学前端网络安全这块还不懂?细说CSRF

news2024/12/24 0:05:48

什么是CSRF?

举个栗子,比如我们需要在某个博客上删除一个文章,攻击者首先在自己的域构造一个页面,使用了一个img标签,其地址指向了删除博客的链接。攻击者诱使目标用户,也就是博客主访问这个页面,该用户看到了一张无法显示的一张图片,这时候在回头看看该博客的这篇文章,发现文章已经被删除了,原来刚才的图片链接香博客服务器发送了一个get请求,而这次请求,导致了博客上的一边文章被删除了。在整个攻击过成功,攻击者仅仅诱使用户访问了一个页面,就以该用户身份的第三方站点里执行了一次操作。这个删除博客文章的请求都是攻击者所伪造的,所以这种攻击就叫做“跨站点请求伪造”。

浏览器cookie策略

攻击者伪造的请求之所以能够被服务器验证通过,是因为用户的浏览器发送了cookie的缘故。浏览器所持有的cookie分为两种:一种是‘Session Cookie’,又称“临时Cookie”:另一种是“Third-party Cookie”,也称为“本地Cookie”。两者的区别在于,后者是服务器在Set-Cookie时制定了Expire实践,只有到了Expire时间后Cookie才会失效,所以这种Cookie才会失效,所以这种Cookie会保存在本地:而Session Cookie则没有制定Expire时间,所以浏览器关闭后,Session Cookie就失效了。

在浏览网站过成功如果一个网站设置了Session Cookie,那么在浏览器进程的生命周期内,即使浏览器新打开了Tab页, Session Cookie也都是有效的。Session Cookie保存在浏览器进程的内存空间中;而Third-party Cookie则保存在本地。

在当前的主流浏览器中,默认会拦截Third=party Cookie的有:IE6、IE7、IE8、safari;不会拦截的有火狐2、火狐3、oprea、Google Chrome、Android等。

但若CSRF攻击的目标并不需要使用Cookie,则也不必顾虑浏览器的Cookie策略了。

P3P头的副作用

尽管有些CSRF攻击实施起来不需要验证,不需要发送Cookie,但是不可否认的是,大部分敏感或重要的操作是躲藏认证之后的。因此浏览器第三方Cookie的发送,在某些程度上来说是降低了CSRF攻击的威力。可是这一情况在P3P头介入后变得复杂起来。P3P header是w3c制定的一项关于隐私的标准,如果网站返回浏览器的Http的头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。

举个栗子,前端通过iframe去加载一段后端代码,后端代码尝试设置set-Cookie,浏览器会受到一个cookie,如果setcookie成功,再次请求该页面时,浏览器会发送刚才收到的Cookie。可是由于跨域显示,set-cookie是不会成功的,所以无法发送刚才收到Cookie。这里无论时临时Cookie还是本地Cookie都一样。第二次发包,只是再次接收到Cookie,上次set-COOKIE的值并不曾发送,说明没有Set-Cookie成功。但是这种情况在加入P3P头后会有所改变,P3P头允许跨域访问隐私数据,从而可以跨域Set-Cookie成功。

P3P头的介入改变了隐私策略,从而使得iframe,script等标签在IE中不在拦截第三方Cookie的发送。P3P头只需要由网站设置一次即可,之后每次请求都会遵循此策略,而不需要再重复设置。

P3P头目前是网站的应用中被广泛应用,因此CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略。

请求方式

在CSRF攻击流行之初,曾经认为只能由Get请求发起的,因此很多开发把一些重要操作改成了post请求,但是这种观点是错误的,主要原因是因为大多数的CSRF的攻击发起都是通过标签属性,这类标签只能够发起一次get请求,而不能发起post请求。

可行的CSRF的防御

1. 验证码

验证码是被认为对抗CSRF攻击最简洁有效的防御方法。强制用户必须与应用进行交互,才能完成最终请求。因此,验证码能够很好的遏制CSRF。但是非万能的,不可能在用户的所有操作上加上验证码,只能当做辅助的一种手段,而不能作为最重要的解决方案。

2. Referer Check

这种方法可以被用于检查请求是否来自合法的“源”。 常见的互联网应用,页面与页面之间都具有一定的逻辑关系,这就是使得每个正常请求的Referer具有一定的规律。缺陷在于,服务器并非什么时候都能拿到Referer。很多用户处于隐私保护考虑,限制了Referer的发送。在某些情况 下,浏览器也不会发送Referer,比如从Https跳转到Http,出于安全考虑,浏览器也不会发送Referer。所以该方法也不能作为主要手段。

Token

CSRF的本质:重要操作的所有参数都可以被攻击者猜测到。攻击者只有预测出URL的所有参数与参数值,才能成功地构造出一个伪造的请求;反之,攻击者无法攻击成功。因此我们需要一个更加通用的解决方案帮助解决这个问题,这个方案就是使用token。

token是随机的,也是不可预测的。token需要足够随机,必须使用足够安全的随机数生成算法,或者采用真随机数生成器。token应该相当于一个‘秘密’,为用户与服务器所共同拥有的,不能被第三者知晓。在实际应用中,token可以放在用户的Session,cookie,localstorage中,由于token存在,攻击者无法在构造出一个完成的url实施CSRF攻击。 token需要同时放在表单和Session中,在提交请求时,服务器只需验证表单中Token与用户Session中的Token是否一致,如果一致,则认为是合法请求;如果不一致,或者有一个为空,则认为请求不合法,可能发生了CSRF。

防御CSRF的token,是根据 “不可预测性原则”的设计方案,所以token生成一定要足够随机,需要使用安全的随机数生成器生成token。token目的不是为了防止重复提交。所以为了使用方便,可以允许在一个用户有效生命周期内,在token消耗掉前都使用同一个token。但是如果用户已经提交表单,则这个token已经消耗掉,应该再次重新生成一个新的token。

使用token时应该注意token的保密性,token如果出现在某个页面的url中,则可能会通过Referer的方式泄露。使用token时,应该尽量吧token放在表单中,把get变为post,避免token泄露。

CSRF的token仅仅用于对抗CSRF攻击,当网站还同时存在XSS漏洞时,这个方案就会变得无效,因为Xss可以模拟客户浏览器执行任意操作。在XSS攻击下,攻击者完全可以请求页面后,读出页面内容的token值,然后在构造出一个合法的请求。这个过程称为XSRF,这里不做详细阐述。

各位大佬,献丑了!!

网络安全学习路线 (2024最新整理)

 如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言扣1或者关注我我后台会主动发给你! 

第一阶段:安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段:信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段:Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段:渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段:实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档,大家不想一个一个去找的话,可以参考一下这些资料!

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1679411.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux系统 的持续学习

昨天学习了目录结构、补充命令和配置网络,其中配置网络用了nat方法,今天学习用桥接方法,通配符、正则表达式的一部分内容。 桥接模式 如果重网卡失败: 1.检查配置文件是否正确 2.检查虚拟器编辑器有没有选对(网卡类…

二进制搭建 k8s 单 Master 集群架构

一、单机 matser 部署环境 mater节点mater01192.168.80.7kube-apiserver、kube-controller-manager、kube-scheduler、 etcdnode节点node01192.168.80.11kubelet kube-proxy docker (容器引擎)node02192.168.80.12kubelet kube-proxy docker &#xff0…

【Leetcode每日一题】 动态规划 - 简单多状态 dp 问题 - 删除并获得点数(难度⭐⭐)(76)

1. 题目解析 题目链接:LCR 091. 粉刷房子 这个问题的理解其实相当简单,只需看一下示例,基本就能明白其含义了。 2.算法原理 1. 状态定义 在解决这类问题时,我们首先需要根据题目的具体要求来定义状态。针对房屋粉刷问题&#…

《系统架构设计师教程(第2版)》第4章-信息安全技术基础知识-02-信息加密技术

文章目录 1. 信息加密技术1.1 数据加密1.2 对称密钥加密算法1)数据加密标准(DES)2)三重DES(Triple-DES)3)国际数据加密算法(IDEA)4)高级加密标准(AES&#xf…

如何管理测试用例?测试用例有什么管理工具?YesDev

3.1 测试用例 测试用例(Test Case) 是指对一项特定的软件产品进行测试任务的描述,体现测试方案、方法、技术和策略。其内容包括测试目标、测试环境、输入数据、测试步骤、预期结果等。简单地认为,测试用例是为某个特殊目标而编制的一组测试输入、执行条…

STM32 各外设GPIO配置

高级定时器TIM1/TIM8 通用定时器TIM2/3/4/5 USART SPI I2S I2C接口 BxCAN SDIO ADC/DAC 其它I/O功能

【开发】模型部署笔记

目录 模型量化 模型量化 1、模型量化优点 低精度模型表示模型权重数值格式为FP16(半精度浮点)或者INT8(8位定点整数),但是目前低精度往往就指代INT8。常规精度模型则一般表示模型权重数值格式为FP32(32位…

第二十届文博会中芬设计园分会场:发展新质生产力,释放文化创新活力

今年是中国(深圳)国际文化产业博览交易会(以下简称“文博会”)创办20周年,二十蝶变再启航,站在新的历史起点上,本届文博会将重点突出数字赋能、强化交易功能、激发和扩大文化消费、弘扬文化传承…

AI大模型探索之路-训练篇23:ChatGLM3微调实战-基于P-Tuning V2技术的实践指南

系列篇章💥 AI大模型探索之路-训练篇1:大语言模型微调基础认知 AI大模型探索之路-训练篇2:大语言模型预训练基础认知 AI大模型探索之路-训练篇3:大语言模型全景解读 AI大模型探索之路-训练篇4:大语言模型训练数据集概…

直播预告 | 进入智能时代,你的公司准备好了吗?

在数字化浪潮的推动下,全球各行业和地区正经历着前所未有的转型。尽管数字化转型已成为发展的必然趋势,但许多企业仍面临着诸多挑战,比如:缺乏对前沿科技的战略洞察、难以将企业转型与国家战略相融合、缺少系统性规划的数字化思维…

机器学习(3)

目录 3-1线性回归 3-2最小二乘解 3-3多元线性回归 3-4广义线性模型 3-5对率回归 3-6对率回归求解 3-7线性判别分析 3-8LDA的多类推广 3-9多分类学习基本思路 3-10类别不平衡 3-1线性回归 线性模型为什么重要? 人类在考虑问题时,通常…

德国储能项目锂电池储能集装箱突发火灾:安全挑战再引关注

2024年4月27日,德国尼尔莫尔商业区的一起锂电池储能集装箱火灾事件引起了全球关注。这起事故不仅导致两名消防员在救援过程中受伤,更暴露了储能系统在安全领域亟待解决的重要问题。 根据德国消防队的出警记录,火灾发生在晚上9点前不久。消防人…

【电路笔记】-有源低通滤波器

有源低通滤波器 文章目录 有源低通滤波器1、概述2、有源低通滤波器2.1 一阶低通滤波器2.2 带放大功能的有源低通滤波器3、有源低通滤波器示例4、二阶低通有源滤波器通过将基本的 RC 低通滤波器电路与运算放大器相结合,我们可以创建一个具有放大功能的有源低通滤波器电路。 1、…

【半夜学习MySQL】内置函数(含日期、字符串、数学等函数常用用法介绍及示例详解)

🏠关于专栏:半夜学习MySQL专栏用于记录MySQL数据相关内容。 🎯每天努力一点点,技术变化看得见 文章目录 日期函数字符串函数数学函数其他函数 日期函数 函数名称描述current_date()当前日期current_time()当前时间current_time()…

Linux平台和Windows平台互传文件

rz和sz的出发对象都是从Linux出发的,例如sz发送(Send)从Linux->发送到Windows。 rz 从Windows文件发送到Linux中 先创立一个新文本文件 之后将hello Windows输入到该文本文件中 在显示器上显示里面是否有hello Windows内容 sz发送Lin…

yolov8使用与训练步骤

第一:安装miniconda 网址:Index of /anaconda/miniconda/ 登录网址后 在网页按ctrF 输入:搜py38 Miniconda3-py38_22.11.1-1-Windows-x86_64.exe 52.5 MiB 2022-12-23 07:57 下载进行安装 安装过程中记得加环境变量这个项。 第二…

2024年最新软件测试面试题必问的1000题!

我了解的测试理论和方法包括以下几个方面: 黑盒测试与白盒测试: 黑盒测试:基于对软件系统外部行为进行测试,独立于内部代码实现细节。黑盒测试关注输入与输出之间的关系以及软件功能是否符合预期。白盒测试:基于对软件…

k8s 部署 CoreDNS master02 节点部署 负载均衡部署

目录 一、部署 CoreDNS 1.1.在所有 node 节点上操作 1.2.在 master01 节点上操作 1.3.DNS 解析测试 二、master02 节点部署 2.1.从 master01 节点上拷贝证书文件、各master组件的配置文件和服务管理文件到 master02 节点 2.2.修改配置文件kube-apiserver中的IP 2.3.在 …

RT-Thread中使用Mqtt

环境: 开发板:Panduola(stm32L475) KEIL5 开发环境 rtthread 4.0.3内核 使用ENV 配置Rtt MQTT 1.MQTT介绍 ​ 客户端 Client 使用MQTT的程序或设备。客户端总是通过网络连接到服务端。它可以发布应用消息给其它相关的客户端。订…

记笔记从学Typora开始--------------------(1)下载、安装、购买、激活

一、登录Typora官网 官网地址:Typora 二、鼠标往下滑,点击下载按钮 三、下载得到安装包,双击 四、一直点击下一步,进行安装 五、安装完成 六、启动Typoera 七、针对欢迎界面点击下一页 八、一直点击直到弹出以下软件激活界面 九…