CSRF 批量进行校验

最新推荐文章于 2024-07-19 00:30:00 发布
最新推荐文章于 2024-07-19 00:30:00 发布
阅读量3k 收藏 2
点赞数
分类专栏: 安全 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyfhist/article/details/51203366
版权

CSRF是一个很普遍的问题,这里不对CSRF做过多的介绍,简单提一下,说一下自己在实际工作中的解决方案。

copy图(来自于网上):


核心问题

CSRF的核心问题在于:
1.目标网站不确定请求是否来自与指定的网站
2.目标网站不确定请求是否是用户的真实意愿,不安全网站是通过间接欺诈的手段在提交请求。

通用解决方案:

1.referer 校验。(问题:容易模仿)
2.token 校验。(问题:维护token麻烦)
3.签名认证。(问题:签名算法容易泄漏)

我们想要的效果:

1.我们需要对用户的每一个请求做校验来验证这是用户的本意操作。

2.我们需要大批量的验证不想维护token。

3.我们要预防CSRF。

我们的基本条件:

1.假设用户cookie不会泄露。

2.通过refer校验+签名认证(前端和后端维护同一个算法)+过期时间 的方法进行CSRF攻击防范。

3.我们的校验依赖于后台的名单,而不应该依赖于前台js的签名,所以我们需要在后台(服务端)维护一个校验名单。

具体思路:

1.js端通过cookie中的session id + 当天时间 按照一定的算法/规则做运算,在请求中将当前时间戳作为明文,运算出来的值作为秘文传给服务端。

2.服务端通过读取后台校验名单对符合规则的接口用同样的算法对session id +时间戳(前台传输)进行校验 并于结果进行对比,完成签名认证的过程。

3.在后台校验之前需要先进行refer校验。

4.每一个时间戳的有效期为2s,也就是从发起请求到收到请求不应该超过2s。(此步骤可以舍去或放开,未了防止重放攻击)


code:

对应的js算法

function getDefaultToken(type){
    var data = {};
    var obj = {};
    var str = '';
    var cookie = document.cookie;
    var arr=cookie.split(";"); 
    for(var  i=0;i<arr.length;i++){
        var arr2 = arr[i].split('=');
        obj[arr2[0]] = arr2[1];
        if( $.trim(arr2[0])=='PHPSESSID'){
            str +=  $.trim(arr2[1]);
            break;
        }
    }
    var time =  parseInt( (new Date).getTime(),10);
    str+=time;
    var len = str.length;
    var k=0,j=0,l=0;
    for(k;k<len;k++){
        l = str.charCodeAt(k);
        l = (l<<5) ;
        l = (l>0)?l:k;
        j +=  l;
    }
    j= j+time;
    if(!type){
        data['time_csrf'] = time;
        data['token_csrf'] = j;
         return  data;
    }
   return  time+'::'+j;
 }

对应的js请求方法: 

function updateAdminPasswordSend(){
    var _data = {};
    _data.uid = user_id;
    _data.password = $("#newpassword").val();
    _data.comfirmpassword = $("#newpasswordcomfirm").val();
    var sign = $.getDefaultToken();
    _data.num = Math.random();
    //console.log(_data);
    if(_data.password != _data.comfirmpassword ){
        art.dialog({title:"修改密码",lock: true, content: "两次密码不一致",time:3});
        return;
    }
    if(_data.password == ''){
        art.dialog({title:"修改密码",lock: true, content: "密码不能为空",time:3});
        return;
    }
    $.post("{:U('Admin/updateAdminPassword')}",{"data":_data,"csrf_sign":sign},function(e){
        if(e.status == 1){
            $(".send_hide_none").removeClass("send_hide_none").addClass("send");
            art.dialog.get("show_auth").close();
        }else{
            art.dialog({title:"出错了",lock: true, content: e.info,time:3});
        }
    },'json');
    
}

对应的服务端校验名单(php 以 define作为校验名单) 

<?php
/**
 * Created by PhpStorm.
 * User: wangyf
 * Date: 16-1-4
 * Time: 下午3:33
 */
/*
 * 校验名单命名规则:prefix_action_function(prefix 前缀用来标识所在系统如:管理后台Admin 也可以根据需求自己定义),对应常量值,表示的是传输过来后sign校验所在的下标
 * 白名单命名规则:white_prefix_action_function(white 为固定前缀,prefix,action,function同上),白名单后的值可以随意给,不做判断。
 * 每个系统可以自己维护自己的配置文件也可以维护在公共配置文件,建议各自维护各自的配置。白名单和黑名单只是为了更好的控制校验范围,具体问题具体分析
 * */
/*小二后台校验名单*/
//define('Admin_Admin_admin_list','csrf_sign');
define('Admin_Admin_add_admin_name','csrf_sign');
define('Admin_Admin_updateAdminPassword','csrf_sign');
define('Admin_Admin_delete_admin','csrf_sign');
define('Admin_Admin_ajax_upPhoneNum','csrf_sign');

/*小二后台校验白名单*/
//define('white_Admin_Admin_updateAdminPassword','csrf_sign');

对应的服务端构造函数中加入校验: 

abstract class CommonAction extends Action
{

    private $admin_dict = array(
        '15833627275' => 0
    );

    /**
     * 基类初始化操作
     */
    protected function _initialize()
    {
        $this->CSRFCheck($_REQUEST['_URL_'][0],$_REQUEST['_URL_'][1],'Admin'); //csrf 校验
        $this->AdminAuth();
        $this->CheckAdminAuth();
    }
    //csrf 统一验证
    protected function CSRFCheck($class,$function,$prefix){
        $CSRFModel = new CSRFBascModel();
        $CSRFModel->crsfCheck($class,$function,$prefix);
    }
....

具体的CSRF校验类: 

/**
 * Created by PhpStorm.
 * User: wangyf
 * Date: 16-1-4
 * Time: 上午11:39
 * bref:此类为CRSF验证类,主要功能是对crsf进行验证,此类目前是根据define配置来判断接口 并将验证收拢与此类中,方便后续迁移
 */
class CSRFBascModel extends BaseModel
{
    //默认的校验名称
    protected $signKey = 'time_csrf';
    protected $signVal = 'token_csrf';
    //crsf校验,包括refer和签名认证。
    public function crsfCheck($class,$function,$prefix){
        $key =$prefix.'_'.$class.'_'.$function;
        $whiteDefined =$this->definedCheck('white_'.$key);
        //验证名单,是为了兼容系统,后期可以去除,全部采用统一的传输方式,此处第一兼容白名单,第二兼容目前已有的ajax调用
        $defined = $this->definedCheck($key);
        $sign = array();
        //排除白名单
        if($whiteDefined) return true;
        //校验 校验名单
        if($defined){
            $define = constant($key);
            $sign = isset($_REQUEST[$define])?$_REQUEST[$define]:'';
        }else{
            //如果没有 校验 不再验证
            return true;
        }
        //校验refer
        $referOk = $this->referCheck();
        if(!$referOk) ApiAjaxReturnFail('refer error');
        //校验sign
        $signOk = $this->signCheck($sign,$key);
        if(!$signOk) ApiAjaxReturnFail('sign error');

    }
    //根据key返回是否有defined定义
    public function definedCheck($key){
        $whiteDefined = defined($key);
        return $whiteDefined;
    }
    //校验签名 对sign自动解析并校验
    public function signCheck($sign,$key){
        //所有的sign 数据统一按照类中的定义取出
        if(!is_array($sign)){
            $array = explode('::',$sign);
            $sign = array();
            if(isset($array[0]))
                $sign[$this->signKey] = $array[0];
            if(isset($array[1]))
                $sign[$this->signVal] = $array[1];
        }
        if(!isset($sign[$this->signKey]) || !isset($sign[$this->signVal])) return false;
        $sign_time = $sign[$this->signKey];
        $sign_token = $sign[$this->signVal];
        /*$time = microtime(true)*1000;
        $timeLimit = ($time-$sign_time);
        //超过2000毫秒 就是超时 主要为了防止get请求、重放攻击
        if($timeLimit>2000) {
            LogItil::write('sign check error: --request interface--'.$key.'--sign--'.json_encode($sign).'--check time--'.$time.'--time difference--'. $timeLimit .'--time--'. time().' this is error time out ---end',LogItil::LEVEL_FLOW);
            return false;
        }*/
        $cookie = $_COOKIE;
        $str =trim( $cookie['PHPSESSID']);
        $str.=$sign_time;
        $result = 0;
        $k = strlen($str);
        for($i=0;$i<$k;$i++){
            $r = $this->charCodeAt($str,$i);
            $r = $r<<5;
            $r = ($r>0)?$r:$i;
            $result +=$r;
        }
        $result = $result+$sign_time;

        if(strval($result) != strval($sign_token)){
            LogItil::write('sign check error: --request interface--'.$key.'--sign--'.json_encode($sign).'--PHPSESSID--'. $str .'--time--'. time().' this is error check error ---end',LogItil::LEVEL_FLOW);
           return false;
        }
        return true;
    }
    //校验refer 公共函数,但此处考录之后重构 以及测试环境 兼容 迁移在此处实现并收拢
    public function referCheck(){
        $referer = $_SERVER['HTTP_REFERER'];

        $matchUrl = "/^https?\:\/\/([a-zA-Z0-9\-]{0,16}\.){0,3}test\.com(:8080){0,1}(\/|$)/";
        # 线上环境才验证 长度为16 其余为32 为了兼容测试环境
        if(!isonline() ){
            $matchUrl = "/^https?\:\/\/([a-zA-Z0-9\-]{0,32}\.){0,3}test\.com(:8080){0,1}(\/|$)/";
        }
        if (!preg_match($matchUrl, $referer))
        {
            LogItil::write('refer check error: --refer--'. $referer .'--match--'.$matchUrl.'--time--'. time().' this is error refer prefix/port ---end',LogItil::LEVEL_FLOW);
            return false;
        }
        /**
         * 检查非法的后缀的refer
         */
        $illegal_refer = "/((.bmp)|(.png)|(.jpeg)|(.jpg))$/";
        if (preg_match($illegal_refer, $referer)) {
            LogItil::write('refer check error: --refer--'. $referer .'--match--'.$illegal_refer.'--time--'. time().' this is error refer postfix ---end',LogItil::LEVEL_FLOW);
            return false;
        }
        return true;
    }
     /*
     * charCodeAt 函数实现 ,获取某个字符串某位置的Unicode 编码 用于签名算法
     * @author wangyf
     * @time 20151213
     * */
    public function charCodeAt($str,$index)
    {
        $char = mb_substr($str, $index, 1, 'UTF-8');

        if (mb_check_encoding($char, 'UTF-8'))
        {
            $ret = mb_convert_encoding($char, 'UTF-32BE', 'UTF-8');
            return hexdec(bin2hex($ret));
        }
        else
        {
            return null;
        }
    }
}

具体需求可以根据具体情况,对其中的refer校验部分和对应的线上线下规则进行修改,2s超时可以适当放开或改进(也许不同的服务器时间会有出入,客户端的时间也会不同),整体思路就是以上部分 此处签名算法过于简单,后续可以根据自己的需要进行改进。

js可以封装在jquery扩展中自动提交,后台依赖于黑白名单校验,我们就可以通过配置黑白名单的方法进行快速大批量的页面CSRF校验。黑白名单只是便于控制校验范围,并不是必须的。

以上只是思路,和大家分享,共同进步。


三月软件----王耀峰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用 Apache APISIX CSRF 安全插件拦截跨站点伪造攻击
ApacheAPISIX的博客
02-23 882
本文详细描述了 csrf 插件的工作方式以及使用方法,希望通过本文可以让大家对在 Apache APISIX 中使用插件拦截 CSRF 攻击有更清晰的认识,方便在实际场景中应用。
MD5批量校验工具
04-11
MD5批量校验工具
批量校验radio(转)
weixin_30580341的博客
08-19 61
function check() { var radionum=0; var a = document.getElementsByTagName("input"); for (var i=0; i<a.length; i++){ if ((a[i].type == "radio")&&(a[i]...
常见漏洞之CSRF
最新发布
weixin_54799594的博客
07-19 1180
学习网络安全过程中的小笔记
身份证批量校验的工具(只有一个HTML文件)
10-13
身份证批量校验的工具,只有一个HTML文件!!! 该工具可以校验身份证号码的内容如下: 1、是否是15或18。 2、日期是否正确。 3、身份证校验位是否正确。 4、支持带X的身份证校验
CSRF 漏洞验证
QYbkx974的博客
11-13 300
这次讲系统学习CSRF 漏洞方法二可以使用bp直接生成一个链接,比方法一要简单快捷,温馨提示不要随便点击陌生链接。
DRF 使用生coreapi成接口文档遇到的问题‘CSRFCheck‘、‘AutoSchema‘
小鱼干儿的博客
11-17 963
项目依赖版本: Django 1.11.1 Django REST framework 3.10.1 python 3.8 coreapi 2.3.3 安装依赖 pip install coreapi 使用: 项目中的 urls.py # 导入 from rest_framework.documentation import include_docs_urls # 添加路由 urlpatterns = [ url(r'docs/', include_docs_urls(title='接口文档')
django formset实现数据表的批量操作的示例代码
09-18
具体做法是,在保存数据之前,使用Django模型的validate_unique方法对对象进行唯一性校验。如果不满足唯一约束,则通过异常捕获操作捕获异常信息,并通过formset.errors[i].update(e)将错误信息添加到formset对象中...
SpringBoot实现Excel文件批量上传导入数据库
08-25
4. 将数据转换为业务对象(BO,Business Object),可能需要进行数据校验和格式转换。 5. 使用Spring Data JPA的Repository接口,将BO批量插入到数据库。 例如,对于一个简单的数据模型`Student`,你可以创建一个`...
verification:js简单的验证码生成和校验程序
06-06
验证码是Web应用中常见的一种安全机制,用于防止自动化的机器人或者恶意用户进行非法操作,如批量注册、恶意登录等。本篇文章将详细讲解如何使用JavaScript实现一个简单的验证码生成与校验程序。 首先,验证码的...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3169
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
Web安全-检测-CSRF
AG9GgG的博客
10-14 1833
背景知识 跨站域请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
CSRF的检测与防御笔记
Yisitelz的博客
08-05 510
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
csrf
songtaiwu的博客
03-06 240
在yii2.0中,默认csrf校验是开启的。页面中,使用小部件ActiveForm,默认会生成一个带有_csrf值的隐藏域。如果不用ActiveForm,也能调用Request中的方法自己生成。例子1:use yii\widgets\ActiveForm;use yii\helpers\Html; &lt;?php $form = ActiveForm::begin();?&gt;&lt;?=Ht...
CSRF
weixin_33921089的博客
04-27 212
refer : https://www.jianshu.com/p/855395f9603b https://www.cnblogs.com/ziyunfei/p/5637945.html https://www.jianshu.com/p/66f77b8f1759 CSRF跨站请求伪造 讲的是 cookie 被 hack 了. 举例 小明访问 bank.com 登入后...
PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证)
卡尔特斯
02-24 1189
一、什么是 CSRF? `CSRF (Cross-site request forgery)`, 中文名称:`跨站请求伪造`。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。 由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。 ![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a96
CSRF漏洞精讲
Kevin's Blog
05-13 1359
文章目录一、漏洞介绍1.1 含义1.2 漏洞实质1.3 攻击过程1.4 满足条件1.5 XSS和CSRF区别二、靶机实战三、漏洞利用四、防御措施 一、漏洞介绍 1.1 含义   CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、
CSRFCheck‘ object has no attribute ‘process_request‘
xiao-啸
10-01 130
报错 解决方案, 把settings下的BasicAuthentication和SessionAuthentication注释掉 效果图
当前系统未对referer进行校验,存在csrf漏洞风险
07-14
您提到当前系统未对referer进行校验,这可能存在CSRF(Cross-Site Request Forgery)漏洞风险。CSRF攻击是一种利用受害者在已经登录的情况下,通过伪造请求来执行非法操作的攻击方式。为了防止CSRF攻击,您可以考虑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值