Web安全 - CSRF漏洞

Cross-Site Request Forgery

一、原理

CSRF跨站请求伪造：攻击者盗用了合法用户的身份，以合法用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的操作，比如以合法用户的名义发送邮件、发消息，添加系统管理员，甚至于购买商品、虚拟货币转账等。

详细过程：

其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User 1为Web A网站的合法用户。

1. 用户1打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；
2. 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；
3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；
4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；
5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户1的Cookie信息以用户1的权限处理该请求，导致来自网站B的恶意代码被执行。

CSRF实际上是利用站点对用户的信任。

二、攻击

CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作。

比如说，受害者Bob在银行有一笔存款，通过对银行的网站发送请求http://bank.example/withdraw?account=alen&amount=100&for=alen2可以使alen把100的存款转到alen2的账号下。通常情况下，该请求发送到网站后，服务器会先验证该请求是否来自一个合法的Session，并且该Session的用户Alen已经成功登陆。黑客Hack自己在该银行也有账户，他知道上文中的URL可以把钱进行转帐操作。Hack可以自己发送一个请求给银行：http://bank.example/withdraw?account=alen&amount=100&for=Hack。但是这个请求来自Hack而非Alen，他不能通过安全认证，因此该请求不会起作用。

这时，Hack想到使用CSRF的攻击方式，他先自己做一个网站，在网站中放入如下代码： src="http://bank.example/withdraw?account=alen&amount=100&for=Hack"，并且通过广告等诱使Alen来访问他的网站。当Alen访问该网站时，上述URL就会从Alen的浏览器发向银行，而这个请求会附带Alen浏览器中的Cookie一起发向银行服务器。大多数情况下，该请求会失败，因为他要求Alen的认证信息。但是，如果Alen当时恰巧访问他的银行后不久，他的浏览器与银行网站之间的Session尚未过期，浏览器的Cookie之中含有的认证信息。这时，悲剧发生了，这个URL请求就会得到响应，钱将从Alen的账号转移到Hack的账号，而Alen当时毫不知情。等以后Alen发现账户钱少了，即使他去银行查询日志，他也只能发现确实有一个来自于他本人的合法请求转移了资金，没有任何被攻击的痕迹。而Hack则可以拿到钱后逍遥法外。

三、防御

1. 验证HTTP Referer字段

根据HTTP协议，在HTTP头中有一个Referer字段，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，比如需要访问http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory，用户必须先登陆bank.example，然后通过点击页面上的按钮来触发转账事件。这时，该转帐请求的Referer值就会是转账按钮所在的页面的URL，通常是以 bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击，他只能在他自己的网站构造请求，当用户通过黑客的网站发送请求到银行时，该请求的Referer是指向黑客自己的网站。因此，要防御 CSRF攻击，银行网站只需要对于每一个转账请求验证其Referer值，如果是以bank.example开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果Referer是其他网站的话，则有可能是黑客的CSRF攻击，拒绝该请求。

这种方法的显而易见的好处就是简单易行，网站的普通开发人员不需要操心CSRF的漏洞，只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查Referer的值就可以。特别是对于当前现有的系统，不需要改变当前系统的任何已有代码和逻辑，没有风险，非常便捷。

然而，这种方法并非万无一失。Referer的值是由浏览器提供的，虽然HTTP协议上有明确的要求，但是每个浏览器对于Referer的具体实现可能有差别，并不能保证浏览器自身没有安全漏洞。使用验证Referer值的方法，就是把安全性都依赖于第三方（即浏览器）来保障，从理论上来讲，这样并不安全。事实上，对于某些浏览器，比如IE6，目前已经有一些方法可以篡改Referer值。如果bank.example网站支持IE6浏览器，黑客完全可以把用户浏览器的Referer值设为以bank.example域名开头的地址，这样就可以通过验证，从而进行CSRF攻击。

即便是使用最新的浏览器，黑客无法篡改Referer值，这种方法仍然有问题。因为Referer值会记录下用户的访问来源，有些用户认为这样会侵犯到他们自己的隐私权，特别是有些组织担心Referer值会把组织内网中的某些信息泄露到外网中。因此，用户自己可以设置浏览器使其在发送请求时不再提供Referer。当他们正常访问银行网站时，网站会因为请求没有Referer值而认为是CSRF攻击，拒绝合法用户的访问。

2. 在请求地址中添加token并验证

CSRF攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于Cookie中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。要抵御CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie之中。可以在HTTP请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能 CSRF攻击而拒绝该请求。

这种方法要比检查Referer要安全一些，token可以在用户登陆后产生并放于session之中，然后在每次请求时把token从session中拿出，与请求中的token进行比对，但这种方法的难点在于如何把token以参数的形式加入请求。对于GET请求，token将附在请求地址之后，这样URL就变成http://url?csrftoken=tokenvalue。而对于POST请求来说，要在form的最后加上<input type=”hidden” name=”csrftoken” value=”tokenvalue”/>，这样就把token以参数的形式加入请求了。但是，在一个网站中，可以接受请求的地方非常多，要对于每一个请求都加上token是很麻烦的，并且很容易漏掉，通常使用的方法就是在每次页面加载时，使用JavaScript遍历整个Dom树，对于Dom中所有的a和 form标签后加入token。这样可以解决大部分的请求，但是对于在页面加载之后动态生成的HTML代码，这种方法就没有作用，还需要程序员在编码时手动添加token。

该方法还有一个缺点是难以保证token本身的安全。特别是在一些论坛之类支持用户自己发表内容的网站，黑客可以在上面发布自己个人网站的地址。由于系统也会在这个地址后面加上token，黑客可以在自己的网站上得到这个token，并马上就可以发动CSRF攻击。为了避免这一点，系统可以在添加token的时候增加一个判断，如果这个链接是链到自己本站的，就在后面添加token，如果是通向外网则不加。不过，即使这个csrftoken不以参数的形式附加在请求之中，黑客的网站也同样可以通过Referer来得到这个token值以发动CSRF攻击。这也是一些用户喜欢手动关闭浏览器Referer功能的原因.

3. 在HTTP头中自定义属性并验证

这种方法也是使用token并进行验证，和上一种方法不同的是，这里并不是把token以参数的形式置于HTTP请求之中，而是把它放到 HTTP 头中自定义的属性里。通过XML HTTP Request这个类，可以一次性给所有该类请求加上csrftoken这个HTTP头属性，并把token值放入其中。这样解决了上种方法在请求中加入token的不便，同时，通过XML HTTP Request请求的地址不会被记录到浏览器的地址栏，也不用担心token会透过Referer泄露到其他网站中去。

然而这种方法的局限性非常大。XML Http Request请求通常用于Ajax方法中对于页面局部的异步刷新，并非所有的请求都适合用这个类来发起，而且通过该类请求得到的页面不能被浏览器所记录下，从而进行前进，后退，刷新，收藏等操作，给用户带来不便。另外，对于没有进行CSRF防护的遗留系统来说，要采用这种方法来进行防护，要把所有请求都改XML Http Request请求，这样几乎是要重写整个网站，这代价无疑是不能接受的。