一个express老系统csrf漏洞修复

最新推荐文章于 2024-08-15 10:53:11 发布
最新推荐文章于 2024-08-15 10:53:11 发布
阅读量360 收藏
点赞数
文章标签: php 后端
原文链接:https://segmentfault.com/a/1190000014271310
版权

一个运行快两年的express框架web系统,被安全部门审核存在csrf漏洞,项目使用的前后端分离的形式,所有功能操作,通过ajax调用后端接口来完成,查了很多资料,一个基本的防御思想就是验证随机数了,为什么随机数就可以实现csrf的防御呢?本文将针对该问题进行分解

什么是csrf

csrf(跨站请求伪造)是一种网络攻击方式,怎么实现这种攻击方式呢?
1.登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B,B站存在一个针对A站恶意的路由操作,如删除某条记录
用户操作后,就会删除造成对A站的攻击
如果不满足以上两个条件中的一个,就不会受到CSRF的攻击

示例1:
  银行网站A,它以GET请求来完成银行转账的操作,如:
http://www.mybank.com/Transfer.php?toBankId=11&money=1000
  危险网站B,它里面有一段HTML的代码如下:
  <img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
  首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块......
虽然存在着巨大的不确定性,但是这种漏洞危害性也是巨大的

csrf的防御策略

针对以上的攻击方式,我们要采取防御措施

  • 验证 HTTP Referer 字段

HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问 http://bank.example/withdraw?...,用户必须先登陆 bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL,通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的 Referer 是指向黑客自己的网站。因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。
由于Referer可以篡改,所以这种方案安全性较低。

  • 验证码的方式

每一次操作前添加验证码,该种方案较繁琐,一般不会采用。

  • 随机数验证

现在csrf防御主要采用该种方式,基本流程

  1. 服务端产生一个随机数,发送到客户端
  2. 客户端在表单提交时,携带该随机数
  3. 在服务端验证该随机数

基本的防御思想就是这样的流程,那么怎么来怎么实现这样的业务代码。

由于项目是一个老的系统,所以采取切面处理的方式,

  1. 在服务端生成一个随机数csrf,然后加密生成csrftoken,然后将这两个值发送到客户端
  2. 在请求时将header中携带csrftoken
  3. 服务端验证加密后csrf和csrftoken是否相等

该种方案略显复杂,精简一下

  1. 服务生成一个随机数token,设置cookie
  2. 在客户端生成经过md5(token)生成一个csrftoken,在请求时携带在header中
  3. 在服务端,取cookie中的token,经过md(token)算法后和header中的csrftoken做比较
weixin_34138139
关注
服务端开发技术原理、方法与实用解决方案:安全防护漏洞修复原理与代码实战
程序员光剑
10-04 701
服务端开发是指在服务器端进行应用程序的开发,主要负责接收客户端请求,处理业务逻辑,并将响应返回给客户端。服务端技术广泛应用于Web开发、移动应用、游戏开发等领域。随着互联网的快速发展,服务端安全问题越来越受到重视。服务端的漏洞和安全问题可能会导致用户数据泄露、系统崩溃、服务拒绝服务等严重后果。因此,服务端开发人员需要深入了解安全知识,并采取有效的安全措施来保护自己的系统免受攻击。
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3159
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
csrf漏洞修复
枫叶
11-24 279
通过篡改请求头中的Referer值依旧能够访问到接口。
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
ewii12567的博客
08-15 975
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF安全漏洞修复
snumous的博客
01-09 1953
CSRF安全漏洞修复
CSRF(Cross-Site Request Forgery)漏洞修复方案
qq_40472157的博客
05-29 590
【代码】CSRF(Cross-Site Request Forgery)漏洞修复方案。
express中间件当做前端服务器的安全漏洞处理
02-27
Express一个流行的Node.js框架,它简化了构建Web应用和服务的过程。然而,如果不正确配置或使用中间件,可能会引入安全漏洞。本篇文章将深入探讨Express中间件中可能存在的安全问题,并提供一些处理这些问题的方法...
Node.js中的安全编程实践与漏洞修复
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,可用于快速构建可扩展的网络应用程序。它在网络中扮演着服务器端的角色,能够处理大量并发连接,适用于构建高性能和可伸缩性的网络应用。 ## 1.2 常见的...
Express黑盒安全测试1
08-04
Express一个基于Node.js的Web应用程序框架,提供了强大的路由系统、模板引擎和中间件机制。然而,Express也存在一些安全隐患,这些隐患可能会被黑客利用,导致Web应用程序的安全漏洞。因此,进行Express黑盒安全...
Pixi:Pixi 模块是一个 MEAN Stack Web 应用程序,具有非常不安全的 API!
07-24
Pixi 模块是基于 MEAN Stack(MongoDB、Express.js、AngularJS 和 Node.js)构建的一个Web应用程序。MEAN Stack是一种流行的全栈JavaScript开发框架,允许开发者使用同一种语言进行前端和后端的开发,提高了开发效率...
CSRF漏洞修复建议
lixiaotao_1的博客
11-12 3718
1 关于CSRF 跨站请求伪造,(Cross-site request forgery)。是一种对网站的恶意利用。 CSRF作为一种跨网站的攻击方式,不同于XSS站内攻击。CSRF是通过伪装成受信任的用户请求受信任的网站。 CSRF攻击的原理:攻击者利用目标用户的身份,以目标用户的名义执行某些非法的操作。CSRF能做的事情包括:以目标用户的名义发送邮件、发消息、盗取目标用户的账号,甚至购买商品、虚拟货币转账,会泄露个人隐私并威胁到目标用户的财产安全。 2 CSRF修复建议 ● 验证请求的Refer
CSRF漏洞的利用及修复
G3et的博客
02-13 1181
CSRF (Cross-Site Request Forgery) 漏洞是一种 Web 应用程序的安全漏洞,它允许攻击者在用户不知情的情况下执行非法操作。CSRF 攻击通过构造恶意请求来发送给受害者,从而实现对受害者帐户的控制。这些请求看起来就像是从用户自己的浏览器发出的,因此服务器会将它们作为正常请求处理。
CSRF跨站请求伪造 漏洞修复
HelloKittyTom的博客
08-25 1069
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
实战:Express 模拟 CSRF 攻击
azl397985856的专栏
02-20 472
CSRF攻击 是前端领域常见的安全问题,概念方面不再赘述,可以参考维基百科。对于这些概念,包括名词定义、攻击方式、解决方案等估计大家都看过不少,但留下印象总是很模糊,要动手操作一番才能加深...
网站漏洞修复与防护之CSRF跨站攻击
weixin_34184158的博客
06-09 259
CSRF通俗来讲就是跨站伪造请求攻击,英文Cross-Site Request Forgery,在近几年的网站安全威胁排列中排前三,跨站攻击利用的是网站的用户在登陆的状态下,在用户不知不觉的情况下执行恶意代码以及执行网站的权限操作,CSRF窃取不了用户的数据,只能执行用户能操作的一些数据。比如:在用户不知道的情况下, 把账户里的金额,以及银行卡号,体...
CSRF漏洞
m0_48654636的博客
12-08 1056
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。在 CSRF 的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 7016
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
CSRF漏洞复现
zxcvbnmasdflzl的博客
07-07 770
如果可以,再去掉referer参数的内容,如果仍然可以,说明存在CSRF漏洞,可以利用构造外部form表单的形式,实现攻击。如果上述post方式对referer验证的特别严格,有的时候由于程序员对请求类型判断不是很严格,可以导致post请求改写为get请求,从而CSRF。直接以get请求的方式进行访问,如果请求成功,即可以此种方式绕过对referer的检测,从而CSRF。burp生成的exp有一个按钮,需要受害用户点击,改一下exp,改成直接访问链接就直接增加一个用户。如果可以,即存在CSRF漏洞
python中常见的csrf漏洞修复
07-28
在Python中,常见的修复CSRF(跨站请求伪造)漏洞的方法如下: 1. 随机令牌:为了防止CSRF攻击,可以在每个用户会话中生成一个随机的令牌,并将令牌添加到每个表单请求中作为隐藏字段或cookie。服务器在接收到请求后,会验证令牌的有效性,如果不匹配则拒绝请求。 2. Referer检查:在接收到请求时,服务器可以检查Referer头信息,该头信息显示了请求的来源页面。如果来源页面与当前请求的页面不匹配,则可以拒绝请求。但需要注意的是,Referer头信息有时会被浏览器禁用或篡改,因此不能完全依赖该方法来防止CSRF攻击。 3. Samesite Cookie属性:在Python的Web框架中,可以使用Samesite Cookie属性来解决CSRF问题。设置Cookie的Samesite属性为"Strict"或"Lax"可以限制Cookie只能在同一站点下才能发送,从而避免了跨站点的请求伪造。 4. 双重提交令牌:一种常用的方式是将令牌存储在服务器端的会话中,并将其作为隐藏字段和cookie的值发送给客户端。当表单提交时,服务器验证表单中的令牌与会话中的令牌是否匹配,如果匹配则接受请求,否则拒绝请求。 5. 使用验证码:在某些敏感操作(如支付、修改密码)中,可以要求用户输入验证码。这样即使存在CSRF攻击,攻击者也无法成功地执行敏感操作。 以上是一些常见的Python修复CSRF漏洞的方法,为了确保应用程序的安全,建议结合多种措施来提高防御的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值