跨站请求伪造(CSRF)攻击

已于 2023-07-15 16:51:15 修改
阅读量250 收藏
点赞数
文章标签: csrf javascript
于 2023-03-12 23:14:17 首次发布
原文链接:https://springdoc.cn/spring-security/features/exploits/csrf.html
版权

文章目录

一、什么是CSRF攻击?

了解CSRF(Cross-site request forgery,跨站请求伪造)攻击的最好方法是看一个具体的例子。

假设你的银行网站提供了一个表单(form),允许将当前登录的用户的钱转到另一个银行账户。例如,这个转账表格可能看起来像下面这样。

Example 1. Transfer form

<form method="post"
	action="/transfer">
<input type="text"
	name="amount"/>
<input type="text"
	name="routingNumber"/>
<input type="text"
	name="account"/>
<input type="submit"
	value="Transfer"/>
</form>

相应的HTTP请求可能看起来下面这样。

Example 2. Transfer HTTP request

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded

amount=100.00&routingNumber=1234&account=9876

现在假装你登录了你的银行网站,然后在没有注销的情况下,访问一个邪恶的网站。这个“邪恶的网站”包含一个HTML页面,上面有以下表单(form)。

Example 3. Evil transfer form

<form method="post"
	action="https://bank.example.com/transfer">
<input type="hidden"
	name="amount"
	value="100.00"/>
<input type="hidden"
	name="routingNumber"
	value="evilsRoutingNumber"/>
<input type="hidden"
	name="account"
	value="evilsAccountNumber"/>
<input type="submit"
	value="Win Money!"/>
</form>

你喜欢赢钱(Win Money),所以你点击了提交按钮。在这个过程中,你无意中把100美元转给了一个恶意的用户。发生这种情况的原因是,虽然“邪恶网站”看不到你的cookie,但与你的银行相关的cookie仍然与请求一起被发送。

更糟糕的是,这整个过程本来可以通过使用JavaScript自动完成。这意味着你甚至不需要点击这个按钮。此外,在访问一个遭受 XSS攻击 的“诚实网站”时,它也可能很容易发生。那么,我们如何保护我们的用户免受此类攻击?

二、如何防范CSRF攻击?

CSRF攻击之所以可能,是因为来自受害者网站的HTTP请求和来自攻击者网站的请求是完全相同的。这意味着没有办法拒绝来自“邪恶网站”的请求而只允许来自银行网站的请求。为了防止CSRF攻击,我们需要确保请求中存在“邪恶网站”无法提供的东西,这样我们就可以区分这两个请求。

Spring提供了两种机制来防止CSRF攻击:

  • 同步令牌(Synchronizer Token)模式
  • 在你的 session cookie 上指定 SameSite 属性

1、同步令牌(Synchronizer Token)模式

防止CSRF攻击的最主要和最全面的方法是使用 Synchronizer Token 模式。这个解决方案是确保每个HTTP请求除了需要我们的会话cookie外,还需要在HTTP请求中出现一个被称为CSRF令牌的安全随机生成值。

当一个HTTP请求被提交时,服务器必须查找预期的CSRF令牌,并将其与HTTP请求中的实际CSRF令牌进行比较。如果数值不匹配,HTTP请求应被拒绝。

这个工作的关键是,实际的CSRF令牌应该在HTTP请求的某个部分,而不是由浏览器自动包含。例如,在HTTP参数或HTTP header 中要求实际的CSRF令牌可以防止CSRF攻击。在cookie中要求实际的CSRF令牌不起作用,因为cookie会被浏览器自动包含在HTTP请求中。

我们可以放宽预期,只要求每个更新应用程序状态的HTTP请求提供实际的CSRF令牌。要做到这一点,我们的应用程序必须确保 Safe Method 必须是幂等的。这提高了可用性,因为我们希望允许从外部网站链接到我们的网站。此外,我们不希望在HTTP GET中包含随机令牌(Token),因为这可能导致令牌被泄露。

考虑一下当我们使用 Synchronizer Token 模式时,我们的例子会有什么变化。假设实际的CSRF令牌被要求放在一个名为 _csrf 的HTTP参数中。我们的应用程序的传输形式将看起来像下面一样。

Example 4. Synchronizer Token Form

<form method="post"
	action="/transfer">
<input type="hidden"
	name="_csrf"
	value="4bfd1575-3ad1-4d21-96c7-4ef2d9f86721"/>
<input type="text"
	name="amount"/>
<input type="text"
	name="routingNumber"/>
<input type="hidden"
	name="account"/>
<input type="submit"
	value="Transfer"/>
</form>

表单现在包含一个隐藏的 input,其中有CSRF令牌的值。外部网站无法读取CSRF令牌,因为相同的起源策略确保“邪恶网站”无法读取响应。

相应的转移资金的HTTP请求看起来是这样的。

Example 5. Synchronizer Token request

POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded

amount=100.00&routingNumber=1234&account=9876&_csrf=4bfd1575-3ad1-4d21-96c7-4ef2d9f86721

你会注意到,现在的HTTP请求包含了 _csrf 参数的安全随机值。“邪恶网站”将无法为 _csrf 参数提供正确的值(必须在“邪恶网站”上明确提供),当服务器将实际的CSRF令牌与预期的CSRF令牌进行比较时,传输将会失败。

2、SameSite 属性

防止 CSRF攻击 的一个新方法是在cookie上指定 the SameSite 属性。服务器可以在设置cookie时指定 SameSite 属性,以表明来自外部网站的cookie不应该被发送。

一个例子,带有 SameSite 属性的HTTP响应头可能看起来像下面这样。

Example 6. SameSite HTTP response

Set-Cookie: JSESSIONID=randomid; Domain=bank.example.com; Secure; HttpOnly; SameSite=Lax

SameSite 属性的有效值如下。

  • Strict: 当指定时,任何来自 同一站点 的请求都包括该cookie。否则,cookie不包括在HTTP请求中。

  • Lax: 当指定时,当来自 同一站点 或请求来自顶级导航且 Safe Method 必须是幂等的 时,将发送cookie。否则,cookie不包括在HTTP请求中。

考虑一下我们的例子如何使用 SameSite 属性进行保护。银行应用程序可以通过在会话cookie上指定 SameSite 属性来防止CSRF。

在我们的 Session cookie 上设置了 SameSite 属性后,浏览器会在来自银行网站的请求中继续发送 JESSIONID cookie。然而,在来自“邪恶网站”的传输请求中,浏览器不再发送 JESSIONID cookie。由于session 不再出现在来自“邪恶网站”的传输请求中,应用程序被保护免受CSRF攻击。

在使用 SameSite 属性保护CSRF攻击时,有一些重要的 注意事项 需要注意。

将 SameSite 属性设置为 Strict 提供了更强的防御,但会使用户感到困惑。考虑到一个用户一直在登录一个托管在 social.example.com 的社交媒体网站。该用户在 email.example.org ,收到一封电子邮件,其中包括一个指向该社交媒体网站的链接。如果用户点击了这个链接,他们理所当然地期望被认证到该社交媒体网站。然而,如果 SameSite 属性是 Strict 的,cookie将不会被发送,因此用户将不会被认证。

另一个明显的考虑是,为了使 SameSite 属性能够保护用户,浏览器必须支持 SameSite 属性。大多数现代浏览器确实 支持 SameSite 属性。然而,仍在使用的旧版浏览器可能不支持。

由于这个原因,我们通常建议将 SameSite 属性作为深度防御,而不是唯一的保护措施来防止CSRF攻击。

3、验证 HTTP Request 中的 Referer 字段

根据 HTTP 协议,在 HTTP 请求头中有一个字段 Referer,它记录了该 HTTP 请求的来源地址。通常情况下,访问一个安全受限页面的请求来自于同一个网站,在后台请求验证其 Referer 值,如果是以自身安全网站开头的域名,则说明该请求是合法的。如果 Referer 是其他网站,则有可能是黑客的 CSRF 攻击,拒绝该请求。

一颗奋起萌发的种子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
跨站请求伪造(CSRF)总结和防御
Karka_的博客
12-30 815
构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF-跨站请求伪造
跨站请求伪造CSRF
jkzyx123的博客
07-14 939
目标网站会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网站。由于浏览器会自动携带受害者的身份验证凭证,购物网站会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网站上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网站发送一个购买商品的请求
【burpsuite安全练兵场-客户端12】跨站请求伪造CSRF-12个实验(全)
最新发布
heike_Ch的博客
06-18 1100
一、跨站请求伪造CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
web渗透测试----14、CSRF跨站请求伪造攻击
七天
03-25 3652
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 1620
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击伪造的网站,同时,又在访问攻击攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
为什么Django要引入CSRF令牌?答:主要是为了防止跨站伪造请求攻击,那么什么是跨站伪造请求攻击呢?
昊虹AI笔记
06-21 303
为什么Django要引入CSRF令牌?答:主要是为了防止跨站伪造请求攻击,那么什么是跨站伪造请求攻击呢?
web漏洞-CSRF跨站请求伪造
rumil的博客
05-13 259
CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF一句话概括:攻击者盗用(伪造)受害者的身份,以受害者的名义向服务器发送恶意请求,而这种恶意请求在服务端看起来是正常请求
网络安全原理与应用:跨站请求伪造CSRF攻击演示.pptx
05-16
跨站请求伪造CSRF攻击演示;;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
通过一个故事来介绍CSRF
m0_60571990的博客
12-29 315
通过一个故事来介绍CSRF
跨站请求伪造CSRF攻击是什么?如何防御?
fe_watermelon的博客
08-09 2234
我是前端西瓜哥,今天来学习 CSRFCSRF跨站请求伪造,英文全称为 Cross-site request forgery。也可称为 XSRF。CSRF 攻击。当我们成功登录一个网站时,其实浏览器在这个网站域名下保存好了,通常通过 cookies 保存。登录后,我们的在当前域名下发起请求就会带上 cookie,服务器就通过它来确定你对应哪个用户,允许你去执行一些涉及到个人隐私的操作。浏览器的一个机制:访问了一个 url,会带上对应域名的 Cookies,这就给了 CSRF 可乘之机。...
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4759
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
跨站请求伪造CSRF
浪漫鼠
05-27 3077
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
常见web攻击总结
weixin_30418341的博客
04-12 322
每天学习一点点 编程PDF电子书、视频教程免费下载:http://www.shitanlife.com/code XSS 什么是XSS XSS攻击跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代...
总结 XSS 与 CSRF 两种跨站攻击
weixin_50464560的博客
08-06 172
总结 XSS 与 CSRF 两种跨站攻击 转自:https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/ XSS:跨站脚本(Cross-site scripting) CSRF跨站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同.
CSRF跨站请求伪造攻击+案例分析
ylf13的专栏
07-27 3094
最近在拜读《web前端黑客技术揭秘》,不是想学
跨站请求伪造 CSRF的原理与应用
05-13
CSRF(Cross-Site Request Forgery)跨站请求伪造是一种网络攻击方式,攻击者通过某些手段欺骗用户在受信任的网站上执行非预期的操作,从而实现攻击目的。 攻击原理: 攻击者在受害者的浏览器中注入一个恶意代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值