什么是CSRF
跨站请求伪造是一种互联网安全漏洞,它允许一个攻击者诱导用户操作他们不想要进行的操作。它允许攻击者绕过同源策略来攻击(一种设计用来阻止不同互相干涉的策略)。
网站漏洞攻击之跨站请求伪造CSRF
跨站攻击有什么影响
在一个成功的跨站攻击中,攻击者可以让受害者用户无意之中执行一些操作。比如,他可以更改账户的邮件地址或者密码或者进行资金转账等。如果受害者拥有更高的权限,那么整个操作系统和上面的数据文件都会受到窃取和破坏。
跨站攻击的原理
进行跨站攻击,必须满足三个条件:
- 相关操作-攻击者应该能够诱导用户操作某些动作,比如修改密码等。
- 基于cookie的会话处理-执行跨站伪造需要发出一个或者多个http请求,并且该请求是通过cookie来标识用户的。
- 请求参数固定-跨站请求不能包含无法确定或者猜测的其它参数。例如,如果修改密码需要当前密码的值,那么攻击者就无法进行攻击。
网站漏洞攻击之跨站请求伪造CSRF
跨站攻击的例子
假设有这样一个通过忘记密码的请求,请求的头如下:
<pre style="-webkit-tap-highlight-color: transparent; box-sizing: border-box; font-family: Consolas, Menlo, Courier, monospace; font-size: 16px; white-space: pre-wrap; position: relative; line-height: 1.5; color: rgb(153, 153, 153); margin: 1em 0px; padding: 12px 10px; background: rgb(244, 245, 246); border: 1px solid rgb(232, 232, 232); font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration-style: initial; text-decoration-color: initial;">POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE
email=wiener@normal-user.com
</pre>
网站漏洞攻击之跨站请求伪造CSRF
如果发送这个请求可以修改用户的密码,那么攻击者和就可以构造一个下面的网页。
<html>
<body>
<form action="https://vulnerable-website.com/email/change" method="POST">
<input type="hidden" name="email" value="pwned@evil-user.net" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>
当受害者访问这个网页的时候,因为用户携带有网站的cookie,那么他就会将cookie和邮箱一并提交给网站,而网站认为是用户自己进行的请求,导致用户的密码泄露。
如何进行跨站请求伪造
首先,攻击者会将恶意的html放到他们控制的网站上。
然后,诱导用户访问该网站。
最后,通过电子邮件或者社交媒体向用户发送指向网站的链接。
如何防止跨站伪造
最可靠的防止跨站请求伪造的方式就是使用csrf令牌,这个令牌在很多语言和框架中都有实现。因为令牌是不可预测的,所以当用户进行操作的时候,都需要拿着令牌进行相关操作,这样就使得攻击者不能满足请求参数固定这个条件,导致无法进行攻击。
常见的csrf漏洞
最常见的csrf漏洞就是csrf令牌验证错误引起的。假还是下面的请求头。这里添加了csrf这个token。
POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Cookie: session=2yQIDcpia41WrATfjPqvm9tOkDvkMvLm
csrf=WfF1szMUHhiokx9AHFply5L2xAOfjRkE&email=wiener@normal-user.com
这样应该可以防止csrf攻击,因为它打破了csrf的三个必要条件,不仅依赖cookie,还有csrf这个攻击者无法确定的参数。但是,攻击者却可以通过多种方式来打破这种防御。
一种情况是当请求方法使用GET方法时,可以跳过验证。因为get方法可以获取到当前的token然后,进行访问就会导致攻击成功。
一种情况是攻击者先通过自己的账户访问网站,获取到令牌,然后通过该令牌和用户的请求进行伪造,导致攻击成功。
一种情况是令牌重复,比如 发出的令牌陈宫之后,服务器保存发出的令牌记录。当后续进行请求的时候,应用程序只是验证令牌和cookie中的值是否一致,导致双重提交攻击。
网站漏洞攻击之跨站请求伪造CSRF
总结
随着人们的安全意识提升,现在很多开发者都已经非常重视跨站请求伪造攻击了。但是还是有部分网站,或者一些菜鸟程序员会犯一些低级错误。仅以此文提醒程序员们,代码须谨慎,漏洞二行泪。
网友评论