`
zengshaotao
  • 浏览: 791736 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

CSRF攻击原理及防御

 
阅读更多

CSRF攻击原理及防御

 

一、CSRF攻击原理

  CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。想要深入理解CSRF的攻击特性我们有必要了解一下网站session的工作原理。 

  session我想大家都不陌生,无论你用.net或PHP开发过网站的都肯定用过session对象,然而session它是如何工作的呢?如果你不清楚请往下看。 
先问个小问题:如果我把浏览器的cookie禁用了,大家认为session还能正常工作吗? 

  答案是否定的,我在这边举个简单的例子帮助大家理解session。 
比如我买了一张高尔夫俱乐部的会员卡,俱乐部给了我一张带有卡号的会员卡。我能享受哪些权利(比如我是高级会员卡可以打19洞和后付费喝饮料,而初级会员卡只能在练习场挥杆)以及我的个人资料都是保存在高尔夫俱乐部的数据库里的。我每次去高尔夫俱乐部只需要出示这张高级会员卡,俱乐部就知道我是谁了,并且为我服务了。

  这里我们的高级会员卡卡号 = 保存在cookie的sessionid; 
而我的高级会员卡权利和个人信息就是服务端的session对象了。 

  我们知道http请求是无状态的,也就是说每次http请求都是独立的无关之前的操作的,但是每次http请求都会将本域下的所有cookie作为http请求头的一部分发送给服务端,所以服务端就根据请求中的cookie存放的sessionid去session对象中找到该会员资料了。 
当然session的保存方法多种多样,可以保存在文件中,也可以内存里,考虑到分布式的横向扩展我们还是建议把它保存在第三方媒介中,比如redis或者mongodb。 

  我们理解了session的工作机制后,CSRF也就很容易理解了。CSRF攻击就相当于恶意用户A复制了我的高级会员卡,哪天恶意用户A也可以拿着这张假冒的高级会员卡去高尔夫俱乐部打19洞,享受美味的饮料了,而我在月底就会收到高尔夫俱乐部的账单! 

  了解CSRF的机制之后,危害性我相信大家已经不言而喻了,我可以伪造某一个用户的身份给其好友发送垃圾信息,这些垃圾信息的超链接可能带有木马程序或者一些欺骗信息(比如借钱之类的),如果CSRF发送的垃圾信息还带有蠕虫链接的话,那些接收到这些有害信息的好友万一打开私信中的连接就也成为了有害信息的散播着,这样数以万计的用户被窃取了资料种植了木马。整个网站的应用就可能在瞬间奔溃,用户投诉,用户流失,公司声誉一落千丈甚至面临倒闭。曾经在MSN上,一个美国的19岁的小伙子Samy利用css的background漏洞几小时内让100多万用户成功的感染了他的蠕虫,虽然这个蠕虫并没有破坏整个应用,只是在每一个用户的签名后面都增加了一句“Samy 是我的偶像”,但是一旦这些漏洞被恶意用户利用,后果将不堪设想,同样的事情也曾经发生在新浪微博上面。 

  举例: 

  CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情。

 

二、CSRF防御

  • 通过 referer、token 或者 验证码 来检测用户提交。
  • 尽量不要在页面的链接中暴露用户隐私信息。
  • 对于用户修改删除等操作最好都使用post 操作 。
  • 避免全站通用的cookie,严格设置cookie的域。
分享到:
评论

相关推荐

    简解:CSRF的原理及防御

    简解:CSRF的原理及防御

    webcsrf攻击的应对之道

    #### 三、CSRF攻击的原理 CSRF攻击主要依赖于浏览器的自动认证机制。当用户登录某个网站后,该网站会在用户的浏览器中设置Cookie,用于保存用户的登录状态。当用户访问另一个恶意网站时,如果该恶意网站包含了指向...

    10-CSRF的攻击与防御1

    在讨论CSRF攻击时,我们需要理解其基本原理、常见场景、危害以及防御策略。 CSRF攻击的原理是,攻击者构造一个恶意的请求链接或表单,当受害者在不知情的情况下点击或访问这个链接时,浏览器会附带受害者已登录网站...

    浅谈CSRF攻击方式

    CSRF攻击的基本原理是利用受害者的会话状态来发起请求。通常情况下,攻击者会在一个看似无害的网站(即危险网站B)中嵌入一段恶意代码,当受害者访问该网站时,这段代码会自动触发对目标网站A的恶意请求。 以示例1...

    基于JSP的Java Web项目的CSRF防御示例

    **CSRF攻击原理** CSRF攻击通常发生在用户已登录一个网站并保持会话的情况下,攻击者通过构造恶意链接或表单,诱使用户在不知情的情况下发送伪造的HTTP请求。这些请求通常执行如转账、修改密码等重要操作,因为...

    5分钟科普CSRF攻击与防御,Web安全的第一防线

    目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...

    9、CSRF原理.pdf

    CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击的原理和防御方法: CSRF攻击原理 1. 用户...

    csrf绕过Referer技巧-01

    CSRF攻击是Web应用安全中一个常见的问题, Referer头可以用来防御CSRF攻击,但是攻击者可以通过绕过Referer技巧来欺骗服务器。因此,Web开发者需要采取多种防御措施来防御CSRF攻击,例如验证Token、双重验证、验证码...

    详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击

    **四、CSRF攻击原理及防御措施** CSRF攻击依赖于用户已登录的状态和浏览器自动发送的Cookie。攻击者可能会在用户不知情的情况下,构造携带用户Cookie的恶意请求。为了防止这种情况,Django的CSRF中间件会在每个请求...

    Elgg 系统 CSRF 攻击实验-内含源码以及设计说明书(可以自己运行复现).zip

    2. **了解 CSRF**:深入学习 CSRF 攻击的原理,包括攻击者的动机、攻击流程以及如何防范。 3. **漏洞检测**:使用工具或手动检查 Elgg 的源码,寻找可能导致 CSRF 攻击的接口。重点检查涉及到敏感操作的API和表单...

    CSRF攻击技术

    ### CSRF攻击原理 在CSRF攻击中,攻击者首先需要诱使受害者(已登录目标Web应用的用户)访问包含恶意请求的页面。这个恶意请求通常是伪装成目标网站的合法请求,包括了受害者的身份验证信息。由于受害者已经登录了...

    CSRF知识点·总结.pdf

    值得注意的是,虽然使用POST方法提交表单在一定程度上能够提供更好的安全性,但这并不能完全防御CSRF攻击。攻击者仍可以通过构造带有隐藏字段的表单,或者通过JavaScript代码来模拟表单提交行为,绕过POST方法的限制...

    SpringSecurity的防Csrf攻击实现代码解析

    Csrf 攻击原理: 1. 攻击者构造恶意的 HTML 表单,例如:<form action="http://example.com/transfer" method="post"><input type="hidden" name="amount" value="1000"/> 2. 用户在不知情的情况下,点击该表单,...

    信息安全技术:CSRF攻击简介.pptx

    CSRF攻击的基本原理是,攻击者通过构造一个看似合法的请求,让用户在不知情的情况下点击或访问,这个请求实际上包含了攻击者的恶意指令。由于用户当前的会话仍然有效,Web应用无法区分这个请求是来自真正的用户还是...

    跨站请求伪造-CSRF防护方法

    下面将对CSRF攻击原理和防御方法进行详细的介绍。 CSRF攻击原理: CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 1. 用户C打开...

    挖掘CSRF之道

    ### 挖掘CSRF之道 #### 一、CSRF概念与原理 **跨站请求伪造(Cross-Site Request Forgery,简称CSRF)**是一种针对Web应用的...开发者应当根据应用场景的不同,选择合适的防御策略来保护应用程序免受CSRF攻击的影响。

    pikachu,dvwa的csrf详细步骤

    总结,了解和掌握CSRF攻击原理及防御措施是保障Web应用安全的重要一环。开发者应当在设计和实现过程中考虑这些安全因素,确保用户在网站上的操作不会被未经授权的第三方滥用。对于初学者来说,通过Pikachu和DVWA这样...

    防止CSRF攻击.txt

    ### 防止CSRF攻击 #### 1. 引言 跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种攻击方法,它迫使已登录的Web应用程序用户在其当前已经认证的情况下执行未授权的操作。攻击者通过在用户浏览器上发起...

    Python Django框架防御CSRF攻击的方法分析

    首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单中添加一个名为`<input type="hidden" name="csrfmiddlewaretoken" value="..." />...

    CSRF demo代码

    通过分析和学习这个代码,你可以深入理解CSRF攻击的工作原理以及如何在实际应用中进行有效的防护。如果你打算使用或分析这个代码,确保在安全的环境中进行,以防止对真实系统造成潜在风险。同时,时刻保持代码库和...

Global site tag (gtag.js) - Google Analytics