustus@outlook.com
#Nginx ignores the underlined header variables by default.
# Please do not set "TokenName" has any underlines if you can't unkonwn how to change nginx's configuration.
org.owasp.csrfguard.TokenName=PAYCSRFTOKEN
#<<<<<<<<<<<<<--author by caizhengluan  e-mail: SvenAugustus@outlook.com

org.owasp.csrfguard.JavascriptServlet.refererMatchDomain 对于nginx分发多servers的情况,需要设置为false

#>>>>>>>>>>>>>--author by caizhengluan  e-mail: SvenAugustus@outlook.com
# If you have cluster and nginx, please set this value to false.Otherwise, you will can't visit into the servers when you access nginx address.
org.owasp.csrfguard.JavascriptServlet.refererMatchDomain = false
#<<<<<<<<<<<<<--author by caizhengluan  e-mail: SvenAugustus@outlook.com

4、如何具体防御DWR和我们的页面? 在你的页面最后加上这么一句:

<!-- OWASP CSRFGuard JavaScript Support -->
<script src="<%=request.getContextPath()%>/JavaScriptServlet"></script>

输入图片说明

转载自:https://my.oschina.net/langxSpirit/blog/678901

转载于:https://my.oschina.net/sniperLi/blog/778266

weixin_33936401
关注
NGINX+OpenResty+JWT实现认证授权系统
AI天才研究院
09-23 2035
随着互联网技术的不断进步以及企业对信息安全的重视,越来越多的人开始关注Web应用中涉及的信息安全问题。很多网站为了提供更好的用户体验,也开始在一定程度上采用了一些“保护机制”或是“安全措施”,如SSL加密、CSRF防护、表单验证等,但仍然存在着严重的安全漏洞。为了解决这一问题,人们引入了一些解决方案如HTTPS协议、HTTP Strict Transport Security (HSTS)、跨站脚本攻击防护XSS、SQL注入防护等。
前端安全漏洞之 CSRF
杏子
05-22 880
前端安全漏洞之 CSRF一、概念二、特点三、示例四、防范 一、概念 CRSF(Cross-site-request-forgery)是跨站请求伪造。顾名思义就是伪造他人的身份去发送请求。 二、特点 依靠他人身份攻击网站 利用网站对身份的信任 利用他人的浏览器发送请求给目标站点 三、示例 老王经过登录之后浏览 A 网站,A 网站就保留着老王的 cookie 信息,这时候老王在 A 网站看到一个链...
Springsecurity Oauth2 设置token的过期时间
热门推荐
qq_44605317的博客
06-17 2万+
1.设置token的过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token的过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
OWASP(CsrfGuard)源码解析02----CsrfGuardServletContextListener分析
一直打铁
01-15 521
CsrfGuardServletContextListener分析一、整体框架介绍二、CsrfGuardServletContextListener 分析2.1 contextInitialized 解析三、小结 一、整体框架介绍 首先我们看一下 csrfguard 这个jar 的整体框架 如下图, 里面主要 是分 config 配置, Filter , listener ,action 和 resources 下面的 默认的 csrfguard.properties 和 csrfguard.js 文件
OWASP(CsrfGuard)源码解析04----CsrfGuardFilter分析
一直打铁
01-15 735
CsrfGuardFilter分析一、介绍二、CsrfGuardFilter 分析三、 CsrfGuard 类分析3.1 isValidRequest 分析3.2 isProtectedPage 分析3.2.1 模糊匹配3.3 isProtectedMethod 分析3.4 verifyAjaxToken、verifyPageToken、verifySessionToken分析四、ILogger 分析4.1 ConsoleLogger4.2 JavaLogger五、InterceptRedirectResp
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末已经更新更简单的方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道...
nginx+vue.js实现前后端分离的示例代码
11-30
适合解决跨域问题和反向代理(因为谁也不想看到在本域名下看到访问其他域名的情况发生,跨域可导致csrf攻击,这是本文用它的第二个原因) 占用内存少,秒启,能快速切换结点,防止宕机 2.es6 是ECMAScript的第六个版本,如果...
基于WEB的应用系统安全专项方案.doc
12-17
《基于WEB的应用系统安全专项方案》的文档主要探讨了如何保障基于WEB的应用系统的安全性,针对这一主题,我们将深入讨论以下几个关键知识点: 1. **Web应用安全基础**:Web应用是互联网上的重要组成部分,它们通常...
Django CSRF认证的几种解决方案
01-21
什么是CSRF 浏览器在发送请求的时候,会自动带上当前域名对应的cookie内容,发送给服务端,不管这个请求是来源A网站还是其它网站,只要请求的是A网站的链接,就会带上A网站的cookie。浏览器的同源策略并不能阻止CSRF...
CSRF&OWASP CSRFGuard(原创)
Edison Xu
07-25 6558
一. 什么是CSRF?CSRF(Cross-Site Request Forgery)直译的话就是跨站点请求伪造也就是说在用户会话下对某个需要验证的网络应用发送GET/POST请求——而这些请求是未经用户允许并且用户未必愿意做。举例先:用户小a是某论坛的管理员,刚刚用他的用户名、密码登录了该论坛。攻击者现在利用一些手段(例如通过email或聊天窗口发给小a一个链接),但小a点击该链接时,在小a不知
csrfguard3.1学习笔记
YSOLA4的专栏
10-25 2722
最近公司的机房需要进行二级等保的复评,其中涉及到应用的漏洞扫描一项,使用的是wvs9.0进行web应用漏洞扫描,高危漏洞没有,中级漏洞扫出来不少,虽然二级等保不要求进行修复,但出于信息安全的原则也进行了一次全面的修复,其中涉及到一中Csrf漏洞,也在网上稍微学习了一下,多余的就不说了,我是使用了Owasp.CsrfGuard这个开源项目来对漏洞进行了修复,下面稍微展开说一下. 首先在eclipse中
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4241
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
智能化运维的未来:AI和机器学习在运维中的应用
Echo_Wish的博客
11-05 384
AI和机器学习在运维中的应用,不仅提高了运维效率和质量,还为企业的数字化转型提供了强有力的技术支持。通过预测性维护、自动化运维、异常检测和智能告警等应用,企业可以更好地管理和优化其IT基础设施,确保系统的高效、稳定运行。希望本文能为读者提供有价值的参考,帮助你在运维实践中更好地应用AI和机器学习技术。如果有任何问题或需要进一步讨论,欢迎交流探讨。让我们共同推动智能运维的发展,实现更高效、更智能的运维管理。
linux rocky 9.4部署和管理docker harbor私有源
最新发布
xikui1551的博客
11-08 503
rocky 部署Harbor私有镜像仓库
github加速下载zip
梨子社区
11-08 59
【代码】github加速下载zip。
智能运维新时代:机器学习模型的部署与管理
Echo_Wish的博客
11-06 560
通过合理的部署方案、版本管理、监控与自动化部署,可以确保模型在生产环境中的稳定运行和持续优化。Flask是一个轻量级的Web框架,适用于小型和中型模型的部署。通过Docker,可以将模型和其依赖打包成一个容器镜像,方便部署和管理。监控与告警:使用监控工具(如Prometheus和Grafana)实时监控模型的运行状态和性能指标,及时发现并处理异常情况。版本管理:通过版本控制系统(如Git)管理模型的版本,确保能够追踪和回滚模型更新。模型部署的方式多种多样,下面介绍几种常用的部署方法。
软设师知识点-计算机网络
loop_nervous的博客
11-04 1103
在一台安装好TCP/IP协议的计算机上,当网络连接不可用时,为了测试编写好的网络程序,通常使用的目的主机IP地址127.0.0.1(本地回送地址)
iGuard Web应用安全解决方案:应对各类攻击与防护策略
天存Web应用安全解决方案针对不同的应用场景提供了一系列定制化的安全策略,旨在保护信息发布的静态和动态网站,以及关键Web应用免受各类攻击。以下是其中的一些关键知识点: 1. **适用环境**: - 静态架构的信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值