CSRF漏洞介绍
CSRF(Cross-site request forgery,跨站请求伪造),通常缩写为CSRF或XSRF是一种对网站的恶意利用。它利用受害者尚未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。
CSRF属于业务逻辑漏洞,在服务器看来所有请求都是合法正常的,XSS,sql注入等等都属于技术漏洞
XSS:客户信任服务器
CSRF:服务器信任客户(经过身份认证的)
CSRF分类:
按照攻击方式可以分为HTML CSRF攻击,JSON HiJacking攻击,Flash CSRF攻击
按照请求类型来区分。分为:GET类型和POST类型
前提:
- 用户必须登录
- 黑客必须懂一些发包请求
- 服务器端没有二次验证
- 被害者是不知情的
CSRF危害:
- 篡改目标网站上的用户数据
- 盗取用户隐私数据
- 作为其他攻击向量的辅助攻击手法
- 传播CSRF蠕虫
CSRF流程图
- 用户登录,登录名为admin,密码为123
- 服务器返回cookie值
- 攻击者伪造URL(含新密码456)
- 点击访问URL
- 打开404页面,密码已被修改,123—>456
- 攻击者不知道密码是否修改成功,所以隔一段时间,尝试用新密码登录
服务器信任用户,在服务器端认为用户自己改了密码如右图,实际情况左图
附404页面
在第一行里style=”display:none;”作用不显示改密页面,
CSRF和XSS区别:
1、CSRF需要登陆后操作,XSS不需要。
2、XSS利用站点内信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。
3、CSRF是请求页面api来实现非法操作,XSS是向当前页面植入js脚本来修改页面内容。
CSRF防御
根本性防范策略
筛选出需要防范CSRF的页面
确认是正规用户自愿发起的请求
其中,确认请求确实由用户自愿发起的方法有3种
嵌入机密信息(令牌)
再次输入密码
检验Referer
辅助性对策
执行完关键处理后,向注册用户的邮箱或手机发送通知
CSRF防范策略的比较
| 嵌入令牌 | 再次输入密码 | 确认referer |
开发耗时 | 中 | 中 | 小 |
对用户的影响 | 无 | 增加了输入密码的麻烦 | 关闭了referer的用户无法正常使用 |
能否用于手机网站 | √ | √ | × |
建议使用的地方 | 最基本的防御策略,所有情况下均可使用 | 需要防范他人伪装或者确认需求很强的页面 | 用于能够限定用户环境的既有应用的CSRF防范策略 |