白帽子讲Web安全(三)跨站点请求伪造-CSRF

最新推荐文章于 2021-06-15 08:23:25 发布
最新推荐文章于 2021-06-15 08:23:25 发布
阅读量194 收藏
点赞数
分类专栏: 白帽子讲Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39157582/article/details/108228439
版权

跨站点请求伪造 - CSRF

1、CSRF简介

CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。可以这么理解:攻击者盗用了你的身份,以你的名义发送恶意请求。

2、CSRF进阶

2.1、浏览器的Cookie策略

浏览器所持有的Cookie分为两种:一种是 “ Session Cookie ”,又称 “ 临时Cookie ”;另一种是 “ Third-party Cookie ”,也称为 “ 本地Cookie ”。

两者的区别在于,“ 本地Cookie ”是服务器在Set-Cookie时制定了Expire时间,只有到了Expire时间后Cookie才会失效,所以这种Cookie会保存在本地;而 “ Session Cookie ”则没有指定Expire时间,所以浏览器关闭后,Session Cookie就失效了。

如果浏览器从一个域的页面中,要加载另一个域的资源,由于安全原因,某些浏览器会阻止Third-party Cookie的发送。
在这里插入图片描述
有一个页面http://www.b.com/csrf-test.html,此页面构造了CSRF以访问www.a.com。

<iframe src="http://www.a.com"></iframe>

这时就会发现,只能发送出Session Cookie,而Third-party Cookie被禁止了。

这是因为IE出于安全考虑,默认禁止了浏览器在< img>、< iframe>、< script>、< link>等标签中发送第三方Cookie。

在当前浏览器中,默认会拦截Third-party Cookie的有:IE 、Safari;不会拦截的有:Firefox、Opera、Chrome、Android等。

2.2、P3P头的副作用

P3P Header是W3C制定的一项关于隐私的标准,全称是The Platform for Privacy Preferences。

如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。在IE下即使是< iframe>、< script>等标签也将不再拦截第三方Cookie的发送。

很多时候,如果测试CSRF时发现< iframe>等标签在IE中居然能发送Cookie,而又找不到原因,那么很可能就是因为P3P头在作怪。

2.3、Flash CSRF

flash功能丰富,当然也有向任意站点发送请求的API,我们可以利用flash而不是js来控制浏览器向目标URL发送请求,这就实现CSRF了。比如flash8中的loadVariables,flash9中的sendToURL都是可以实现这个功能的。
在这里插入图片描述在这里插入图片描述编译好之后执行,你会发现它向百度POST数据,如果你的浏览器中有baidu.com的Cookie,Cookie也会发送出去的,这里就可以绕过IE的隐私安全限制。(如果直接img或者iframe向baidu.com发送数据,cookie是会被阻拦的)

3、CSRF防御

3.1、验证码

验证码被认为是对抗CSRF攻击最简介而有效的防御方法。 但是验证码并非万能的,很多时候,出于用户体验考虑,网站不能给所有的操作都加上验证码。因此,验证码只能作为防御CSRF的一种辅助手段。

3.2、Referer Check

Referer 是HTTP请求header的一部分,当浏览器向web服务器发送请求的时候,头信息里有包含Referer。Referer信息告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用户处理。
在这里插入图片描述
虽然Referer可以用来判断用户是否被CSRF攻击,但是服务器并非什么时候都可以取到Referer。很多用户出于隐私保护的考虑,限制了Referer的发送。在某些情况下,浏览器也不会发送Referer,比如从HTTPS跳转到HTTP,出于安全的考虑,浏览器也不会发送Referer。

更多Referer知识

3.3、Anti CSRF Token

现在业界针对CSRF的防御,一致的做法是使用一个Token。

更多Token知识

3.3.1、CSRF的本质

CSRF为什么能够攻击成功?其本质原因是重要操作的所有参数都是可以被攻击者猜测到的。

攻击者只有预测出URL的所有参数和参数值,才能成功构造一个伪造的请求,才能攻击成功。反之,将失败。

因此,我们可以把参数加密,或者使用一些随机数,从而让攻击者无法猜测到参数值。

我们在URL中添加一个参数Token。这个Token的值是随机的,不可预测的。如下:

http://host/path/delete?user=abc&item=123&token=[random(seed)]

Token应该作为一个秘密,为服务器和用户所共同持有。在实际应用中,Token可以放在用户的Session中,或者浏览器的Cookie中。

Token需要同时放在表单和Session中。在提交请求时,服务器只需验证表单中的Token,与用户Session(或Cookie)中的Token是否一致。如果不一致,则可能发生了CSRF攻击。

3.3.1、Token使用原则

Token的目的不是为了防止重复提交。所以为了使用方便,可以允许在一个用户的有效生命周期内,在Token消耗掉前都使用同一个Token。但是如果用户已经提交了表单,则这个Token已经消耗掉,应该再次重新生成一个新的Token。

在使用Token的时候,应该尽量把Token放在表单中。把敏感操作由GET改为POST,以form表单(或者AJAX)的形式提交,可以避免Token泄露。

三体-二向箔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
electrode-csrf-jwt:使用JWT的无状态站点请求伪造CSRF)保护
02-03
为了防止这种情况,此模块使用的技术类似于CSRF ,并且依赖于浏览器的以下两个限制: 站点脚本无法读取/修改Cookie。 站点脚本无法设置标题。 依赖于以下事实:cookie中的唯一令牌必须与隐藏在表单提交字段中的...
图解HTTP(六)—— HTTP请求头(首部)
云卷云舒的架构师之路
06-18 2万+
一、HTTP报文首部        HTTP协议的请求和响应报文中必定包含HTTP报文首部。首部内容分别为客户端和服务器处理请求和响应提供所需要的信息。1、HTTP请求报文        在请求中,HTTP报文由方法、URI、HTTP版本、HTTP首部字段等部分构成2、HTTP响应报文        在响应中,HTTP报文由HTTP版本、状态码(数字和原因短语)、HTTP首部字段3部分构成3、请求...
web安全之token和CSRF攻击
热门推荐
梦空间
05-03 2万+
上文我转载了两篇关于ThinkPHP令牌验证的文章(ThinkPHP中的create方法与自动令牌验证)。其中提及到了  token ,这里针对 token 的作用,转载了另外两篇文章。 (web安全之token   Web安全CSRF攻击) web安全之token 参考:http://blog.csdn.net/sum_rain/article/details/370
关于Cookie中header("P3P: CP=CURa……")
12-20 1662
对于IE来说(默认安全级别下),iframe、img、link等标签都是只发送session cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第方cookie)。当这些标签域引用一个页面,实际上是发起了一次GET请求。<br /><br />如果这个域的请求,HTTP返回头中带有Set-Cookie , 那么这个cookie对浏览器来说,实际上是无效的。<br /><br />看如下测试<br /><br />假设有 www.a.com    与 www.b.com 两个域<b
Web 安全CSRF 的原理和攻防
Mark
08-08 963
1、CSRF 是个啥? CSRF请求伪造(Cross Site Request Forgery),它和 XSS 的攻击性相当,危害性也很大。 举个例子,小明今天打开电脑登录 qq,然后去别的网站找苍老师的学习视频,正在津津有味的学习的过程中,这时候走入了CSRF 的攻击流程!这个网站的内容是大黑客精心布局的,画面非常刺激。典型的 CSRF 攻击就是点击 B 网站,影响 A 网站。比如, 点击黄网, qq 被盗。 其原理通俗点就是:攻击者盗用了你的身份,并以你的名义发送恶意请求或消息,盗取你的
Http消息头中常用的请求头和响应头
凯凯
09-25 3434
Http消息头中常用的请求头和响应头 作为Web开发对常用http的请求头和响应头熟悉了解一下还是很有必要的。比如请求头中Content-type指定了请求的内容,若类型是 application/x-www-form-urlencoded,就可以调用reqeust的获取参数方法取到内容,若是其它都需要调用获取流的方 法获取。又比如响应头X-Frame-Options 的设置直接决定了你的页面是否...
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Web 应用开发中,请求伪造CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行操作。为了防止这种攻击,Tomcat 提供了一个...
白帽子web安全 完整版
03-12
2. **攻击方式与防范**:详述各种常见的Web安全攻击,如SQL注入、站脚本(XSS)、请求伪造CSRF)、文件包含漏洞、命令注入等,分析它们的原理、实施手段,并给出相应的防护措施。 3. **身份验证与授权**:...
白帽子Web安全(1).zip
08-06
白帽子Web安全》是吴翰清先生的一部经典著作,主要针对网络安全领域的Web安全问题进行了深入浅出的探讨。这本书以独特的视角,从"白帽子"即网络安全专家的角度出发,述了如何发现并防范Web应用程序的安全隐患...
jsp中设置http的P3P头实现域设置cookie
zdy19900811的专栏
11-09 1080
 将这段代码放在jsp头部即可:
域(cross-domain)访问 cookie (读取和设置)
冯友华的专栏
06-29 503
Passport 一方面意味着用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的漫游到其他服务里面去。坦白说,目前 sohu passport 在这一点实现的很烂(不过俺的工作就是要把它做好啦,hehe) 搜狐的 SSO 需求比较麻烦,因为它旗下有好多域名:sohu.com、chinaren.com、sogou.com、focus.cn、17173.com、go2map....
通过P3P头实现域设置cookie
weixin_30894389的博客
02-06 228
PHP的setcookie函数可以设置域,但是只能在当前域内,如果出现多域可由如下办法处理:实现原理:www.b.com/set_cookie.php 在b域名下设置a域名的cookie <script src="http://www.a.com/set_cookie.php"></script> www.a.com/get_cookie.php 在...
php p3p session,【转】PHP有关域的请求header("P3P: CP=CURa ADMa...)cookie -session解决方法...
weixin_29907111的博客
03-12 199
对于IE来说(默认安全级别下),iframe、img、link等标签都是只发送session cookie(又叫 第一方cookie),拦截本地cookie发送(又叫第方cookie)。当这些标签域引用一个页面,实际上是发起了一次GET请求。在php文件头部加 header('P3P:CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HI...
anti-CSRF Token布署时需要注意的一点问题
tenfyguo的技术专栏
11-24 1万+
from : http://hi.baidu.com/aullik5/blog/item/b2cdb4444d061c21cffca3a5.html       防范CSRF攻击的方案有许多种,有用验证码来防的(tenfy:方案比较重,适合于敏感数据的变更类操作,对一般查询信息类不是很合适),更多的是生成一个随机的token,当用户提交的时候,在服务器端比对一下token值是否正确,不正确就丢弃掉,正确就验证通过。     (因为有些人喜欢钻牛角尖,所以再次强调下,我们习惯于区分CSRF和XSRF,后者是在
白帽子Web安全(第 4 章 站点请求伪造CSRF ))
sports-boy的博客
08-06 166
第 4 章 站点请求伪造CSRFCSRF 的全名是 Cross Site Request Forgery,翻译成中文就是站点请求伪造。 4.1 CSRF 简介 4.2 CSRF 进阶 4.2.1 浏览器的 Cookie 策略 攻击者伪造请求之所以能够被搜狐服务器验证通过,是因为用户的浏览器成功发送了 Cookie 的缘故。 浏览器所持有的 Cookie 分为两种: “ Session Cookie ”,又称“临时 Cookie ”,保存在浏览器进程的内存空间中; “ Third-party
【笔记】Web安全CSRF请求伪造
qq_41042211的博客
06-15 206
什么是CSRF CSRF发生的原理 怎么发现CSRF漏洞 CSRF漏洞的防止
Web安全CSRF请求伪造攻击解析
Senimo
07-16 856
Web安全CSRF请求伪造攻击解析CSRF漏洞简介CSRF攻击类型按请求类型按攻击方式CSRF漏洞利用场景针对CSRF防护方案添加中间环节验证用户请求合法性用户层面CSRF漏洞的检测CSRF 漏洞总结参考资料 CSRF漏洞简介 1. CSRF漏洞简介 请求伪造(Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。OWASP于2007年将CSRF归类进 OWASP TOP10 的安全风险中。 2. CS
java如何解决站点请求伪造_站点请求伪造CSRF
最新发布
06-09
Java中可以通过以下几种方式来解决站点请求伪造CSRF)问题: ...综上所述,Java可以通过多种方式来解决站点请求伪造CSRF)问题,开发人员需要根据实际情况选择合适的方式来保护系统安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值