(三)跨站点伪造请求(CSRF)

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量856 收藏
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43047908/article/details/115431372
版权

目录

什么是CSRF?

跨站点请求伪造(也称为CSRF)是一个Web安全漏洞,攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同一原始策略,该策略旨在防止不同的网站相互干扰。
在这里插入图片描述
在成功的CSRF攻击中,攻击者会导致受害者用户无意中执行操作。例如,这可能是更改其帐户上的电子邮件地址,更改其密码或进行资金转帐。根据操作的性质,攻击者可能能够完全控制用户的帐户。如果受感染的用户在应用程序中具有特权角色,则攻击者可能能够完全控制所有应用程序的数据和功能。

CSRF攻击条件

  1. 相关动作。攻击者有理由诱使应用程序中发生某种动作。这可能是特权操作(例如,修改其他用户的权限)或对用户特定数据的任何操作(例如,更改用户自己的密码)。

  2. 基于Cookie的会话处理。执行该操作涉及发出一个或多个HTTP请求,并且该应用程序仅依靠会话cookie来标识发出请求的用户。没有其他机制可以跟踪会话或验证用户请求。

  3. 没有不可预测的请求参数。执行该操作的请求不包含攻击者无法确定或猜测其值的任何参数。例如,当使用户更改密码时,如果攻击者需要知道现有密码的值,则该功能不会受到攻击。

例如,假设一个应用程序包含一个功能,该功能使用户可以更改其帐户上的电子邮件地址。用户执行此操作时,他们将发出如下HTTP请求:

POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE

email=wiener@normal-user.com

这符合CSRF的形成条件:

  • 攻击者会对更改用户帐户上的电子邮件地址的操作感兴趣。执行此操作后,攻击者通常将能够触发密码重置并完全控制用户的帐户。

  • 该应用程序使用会话cookie来标识哪个用户发出了请求。

  • 没有其他令牌或机制来跟踪用户会话。 攻击者可以轻松确定执行操作所需的请求参数的值。

在满足这些条件的情况下,攻击者可以构建包含以下HTML的网页:

<html>
  <body>
    <form action="https://vulnerable-website.com/email/change" method="POST">
      <input type="hidden" name="email" value="pwned@evil-user.net" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

如果受害用户访问攻击者的网页,则会发生以下情况:

  • 攻击者的页面将触发对易受攻击的网站的HTTP请求。

  • 如果用户登录到易受攻击的网站,则其浏览器将自动在请求中包括其会话cookie(假设未使用SameSite cookie)。

  • 易受攻击的网站将以正常方式处理请求,将其视为由受害者用户发出,并更改其电子邮件地址。

注:尽管通常相对于基于cookie的会话处理来描述CSRF,但它也出现在应用程序自动向请求添加一些用户凭据的其他情况下,例如HTTP Basic身份验证和基于证书的身份验证。

CSRF防御

CSRF漏洞防御主要可以从三个层面进行,即服务端的防御、用户端的防御和安全设备的防御。

  • 检测HTTPreferer字段同域。根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自于同一个网站

比如某银行的转账是通过用户访问http://bank.test/test?page=10&userID=101&money=10000页面完成,用户必须先登录bank.test,然后通过点击页面上的按钮来触发转账事件。当用户提交请求时,该转账请求的Referer值就会是转账按钮所在页面的URL(本例中,通常是以bank. test域名开头的地址)。而如果攻击者要对银行网站实施CSRF攻击,他只能在自己的网站构造请求,当用户通过攻击者的网站发送请求到银行时,该请求的Referer是指向攻击者的网站。因此,要防御CSRF攻击,银行网站只需要对于每一个转账请求验证其Referer值,如果是以bank. test开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。

  • 限制session-cookie的生命周期

CSRF攻击是有条件的,当用户访问恶意链接时,认证的cookie仍然有效,所以当用户关闭页面时要及时清除认证cookie。

  • 使用验证码

虽然攻击者已经通过获取cookie得到用户的身份,但是通过在你的表单中包括验证码,事实上网站已经消除了跨站请求伪造攻击的风险。可以在任何需要执行操作的任何表单中使用这个流程。

  • cookie关键字段设置Http-Only属性

可以在一定程度防御CSRF,也能一定程度上防止js脚本攻击。

  • 对敏感的请求增加安全的token,可以通过自定义http首部字段实现。
她总是阴雨天
关注
专栏目录
flask中的csrf防御机制
FreeSpider
07-17 2070
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户请求利用受信任的网。与XSS攻击相比,CSRF攻击...
CSRF--站点请求伪造
weixin_44940180的博客
08-11 173
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
站点请求伪造CSRF
壮乡码农
12-07 2151
一、CSRF是什么? 通过浏览器冒充用户身份向服务器发送伪造请求并成功执行 二、攻击原理 1、用户正常登入受信任的网A,输入账号密码登入 2、登入成功网返回Cookie 3、用户未退出的网,访问网B 4、网B接收到请求,返回恶意代码。并发出一个请求访问站点A CSRF的危害 CSRF工具特: 攻击时机: Cookie没有过期, 攻击前提: 了解网接口 攻击难度:大于XSS 危害:修改密码、转账、删除数据 四、如何防护 1、referer校验 ...
CSRF请求伪造漏洞介绍
最新发布
weixin_56233402的博客
07-28 870
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
CSRF(请求伪造)
无痕的博客
01-18 8464
csrf请求伪造介绍、csrf攻击在dvwa环境中的应用
《白帽子讲Web安全》4-站点请求伪造CSRF
CD的博客
03-30 372
第4章 站点请求伪造CSRF
CSRF站点请求伪造
m0_66618018的博客
11-12 307
CSRF学习笔记
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Tomcat 防止请求伪造CSRF)机制浅析 在 Web 应用开发中,请求伪造CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网,从而使得恶意网能以用户身份对受信任网执行...
站点请求伪造 CSRF攻击
ChenJZ_8的博客
08-30 1069
安全测评测出一下问题: 以下是我的代码解决方案: 1、写好一个类,给它命名为CSRFilter.java package com.xr.modules.sys.utils; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser...
java如何解决站点请求伪造_站点请求伪造CSRF
weixin_39620001的博客
02-13 2115
一、前言站点请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
Ajax与站点请求伪造漏洞
03-22
Ajax与站点请求伪造漏洞,近日,我们的网请微软的工程师作了一次漏洞扫描,扫描结果中有两个“站点请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
gorilla / csrf为Go Web应用程序和服务提供站点请求伪造CSRF)预防中间件:locked:-Golang开发
05-26
gorilla / csrf gorilla / csrf是一个HTTP中间件库,它提供站点请求伪造CSRF)保护。 它包括:csrf.Protect中间件/处理程序在连接到路由器大猩猩/ csrf的路由上提供CSRF保护。gorilla / csrf是一个HTTP中间件库...
Web Security Academy 站点伪造请求CSRF
汗的博客
12-08 739
笔者Burpsuite Web 安全学院的学习笔记 Burpsuite Web 安全学院:Cross-site request forgery (CSRF)
站点伪造请求 (CSRF)
KerryRuan的专栏
04-06 705
站点伪造请求 (CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上运行操作。当易受攻击的站点未适当验证请求来源时,便可能出现这个攻击。  这个漏洞的严重性取决于受影响的应用程序的功能,例如,对搜索页面CSRF 攻击,严重性低于对转帐页面或概要更新页面CSRF 攻击。  这项攻击的执行方式,是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。如果用户目前已登录受害
【開山安全笔记】请求伪造CSRF
開山安全,無限进步
01-17 826
谁“偷”了我的cookie?
在ASP.NET Web API中防止站点请求伪造CSRF)攻击
weixin_34143774的博客
05-02 581
定义 站点请求伪造CSRF)是一种恶意站点用户当前登录的易受攻击的站点发送请求的攻击方式。 以下是CSRF攻击的示例(必须具备的条件): 用户使用表单验证登录 www.example.com。 服务器验证用户,响应(Response)包含了一个认证cookie。 用户没有注销,然后访问了恶意网。此恶意网包含以下HTML表单: 1 <h1>You Are...
CSRF/XSRF 请求伪造攻击
猫老板的豆
06-04 503
简介 CSRF(Cross-site request forgery)请求伪造攻击者诱导受害者进入第方网,在第方网中,向被攻击网发送请求利用受害者在被攻击网已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网执行某项操作的目的。 一个典型的CSRF攻击有着如下的流程: 受害者登录a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cooki
彻底理解前端安全面试题(2)—— CSRF 攻击,请求伪造攻击详解,建议收藏(含源码)
qq_17335549的博客
01-02 2343
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第一篇文章,内容就是 CSRF 攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值