CSRF(跨站请求伪造)解决方案
2017-11-30 20:20
204 查看
理解CSRF(跨站请求伪造)
原文出处Understanding CSRF对于Express团队的csrf模块和csurf模块的加密函数的用法我们经常有一些在意。
这些在意是莫须有的,因为他们不了解CSRF token是如何工作的。
下面快速过一遍!
读过后还有疑问?希望告诉我们错误?请开一个issue!
一个CSRF攻击是如何工作的?
在他们的钓鱼站点,攻击者可以通过创建一个AJAX按钮或者表单来针对你的网站创建一个请求:<form action="https://my.site.com/me/something-destructive" method="POST"> <button type="submit">Click here for free money!</button> </form>
这是很危险的,因为攻击者可以使用其他http方法例如
delete来获取结果。
这在用户的session中有很多关于你的网站的详细信息时是相当危险的。
如果一个不懂技术的用户遇到了,他们就有可能会输入信用卡号或者个人安全信息。
如果减轻CSRF攻击?
只使用JSON api
使用JavaScript发起AJAX请求是限制跨域的。不能通过一个简单的
<form>来发送
JSON,
所以,通过只接收JSON,你可以降低发生上面那种情况的可能性。
禁用CORS
第一种减轻CSRF攻击的方法是禁用cross-origin requests(跨域请求)。如果你希望允许跨域请求,那么请只允许
OPTIONS, HEAD, GET方法,因为他们没有副作用。
不幸的是,这不会阻止上面的请求由于它没有使用JavaScript(因此CORS不适用)。
检验referrer头部
不幸的是,检验referrer头部很麻烦,但是你可以阻止那些referrer头部不是来自你的页面的请求。
这实在不值得麻烦。
举个例子,你不能加载session如果这个请求的referrer头部不是你的服务器。
GET总是幂等的
确保你的GET请求不会修改你数据库中的相关数据。
这是一个初学者常犯的错误,使得你的应用不仅是易于遭受CSRF攻击。
避免使用POST
因为<form>只能用
GET或是
POST,
而不能使用别的方法,例如
PUT,
PATCH, DELETE
,攻击者很难有方法攻击你的网站。
不要复写方法
许多应用程序使用复写方法来在一个常规表单中使用PUT,
PATCH, 和
DELETE请求。
这会使得原先不易受攻击的方法变得易受攻击。
不要兼容旧浏览器
旧的浏览器不支持CORS或是其他安全政策。通过不兼容旧浏览器
(那些不懂技术的人用的越多,我们越容易被攻击),
你可以最小化受到攻击的可能性。
CSRF Tokens
最终的解决办法是使用CSRF tokens。CSRF tokens是如何工作的呢?
服务器发送给客户端一个token。
客户端提交的表单中带着这个token。
如果这个token不合法,那么服务器拒绝这个请求。
攻击者需要通过某种手段获取你站点的CSRF token,
他们只能使用JavaScript来做。
所以,如果你的站点不支持CORS,
那么他们就没有办法来获取CSRF token,
降低了威胁。
确保CSRF token不能通过AJAX访问到!
不要创建一个
/CSRF路由来获取一个token,
尤其不要在这个路由上支持CORS!
token需要是不容易被猜到的,
让它很难被攻击者尝试几次得到。
它不需要是密码安全的。
攻击来自从一个未知的用户的一次或者两次的点击,
而不是来自一台服务器的暴力攻击。
BREACH攻击
这也就是salt(加盐)出现的原因。Breach攻击相当简单:如果服务器通过
HTTPS+gzip多次发送相同或者相似的响应,攻击者就可以猜测响应的内容(使得HTTPS完全无用)。
解决办法?让每一个响应都有那么一点不同。
于是,CSRF tokens依据每一个不同的请求还有不同的时间来生成。
但是服务器需要知道客户端请求中带的token是否是合法的。
因此:
一般认为安全加密的CSRF tokens是防护CSRF的关键
CSRF tokens现在通常是一个秘钥或者salt的hash
了解更多:
BREACH
CRIME
Defending against the BREACH Attack
注意,CSRF没有_解决_BREACH攻击,
但是这个模块通过随机化请求来为你减轻BREACH攻击。
salt不需要加密
因为客户端知道salt!!!服务器会发送
<salt>;<token>,然后客户端会通过请求返回相同的值给服务器。服务器然后会检验
<secret>+<salt>=<token>。
salt必须跟token一起被发送给服务器,否则服务器不能验证这个token。
这是最简单的加密方式。
还有很多方法,不过他们更加复杂,犯不着那么麻烦。
创建tokens必须要快
因为每当进来一个请求他们就会被创建!像
Math.random().toString(36).slice(2)这么做也是性能足够好的!
你不需要OpenSSL来为每一个请求创建一个密码安全的token。
秘钥不需要是加密的,但需要是安全的
如果你正在使用一个数据库后端来存储session,客户端是不会知道秘钥的,因为它被存储在数据库中。如果你正在使用cookie来存储session,那么秘钥就会被存储在cookie中发送给客户端。
因此, 确保cookie sessions 使用
httpOnly那样客户端就不能通过客户端JavaScript来读取到秘钥!
当你不正确的使用CSRF token
把它们加到JSON AJAX调用中
正如上面提到的,如果你不支持CORS并且你的API是传输的严格的JSON,绝没可能在你的AJAX 调用中加入CSRF token。
通过AJAX暴露你的CSRF token
不要创建一个GET /csrf路由
并且尤其不要在这个路由上支持CORS。
不要发送CSRF token在API响应的body中。
结论
因为web正在向JSON API转移,并且浏览器变得更安全,有更多的安全策略,CSRF正在变得不那么值得关注。
阻止旧的浏览器访问你的站点,并尽可能的将你的API变成JSON API,
然后你将不再需要CSRF token。
但是为了安全起见,你还是应该尽量允许他们尤其是当难以实现的时候。
END
相关文章推荐
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- CSRF(跨站请求伪造)
- 亲测遇到dwr的A request has been denied as a potential CSRF attack错误的解决方案
- 第三百一十五节,Django框架,CSRF跨站请求伪造
- [转]关于CSRF攻击及mvc中的解决方案 [ValidateAntiForgeryToken]
- 理解CSRF(跨站请求伪造)
- 关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)
- web安全——CSRF漏洞原理和解决方案
- CSRF/XSRF:跨站请求伪造
- 【图解漏洞】图解跨站请求伪造(CSRF)原理(之二)
- Web安全相关(二):跨站请求伪造(CSRF/XSRF)
- WebGoat学习——跨站请求伪造(Cross Site Request Forgery (CSRF))
- 跨站请求伪造攻击(CSRF)的预防
- [置顶] spring boot实战之CSRF(跨站请求伪造)
- CSRF(跨站请求伪造攻击)漏洞详细说明
- Web安全相关(二):跨站请求伪造(CSRF/XSRF)
- xss跨站脚本攻击、csrf跨站请求伪造
- 对CSRF(跨站请求伪造)的理解
- Go语言实战 - revel框架教程之CSRF(跨站请求伪造)保护
- CSRF | XSRF 跨站请求伪造