CSRF攻擊與防御
責(zé)編:admin |2015-04-10 10:49:17概述
CSRF是Cross Site Request Forgery的縮寫,中文是跨站點(diǎn)請(qǐng)求偽造;接下來將和大家分享這種攻擊的原理、實(shí)施的方法、以及防御的幾種方案;
CSRF攻擊的原理
通過在惡意網(wǎng)站部署好攻擊代碼和相關(guān)數(shù)據(jù),然后引導(dǎo)目標(biāo)網(wǎng)站的已經(jīng)授權(quán)的用戶進(jìn)入惡意網(wǎng)站,由于瀏覽器已經(jīng)獲得了目標(biāo)網(wǎng)站的用戶授權(quán)票據(jù),因此惡意網(wǎng)站就可以執(zhí)行“事先”部署好的代碼向目標(biāo)網(wǎng)站提交數(shù)據(jù)使目標(biāo)網(wǎng)站執(zhí)行一些寫的操作,比如刪除目標(biāo)網(wǎng)站的數(shù)據(jù)、向目標(biāo)網(wǎng)站提交垃圾數(shù)據(jù)等,然而這個(gè)過程是在后臺(tái)默默執(zhí)行的,用戶毫不知情。
舉個(gè)例子說明一下吧:
假設(shè)www.t.com是目標(biāo)網(wǎng)站,有一個(gè)頁面www.t.com/blog/delete.aspx?id=123 是刪除ID為123的博文操作;
那么攻擊者就可以在惡意網(wǎng)站www.a.com/csrfpage.aspx頁面部署下面的代碼:
<form id=”csrffrm” action=”http://www.t.com/blog/delete.aspx” target=”hideiframe”><input name=”id” type=”hidden” value=”123″ /></form>
<iframe name=”hideiframe” style=’display:none’></iframe>
<script>
document.getElementById(“csrffrm”).submit();
</script>
然后狡猾的攻擊者就可以通過各種方式吸引已經(jīng)成功登陸www.t.com的用戶點(diǎn)擊進(jìn)入www.a.com/csrfpage.aspx頁面,最后惡意代碼被執(zhí)行,用戶的博文ID為123的文章在不知不覺中被攻擊者刪除了
CSRF攻擊的條件
根據(jù)上面的原理可以看出要實(shí)施CSRF攻擊需要滿足下面幾個(gè)條件:
一、需要了解目標(biāo)系統(tǒng)的目錄和相關(guān)參數(shù)名稱,其實(shí)要滿足這個(gè)條件并不困難,攻擊者通過相關(guān)的“系統(tǒng)目錄彩虹表”進(jìn)行檢測(cè)又或者攻擊者本身也是目標(biāo)系統(tǒng)的用戶之一,那么了解目標(biāo)系統(tǒng)就更容易了;
二、需要一個(gè)執(zhí)行惡意代碼的網(wǎng)站,這個(gè)網(wǎng)站有可能是攻擊者事先部署好的網(wǎng)站,或者惡意網(wǎng)站存在XSS漏洞剛好被攻擊者利用;
三、需要目標(biāo)系統(tǒng)的用戶登錄并且獲得了合法的操作權(quán)限,同時(shí)用戶被誘惑進(jìn)入了惡意的網(wǎng)站;
要實(shí)施CSRF攻擊要滿足這三個(gè)條件,由于這些條件并不是那么容易被滿足,所以比較容易被開發(fā)者所忽略。
CSRF攻擊的防御策略
1.使用驗(yàn)證碼
記得之前的12306網(wǎng)站上每次查票都要輸入惡心的驗(yàn)證碼,之所以要設(shè)計(jì)這個(gè)驗(yàn)證碼它的目的是為了防止機(jī)器刷票,當(dāng)然也能有效的預(yù)防CSRF攻擊,但是如果每個(gè)操作都要用戶輸入驗(yàn)證碼用戶可能會(huì)崩潰掉,用戶體驗(yàn)效果非常的不好;
2.檢查Referer(來源)
除了驗(yàn)證碼還可以檢查Referer是否來自于同一個(gè)源,如果Referer是同源的那么這個(gè)操作是可信的,這個(gè)方法通常用于防止圖片盜鏈,但是有些時(shí)候Referer并不是那么的可靠,服務(wù)器并不是能夠百分之百的獲得,比如如果用戶啟用了瀏覽器的隱私策略那么瀏覽器就有可能阻止發(fā)送Referer,服務(wù)器就有可能無法獲取到這個(gè)值,所以這個(gè)方式不符合科學(xué)嚴(yán)謹(jǐn)?shù)脑瓌t;
3.使用token(隨機(jī)令牌)
服務(wù)器生成一個(gè)隨機(jī)令牌,并保存起來,可以保存在服務(wù)端的session集合里邊,或者保存在客戶端的cookie、或者頁面視圖狀態(tài)中都是可以的,由于瀏覽器的同源策略,惡意網(wǎng)站無法讀取到目標(biāo)網(wǎng)站的cookie和頁面視圖狀態(tài),然后把隨機(jī)令牌隨表單一起提交并在服務(wù)端驗(yàn)證隨機(jī)令牌的有效性;
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!