必读篇!CSRF攻击原理与解决方法

admin 2023年11月24日15:47:07评论11 views字数 1794阅读5分58秒阅读模式

CSRF原理

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF具体表现为攻击者盗用了你的身份,以你的名义发送恶意请求。

必读篇!CSRF攻击原理与解决方法


CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全


CSRF攻击过程

必读篇!CSRF攻击原理与解决方法


如上图:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。CSRF攻击原理及过程如下:

1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;


2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;


3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;


4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;


5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。


CSRF攻击防护

上文简单的叙述了CSRF攻击的原理,接下来将要介绍几种CSRF攻击的防护方法:

防护方法
01
只使用JSON API

使用JavaScript发起AJAX请求是限制跨域的,并不能通过简单的 表单来发送JSON,所以,通过只接收JSON可以很大可能避免CSRF攻击。
02
验证HTTP Referer字段

根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如上文中用户User想要在网站WebA中进行转账操作,那么用户User

必须先登录WabA
然后再通过点击页面上的按钮出发转账事件

这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。

因此,要防御 CSRF 攻击,网站WebA只需要对于每一个转账请求验证其 Referer 值,如果是以网站WebA的网址开头的域名,则说明该请求是来自WebA自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。
03
在请求地址中添加takon验证

CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对。


文章转自长风实验室,文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途,如有侵权请联系删除。



关注我的朋友都知道,我经常给大家免费分享各种学习资源及干货。

但是,网络安全并不是一个简单的行业,光靠一个人看书是不行的,为了让真正想学习网络安全的朋友,给你们提供高效、专业、系统的学习模式,马哥教育经过调研走访安全大厂,精心设计了《网络安全工程师》的系统学习课程。

必读篇!CSRF攻击原理与解决方法

包括从0到1的安全干货、项目实战,还有岗位内推、群内答疑等各种服务,让你快速成长为一名网络安全工程师。

如果你对网络安全感兴趣,或者正在学习网络安全,欢迎扫码备注【公众号+安全试听】,免费听听这门课程,是真的很不错。

必读篇!CSRF攻击原理与解决方法

原文始发于微信公众号(网络安全资源库):必读篇!CSRF攻击原理与解决方法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月24日15:47:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   必读篇!CSRF攻击原理与解决方法https://cn-sec.com/archives/2236179.html

发表评论

匿名网友 填写信息