CSRF例子与分析 低级别CSRF攻击 假设某游戏网站的虚拟币转账是采用GET方式进行操作的,样式如: http://www.game.com/Transfer.php? 总结 CSRF攻击是源于Web的隐式身份验证机制! Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的 CSRF防御方法 服务器端防御: 1、重要数据交互采用POST进行接收,当然是用POST也不是万能的 PHP中可以采用APache URL重写规则进行防御,可参考:http://www.cnblogs.com/phpstudy2015-6/p/6715892.html 4、为每个表单添加令牌token 浅谈CSRF攻击方式
CSRF漏洞检测: 检测CSRF漏洞是一项比较繁琐的工作,最简单的方法就是抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞 随着对CSRF漏洞研究的不断深入,不断涌现出一些专门针对CSRF漏洞进行检测的工具,如CSRFTester,CSRF Request Builder等。 如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 防御CSRF攻击: 目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。 因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。
热卖云产品新年特惠,2核2G轻量应用服务器9元/月起,更多上云必备产品助力您轻松上云
CSRF——攻击与防御 author: lake2 0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思 这就是传说中的CSRF攻击了。 0x03 发起CSRF攻击 从第三方网站利用POST发动CSRF攻击就是利用Javascript自己主动提交表单到目标CGI。 应用程序的功能和返回形式都各不同样,所以想自己主动化測试CSRF漏洞还是有点困难的,OWASP上面有一个叫做CSRFTester的工具最好还是拿来一试[6] 0x07 防御CSRF 在Web应用程序側防御 另一个思路是在client防御,貌似能够做成一个相似HTTP Watch的软件,挂在浏览器上拦截或者过滤跨域的cookie。
Leafo老师基于Moonscript语言开发的WEB框架Lapis,框架中有一段针对CSRF(Cross—Site Request Forgery)的防护代码, 是一种基于围绕时间戳和签名验证的CSRF 防护设计,后来Leafo老师还更新了CSRF的处理代吗: Changes Replaced the CSRF implementation, removed the key parameter and 为了防止CSRF的发生,创建Token处理机制,Token数据结构与时间、加密签名相关, 这么做的目的是给“身份凭证”加上时间生存周期管理,如果的凭证被人拿到了, 要先判断Token中的“签名”与时间戳是否都有效 为了防止CSRF攻击,Token要求不能重复,需要含有时间戳信息。 下面的图描述了一个token的数据构成: Token的数据结构。 msg =json.decode(decode_base64(msg)) if not (msg.key == key) then return nil, "invalid csrf
相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。 2、CSRF攻击原理 下面为CSRF攻击原理图: ? 总结: CSRF攻击是源于Web的隐式身份验证机制! Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的 4、CSRF防御方法 服务器端防御: 1、重要数据交互采用POST进行接收,当然是用POST PHP中可以采用APache URL重写规则进行防御,可参考:http://www.cnblogs.com/phpstudy2015-6/p/6715892.html 4、为每个表单添加令牌token 《浅谈CSRF攻击方式》 2.
CSRF 攻击 跨站请求伪造(Cross-site request forgery)简称为 CSRF。 这种攻击方式很奇特,它是伪造用户的请求发动攻击的,在 CSRF 攻击过程中,用户往往在不知情的情况下构造了网络请求。 CSRF 攻击危害很大,可能删除一篇博文也没什么,但是如果是发表评论,可能就会造成恶劣的影响,比如发表一些色情甚至反动的言论栽赃用户;银行的支付系统如果存在 CSRF 漏洞,很可能造成用户财务损失;CSRF 防范 CSRF 攻击 CSRF 攻击主要特征就是利用用户的登录态,在有登录状态网站时访问了恶意网站(用户并不清楚是不是恶意的),恶意网站利用 CSRF 漏洞伪装成用户发起了请求。 如果要防御点击劫持,需要让目标网站的网页不能内嵌。 第一种方法是使用 JavaScript 禁止内嵌。
CSRF CSRF(Cross-site request forgery)跨站请求伪造,攻击者盗用受害人的已登录身份,向服务器提交恶意的请求,对于服务器来说,伪造的请求完全合法,虽然这并不是受害人的本意 举例 假设某论坛存在CSRF漏洞,你在该论坛登录完成后,然后访问了某危险网站,危险网站提前挖好了坑(可以在该论坛以受害人名义发帖,即发起post请求;同样可以回帖,删帖,甚至盗取用户信息)。 防御 了解了过程,自然就有了对应的防御措施。 网站请求都应该来自受信任页面链接 添加验证码,提交请求时进行人工确认 表单隐藏随机码,由服务端下发随机码,发起请求时由服务端验证 为cookie设置SameSite、HttpOnly,防止cookie泄露 总结 CSRF 解决CSRF也并非难事,尤其是用户基数大的网站更要保护好用户信息安全。
攻击原理 csrf.png 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤 1.登录受信任网站A,并在本地生成Cookie 2.在不登出A的情况下,访问危险网站B 防御原理 csrf 能防御的本质是,黑客虽然携带了合法的cookie,但是他不知道带了什么,也没有跨域权限读取网页的任何信息,而网站可以。 未来浏览器的防御方式 通过设置cookie的SameSite属性,来限制请求是否携带cookie,关于samesite的说明如下图 sameSite.png 落地措施 前端代码 csrf_token 表单提交,把csrf_token值放在隐藏域即可 2. 简单get请求,csrf_token拼接到url参数中即可 3. xhr.setRequestHeader('X-CSRF-Token', csrf_token); }); axios: 设置axios.defaults属性即可: xsrfCookieName
网站B: 点击cookie.php 上面的代码就是会发生csrf的网页代码,代码路径是在www.cyb.com/csrf.php。 下面讲一下过程,当用户登录网站A成功后,每次请求都会带上cookie的信息,如果这时候用户同时在同一个浏览器中打开网站B,而此时,网站B中含有一个链接,如果用户点击的话就会发生csrf攻击,因为用户点击这个 2 防御 除了在每个表单页面里加入hidden input外,还有一种利用csrfcode进行防御的方法,这种方法把csrfcode的相关数据放在cookie中,但并不是把csrfcode放到cookie 攻击防御。 这样就可以起到防御作用。
前景: Html页面的表单没有完全使用Django的form进行渲染,故Js不能使用$('#ClassID').serialize()来获取Csrf和Data,然后报错CSRF token missing 然后每次Post请求都会带上这个Token, 这样可以能避免被Csrf攻击。所以会在每个Html模板中增加一个 {% csrf_token %}标签。 视图函数返回Csrf的三种方式 return render_to_response('Account/Login.html',data,context_instance=RequestContext(request template.render(context, request)) return render(request, 'xxx.html', data) Html中的展现形式 解决 1.通过Js先获取到Csrf csrfmiddlewaretoken]').value; </script> 2.通过在Ajax设置请求头传递 <script> $.ajax({ headers: {'X-CSRFToken': csrf_token
CSRF是什么 csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。 而CSRF就利用这个登陆态去发送恶意请求给后端。 为什么脚本可以获得目标网站的cookie呢? CSRF攻击 知道了原理,攻击就变得好理解了,接着上面的例子, 我把请求地址改成评论本篇文章的url,参数为 “这篇文章写得6”, 在没有CSRF防御的情况下,我发表一个评论如:脱单秘笈:,后面附上这个脚本的链接 CSDN 肯定是做了防御了哈,我就不白费力气了。 CSRF防御 三种防御方式: 1. SameSit 禁止第三方网站使用本站Cookie。 referer正确的拼写 应该是 referrer,HTTP的标准制定者们将错就错,不打算改了 缺点: 浏览器可以关闭referer.......... 3. token 最普遍的一种防御方法,后端生成一个
emlog始终有个致命的问题,后台基本没有防御CSRF的措施,导致很简单的一个CSRF即可秒杀整个博客。 在此环境下我决定自己开发一个能防御部分csrf攻击的小插件,当然要真正杜绝CSRF的话还是的修改后台的内核代码。 2.emlog后台插件也可以通过CSRF漏洞来禁用,所以本插件考虑到这个情况对GET中的敏感操作进行了特殊防御 3.插件只防御了一些敏感操作和POST传值的操作,不能保证万无一失,还是希望开发组重视该问题 ,在内核代码中使用token才是比较保险的方法 4.如果你的网站还存在分站或子目录放有其他网站,攻击者可以在子目录下上传html来进行CSRF攻击,该种方式无法使用referer防御 附件:csrf_defence.zip
xz.aliyun.com/t/2384 防御 CSRF 攻击 前边我们说到,产生 CSRF 的原因主要有两点,那么我们可以针对这两点进行相应的防御。 伪造的请求与用户正常的请求相比最大的区别就是请求头中的 Referer 值不同,使用我们可以根据这点来防御 CSRF。 5) 防御实例:Django 的 CSRF 防御机制 新建个 Django 项目,打开项目下的 settings.py 文件,可以看到这么一行代码:django.middleware.csrf.CsrfViewMiddleware 这个就是 Django 的 CSRF 防御机制,当我们发送 POST 请求时 Django 会自动检测 CSRF_Token 值是否正确。 2) XSS 漏洞情况下的 CSRF 如果一个网站存在 XSS 漏洞,那么以上针对 CSRF 的防御几乎失去了作用。
【CSRF实现】 在恶意网站B上写一个CSRF页面(www.b.com/csrf.html) 使用<img src=http://www.a.com/blog/del? 四、CSRF攻击分类 4.1 HTML CSRF攻击 同样是上面的场景,发起的CSRF请求都属于HTML元素发出的,这一类是最普通的CSRF攻击。 下面是常见的可以发起这样的请求的HTML元素。 随着对CSRF漏洞研究的不断深入,不断涌现出一些专门针对CSRF漏洞进行检测的工具,如CSRFTester,CSRF Request Builder等。 如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 六、CSRF攻击防御 【HTTP Referer 字段校验】 比如上一个场景,恶意攻击被发起时,请求的Referer会指向恶意网站,因此要防御CSRF攻击,可能对Referer字段校验,如果不是本域或者指定域过来的请求
什么是csrf攻击? csrf/xsrf又叫跨站请求伪造。 防御csrf攻击 思路: 由于csrf攻击者只能拿到cookie去干坏事,但它无法知道cookie里有什么,也拿不到其他有效信息。我们只需要除cookie外再加一道它做不到的验证就可以了。 = "csrf_token"; 9 10 return config; 11}); 后端(koa2) 后端利用koa-csrf中间件实现 1yarn add koa-csrf 1、先封装一个csrf 实例 1//先封装一个csrf实例 2const CSRF = require("koa-csrf"); 3 4const csrfMD = new CSRF({ 5 invalidSessionSecretMessage ; 10}); 3、需要防御csrf的接口(post|put|delete),使用csrf即可自动校验 1router.delete("/delete",Csrf, async (ctx) => { 2
这是一种非常常见的 Web 攻击方式,其实是很好防御的,但是由于经常被很多开发者忽略,进而导致很多网站实际上都存在 CSRF 攻击的安全隐患。 今天松哥就来和大家聊一聊什么是 CSRF 攻击以及 CSRF 攻击该如何防御。 3.CSRF防御 先来说说防御思路。 CSRF 防御,一个核心思路就是在前端请求中,添加一个随机数。 3.1 默认方案 Spring Security 中默认实际上就提供了 csrf 防御,但是需要开发者做的事情比较多。 可以看到,我们的 _csrf 配置已经生效了。 ❝小伙伴们可以自行尝试从登录参数中去掉 _csrf,然后再看看效果。 4.小结 好了,今天主要和小伙伴们介绍了 csrf 攻击以及如何防御的问题。
但是在我们的网站中,大部分都没有做CSRF的防御,小伙伴们想不想来一次CSRF攻击,体验一下做黑客感觉? CSRF的防御 我们知道了CSRF攻击的原理,就可以做针对性的防御了。CSRF的防御可以从两个方面考虑,一个是后台接口层做防御;另一个则是在前端做防御,这种不同源的请求,不可以带cookie。 后端防御CSRF 我们先聊聊后端的防御,后端防御主要是区分哪些请求是恶意请求,哪些请求是自己网站的请求。区分恶意请求的方式有很多,在这里给大家介绍两种吧。 第一种,CSRF Token的方式。 以上就是后端防御CSRF攻击的两种方式,都需要在后端做特殊的处理。当然也可以在前端做处理,怎么做呢?我们接着往下看。 前端防御CSRF 既然CSRF攻击的危害这么大,为什么不能在前端禁止这种请求呢? 总结 到这里CSRF的攻和防都已经介绍完了,大部分网站都是没有做CSRF防御的,小伙伴们有没有想当黑客的瘾,找几个网站搞一下试试吧~~
概念 CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session 防御手段 既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。 防御的手段一般有: 1、检查referer referer是http header的请求头属性,标识了请求的来源地址,通过检查这个属性可以判断请求地址是否合法域名。
腾讯云 Web 应用防火墙(WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵等网站及 Web 业务安全防护问题。企业组织将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航……
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
云数据库 SQL Server
网站备案
文件存储
SSL 证书
