跨站请求伪造防御

title: 跨站请求伪造防御

date: 2017-08-14 16:22:41

categories: 网络安全

tags: csrf

---

背景

最近安全问题越来越多，公司软件也面临出海，刚开始公司软件大部分部在公安内网，安全问题没有太多重视。最近买了安全公司的扫描软件，一扫扫出很多安全问题，其中有一个是跨站请求伪造问题。

常见的攻击模式

GET请求利用

使用GET请求方式的利用是最简单的一种利用方式，其隐患的来源主要是由于在开发系统的时候没有按照HTTP动词的正确使用方式来使用造成的。对于GET请求来说，它所发起的请求应该是只读的，不允许对网站的任何内容进行修改。

但是事实上并不是如此，很多网站在开发的时候，研发人员错误的认为GET/POST的使用区别仅仅是在于发送请求的数据是在Body中还是在请求地址中，以及请求内容的大小不同。对于一些危险的操作比如删除文章，用户授权等允许使用GET方式发送请求，在请求参数中加上文章或者用户的ID，这样就造成了只要请求地址被调用，数据就会产生修改。

现在假设攻击者（用户ID=121）想将自己的身份添加为网站的管理员，他在网站A上面发了一个帖子，里面包含一张图片，其地址为 *http://a.com/user/grant_super_user/121*

<img src="http://a.com/user/grant_super_user/121" />

设想管理员看到这个帖子的时候，这个图片肯定会自动加载显示的。于是在管理员不知情的情况下，一个赋予用户管理员权限的操作已经悄悄的以他的身份执行了。这时候攻击者121就获取到了网站的管理员权限。

POST请求利用

相对于GET方式的利用，POST方式的利用更加复杂一些，难度也大了一些。攻击者需要伪造一个能够自动提交的表单来发送POST请求。

<script>
$(function() {
$('#CSRF_forCSRFm').trigger('submit');
});
</script>
<form action="http://a.com/user/grant_super_user"  method="post">
<input name="uid" value="121" type="hidden">
</form>

只要想办法实现用户访问的时候自动提交表单就可以了。

网上的方案

验证 HTTP Referer 字段
在请求地址中添加 token 并验证
在 HTTP 头中自定义属性并验证

三种方案优缺点

验证 HTTP Referer 字段

容易篡改，低版本浏览器不安全，隐私软件可能禁用referer
公司软件没有域名，无法针对域名进行过滤

在请求地址/参数中添加token并验证

改动接口较多
难以保证token本身安全性

在HTTP 头中自定义属性并验证

改动很大 几乎要重写网站

自己的方案

由于写代码的时候post get使用比较规范，get方法用于获取资源，没有对后台数据修改的，所以扫描的问题绝大多数在post表单提交

针对扫描软件的扫描报告，跨站脚本攻击都是由form表单提交的接口发起

为了能减少对代码的修改，采用注解加拦截器的方式，这样做的好处是通过拦截器和注解，对特定方法做出一致性处理，减少代码量

具体流程图如下

关键代码CSRFInterceptor

public class CSRFInterceptor implements HandlerInterceptor {

private final Logger logger = LoggerFactory.getLogger(CSRFInterceptor.class);

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
HandlerMethod handlerMethod = (HandlerMethod)handler;
Method method = handlerMethod.getMethod();
VerifyCSRFToken annotation = method.getAnnotation(VerifyCSRFToken.class);
if (annotation != null && annotation.verify()) {
String token = (String)request.getParameter(Constants.CSRF_TOKEN);
if (token == null || !token.equals(request.getSession(true).getAttribute(Constants.CSRF_TOKEN))) {
RestResult restResult = new RestResult(false, "CSRF Token Verify fail");
restResult.putError("message" ,"CSRF Token 验证失败，请刷新页面");
response.setContentType("text/html; charset=UTF-8");
response.setCharacterEncoding("UTF-8");
response.getWriter().append(JsonUtlis.getJsonUtlis().object2String(restResult));
return false;
}
}
return true;
}

@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

}

@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

}
}

关键代码VerifyCSRFToken

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface VerifyCSRFToken {
boolean verify() default true;
}

关键代码Controller

public class ScriptController {

private static final ObjectMapper mapper = new ObjectMapper();

private Logger logger = LoggerFactory.getLogger(ScriptController.class);

@GetMapping(value = "")
public String indexView(HttpServletRequest request, Model model) {
model.addAttribute(Constants.CSRF_TOKEN, request.getSession(false).getAttribute(Constants.CSRF_TOKEN));
return "script/script";
}

@PostMapping(value = "/upload")
@VerifyCSRFToken
public @ResponseBody RestResult uploadScript(@RequestParam("file")MultipartFile file, String type,  HttpServletResponse response){
}

参考资料
https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ https://segmentfault.com/a/1190000008505616 http://blog.csdn.net/jrn1012/article/details/52750883