CSRF跨域请求伪造
2016-10-18 18:30
85 查看
CSRF的全称是“跨站请求伪造”( Cross-site request forgery),而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户。但是,它们的攻击类型是不同维度上的分类。CSRF顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在
cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份cookie的浏览器端)发起用户所不知道的请求。
CSRF攻击举例:
银行网站A,它以GET请求来完成银行转账的操作,如:http://www.mybank.com/Transfer.php?toBankId=11&money=1000
危险网站B,它里面有一段HTML的代码如下:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块......
为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中的<img>以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com/Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账操作),所以就立刻进行转账操作......
CSRF攻击是源于WEB的隐式身份验证机制。WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。
是否可以效仿应对 XSS的做法--过滤用户输入, 不允许发布这种含有站内操作 URL 的链接?这么做可能会有点用,但阻挡不了 CSRF,因为攻击者可以通过 QQ 或其他网站把这个链接发布上去,为了伪装可能还使用 bit.ly 压缩一下网址,这样点击到这个链接的用户还是一样会中招。所以对待 CSRF,我们的视角需要和对待 XSS 有所区别。CSRF 并不一定要有站内的输入,因为它并不属于注入攻击,而是请求伪造。被伪造的请求可以是任何来源,而非一定是站内。所以我们唯有一条路可行,就是过滤请求的处理者。
以下为可行的抵御攻击的策略:
1. 客户端提交表格时增加伪随机数的hash值,在服务端进行hash验证。
2. 使用“请求令牌”,身份认证从cookie方式换成token认证等。
3. 增加验证码。
4. 增加http的Referer标示,来判断发起请求的是同域还是跨域。
总之,防御策略的核心就是识别是否是跨域请求,一般敏感的重要的请求禁止跨站请求,在表单中增加hash判断是否是用户通过合法表单提交。
cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份cookie的浏览器端)发起用户所不知道的请求。
CSRF攻击举例:
银行网站A,它以GET请求来完成银行转账的操作,如:http://www.mybank.com/Transfer.php?toBankId=11&money=1000
危险网站B,它里面有一段HTML的代码如下:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块......
为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中的<img>以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com/Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账操作),所以就立刻进行转账操作......
CSRF攻击是源于WEB的隐式身份验证机制。WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。
是否可以效仿应对 XSS的做法--过滤用户输入, 不允许发布这种含有站内操作 URL 的链接?这么做可能会有点用,但阻挡不了 CSRF,因为攻击者可以通过 QQ 或其他网站把这个链接发布上去,为了伪装可能还使用 bit.ly 压缩一下网址,这样点击到这个链接的用户还是一样会中招。所以对待 CSRF,我们的视角需要和对待 XSS 有所区别。CSRF 并不一定要有站内的输入,因为它并不属于注入攻击,而是请求伪造。被伪造的请求可以是任何来源,而非一定是站内。所以我们唯有一条路可行,就是过滤请求的处理者。
以下为可行的抵御攻击的策略:
1. 客户端提交表格时增加伪随机数的hash值,在服务端进行hash验证。
2. 使用“请求令牌”,身份认证从cookie方式换成token认证等。
3. 增加验证码。
4. 增加http的Referer标示,来判断发起请求的是同域还是跨域。
总之,防御策略的核心就是识别是否是跨域请求,一般敏感的重要的请求禁止跨站请求,在表单中增加hash判断是否是用户通过合法表单提交。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CSRF跨域请求伪造
- 关于CSRF跨域请求伪造的解决办法
- 跨站点请求伪造(CSRF)
- 防御CSRF的方法有哪些(一) HTTP 头中自定义属性并验证 CSRF跨站域请求伪造攻击
- 跨站点伪造请求 (CSRF)
- web安全(2)-- CSRF(跨站点请求伪造)
- 跨站点请求伪造(CSRF)--简介
- Asp.net安全架构之3:CSRF(跨站点请求伪造)
- 跨站请求伪造 CSRF / XSRF<二:应用>
- ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击
- Asp.net安全架构之3:CSRF(跨站点请求伪造)
- 我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击
- mvc3.0防止跨站点请求伪造(CSRF)攻击
- CSRF跨站点请求伪造
- csrf请求伪造
- ValidateAntiForgeryToken 防止CSRF(跨网站请求伪造)
- 第二百七十一节,Tornado框架-CSRF防止跨站post请求伪造
- 跨网站请求伪造CSRF(Cross Site Request Forgeries)
- csrf_token跨站请求伪造和保护验证
- ASP.NET Core 防止跨站请求伪造(XSRF\/CSRF)攻击