什么是CSRF?
举个栗子,比如我们需要在某个博客上删除一个文章,攻击者首先在自己的域构造一个页面,使用了一个img标签,其地址指向了删除博客的链接。攻击者诱使目标用户,也就是博客主访问这个页面,该用户看到了一张无法显示的一张图片,这时候在回头看看该博客的这篇文章,发现文章已经被删除了,原来刚才的图片链接香博客服务器发送了一个get请求,而这次请求,导致了博客上的一边文章被删除了。在整个攻击过成功,攻击者仅仅诱使用户访问了一个页面,就以该用户身份的第三方站点里执行了一次操作。这个删除博客文章的请求都是攻击者所伪造的,所以这种攻击就叫做“跨站点请求伪造”。
浏览器cookie策略
攻击者伪造的请求之所以能够被服务器验证通过,是因为用户的浏览器发送了cookie的缘故。浏览器所持有的cookie分为两种:一种是‘Session Cookie’,又称“临时Cookie”:另一种是“Third-party Cookie”,也称为“本地Cookie”。两者的区别在于,后者是服务器在Set-Cookie时制定了Expire实践,只有到了Expire时间后Cookie才会失效,所以这种Cookie才会失效,所以这种Cookie会保存在本地:而Session Cookie则没有制定Expire时间,所以浏览器关闭后,Session Cookie就失效了。
在浏览网站过成功如果一个网站设置了Session Cookie,那么在浏览器进程的生命周期内,即使浏览器新打开了Tab页, Session Cookie也都是有效的。Session Cookie保存在浏览器进程的内存空间中;而Third-party Cookie则保存在本地。
在当前的主流浏览器中,默认会拦截Third=party Cookie的有:IE6、IE7、IE8、safari;不会拦截的有火狐2、火狐3、oprea、Google Chrome、Android等。
但若CSRF攻击的目标并不需要使用Cookie,则也不必顾虑浏览器的Cookie策略了。
P3P头的副作用
尽管有些CSRF攻击实施起来不需要验证,不需要发送Cookie,但是不可否认的是,大部分敏感或重要的操作是躲藏认证之后的。因此浏览器第三方Cookie的发送,在某些程度上来说是降低了CSRF攻击的威力。可是这一情况在P3P头介入后变得复杂起来。P3P header是w3c制定的一项关于隐私的标准,如果网站返回浏览器的Http的头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。
举个栗子,前端通过iframe去加载一段后端代码,后端代码尝试设置set-Cookie,浏览器会受到一个cookie,如果setcookie成功,再次请求该页面时,浏览器会发送刚才收到的Cookie。可是由于跨域显示,set-cookie是不会成功的,所以无法发送刚才收到Cookie。这里无论时临时Cookie还是本地Cookie都一样。第二次发包,只是再次接收到Cookie,上次set-COOKIE的值并不曾发送,说明没有Set-Cookie成功。但是这种情况在加入P3P头后会有所改变,P3P头允许跨域访问隐私数据,从而可以跨域Set-Cookie成功。
P3P头的介入改变了隐私策略,从而使得iframe,script等标签在IE中不在拦截第三方Cookie的发送。P3P头只需要由网站设置一次即可,之后每次请求都会遵循此策略,而不需要再重复设置。
P3P头目前是网站的应用中被广泛应用,因此CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略。
请求方式
在CSRF攻击流行之初,曾经认为只能由Get请求发起的,因此很多开发把一些重要操作改成了post请求,但是这种观点是错误的,主要原因是因为大多数的CSRF的攻击发起都是通过标签属性,这类标签只能够发起一次get请求,而不能发起post请求。
可行的CSRF的防御
1. 验证码
验证码是被认为对抗CSRF攻击最简洁有效的防御方法。强制用户必须与应用进行交互,才能完成最终请求。因此,验证码能够很好的遏制CSRF。但是非万能的,不可能在用户的所有操作上加上验证码,只能当做辅助的一种手段,而不能作为最重要的解决方案。
2. Referer Check
这种方法可以被用于检查请求是否来自合法的“源”。 常见的互联网应用,页面与页面之间都具有一定的逻辑关系,这就是使得每个正常请求的Referer具有一定的规律。缺陷在于,服务器并非什么时候都能拿到Referer。很多用户处于隐私保护考虑,限制了Referer的发送。在某些情况 下,浏览器也不会发送Referer,比如从Https跳转到Http,出于安全考虑,浏览器也不会发送Referer。所以该方法也不能作为主要手段。
Token
CSRF的本质:重要操作的所有参数都可以被攻击者猜测到。攻击者只有预测出URL的所有参数与参数值,才能成功地构造出一个伪造的请求;反之,攻击者无法攻击成功。因此我们需要一个更加通用的解决方案帮助解决这个问题,这个方案就是使用token。
token是随机的,也是不可预测的。token需要足够随机,必须使用足够安全的随机数生成算法,或者采用真随机数生成器。token应该相当于一个‘秘密’,为用户与服务器所共同拥有的,不能被第三者知晓。在实际应用中,token可以放在用户的Session,cookie,localstorage中,由于token存在,攻击者无法在构造出一个完成的url实施CSRF攻击。 token需要同时放在表单和Session中,在提交请求时,服务器只需验证表单中Token与用户Session中的Token是否一致,如果一致,则认为是合法请求;如果不一致,或者有一个为空,则认为请求不合法,可能发生了CSRF。
防御CSRF的token,是根据 “不可预测性原则”的设计方案,所以token生成一定要足够随机,需要使用安全的随机数生成器生成token。token目的不是为了防止重复提交。所以为了使用方便,可以允许在一个用户有效生命周期内,在token消耗掉前都使用同一个token。但是如果用户已经提交表单,则这个token已经消耗掉,应该再次重新生成一个新的token。
使用token时应该注意token的保密性,token如果出现在某个页面的url中,则可能会通过Referer的方式泄露。使用token时,应该尽量吧token放在表单中,把get变为post,避免token泄露。
CSRF的token仅仅用于对抗CSRF攻击,当网站还同时存在XSS漏洞时,这个方案就会变得无效,因为Xss可以模拟客户浏览器执行任意操作。在XSS攻击下,攻击者完全可以请求页面后,读出页面内容的token值,然后在构造出一个合法的请求。这个过程称为XSRF,这里不做详细阐述。
各位大佬,献丑了!!
网络安全学习路线 (2024最新整理)
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言扣1或者关注我我后台会主动发给你!
第一阶段:安全基础
网络安全行业与法规
Linux操作系统
计算机网络
HTML PHP Mysql Python基础到实战掌握
第二阶段:信息收集
IP信息收集
域名信息收集
服务器信息收集
Web网站信息收集
Google hacking
Fofa网络安全测绘
第三阶段:Web安全
SQL注入漏洞
XSS
CSRF漏洞
文件上传漏洞
文件包含漏洞
SSRF漏洞
XXE漏洞
远程代码执行漏洞
密码暴力破解与防御
中间件解析漏洞
反序列化漏洞
第四阶段:渗透工具
MSF
Cobalt strike
Burp suite
Nessus Appscea AWVS
Goby XRay
Sqlmap
Nmap
Kali
第五阶段:实战挖洞
漏洞挖掘技巧
Src
Cnvd
众测项目
热门CVE漏洞复现
靶场实战
学习资料的推荐
学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档,大家不想一个一个去找的话,可以参考一下这些资料!
1.视频教程
2.SRC技术文档&PDF书籍
3.大厂面试题
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
