• CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
  • 造成的问题:个人隐私泄露以及财产安全。

  • CSRF攻击示意图

    • 客户端访问服务器时没有同服务器做安全验证

    防止 CSRF 攻击

    步骤

    1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
    2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
    3. 在用户点击提交的时候,会带上这两个值向后台发起请求
    4. 后端接受到请求,以会以下几件事件:
      • 从 cookie中取出 csrf_token
      • 从 表单数据中取出来隐藏的 csrf_token 的值
      • 进行对比
    5. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

      代码演示

      未进行 csrf 校验的 WebA

      • 后端代码实现

      
from flask import Flask, render_template, make_response
      
from flask import redirect
      
from flask import request
      
from flask import url_for

app = Flask(__name__)

@app.route('/', methods=["POST", "GET"])
      
def index():
      
    if request.method == "POST":
      
        # 取到表单中提交上来的参数
      
        username = request.form.get("username")
      
        password = request.form.get("password")

        if not all([username, password]):
      
            print('参数错误')
      
        else:
      
            print(username, password)
      
            if username == 'laowang' and password == '1234':
      
                # 状态保持,设置用户名到cookie中表示登录成功
      
                response = redirect(url_for('transfer'))
      
                response.set_cookie('username', username)
      
                return response
      
            else:
      
                print('密码错误')

    return render_template('temp_login.html')

@app.route('/transfer', methods=["POST", "GET"])
      
def transfer():
      
    # 从cookie中取到用户名
      
    username = request.cookies.get('username', None)
      
    # 如果没有取到,代表没有登录
      
    if not username:
      
        return redirect(url_for('index'))

    if request.method == "POST":
      
        to_account = request.form.get("to_account")
      
        money = request.form.get("money")
      
        print('假装执行转操作,将当前登录用户的钱转账到指定账户')
      
        return '转账 %s 元到 %s 成功' % (money, to_account)

    # 渲染转换页面
      
    response = make_response(render_template('temp_transfer.html'))
      
    return response

if __name__ == '__main__':
      
    app.run(debug=True, port=9000)
      • 前端登录页面代码
      <!DOCTYPE html>
      
<html lang="en">
      
<head>
      
    <meta charset="UTF-8">
      
    <title>登录</title>
      
</head>
      
<body>

<h1>我是网站A,登录页面</h1>

<form method="post">
      
    <label>用户名:</label><input type="text" name="username" placeholder="请输入用户名"><br/>
      
    <label>密码:</label><input type="password" name="password" placeholder="请输入密码"><br/>
      
    <input type="submit" value="登录">
      
</form>

</body>
      
</html>
      • 前端转账页面代码
      <!DOCTYPE html>
      
<html lang="en">
      
<head>
      
    <meta charset="UTF-8">
      
    <title>转账</title>
      
</head>
      
<body>
      
<h1>我是网站A,转账页面</h1>

<form method="post">
      
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>
      
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
      
    <input type="submit" value="转账">
      
</form>

</body>
      
</html>

      运行测试,如果在未登录的情况下,不能直接进入转账页面,测试转账是成功的

      攻击网站B的代码

      • 后端代码实现
      from flask import Flask
      
from flask import render_template

app = Flask(__name__)

@app.route('/')
      
def index():
      
    return render_template('temp_index.html')

if __name__ == '__main__':
      
    app.run(debug=True, port=8000)
      • 前端代码实现
      <!DOCTYPE html>
      
<html lang="en">
      
<head>
      
    <meta charset="UTF-8">
      
    <title>Title</title>
      
</head>
      
<body>

<h1>我是网站B</h1>

<form method="post" action="http://127.0.0.1:9000/transfer">
      
    <input type="hidden" name="to_account" value="999999">
      
    <input type="hidden" name="money" value="190000" hidden>
      
    <input type="submit" value="点击领取优惠券">
      
</form>

</body>
      
</html>

      运行测试,在用户登录网站A的情况下,点击网站B的按钮,可以实现伪造访问

    在网站A中模拟实现 csrf_token 校验的流程

    • 添加生成 csrf_token 的函数
    # 生成 csrf_token 函数
    
def generate_csrf():
    
    return bytes.decode(base64.b64encode(os.urandom(48)))
    • 在渲染转账页面的,做以下几件事情:

      • 生成 csrf_token 的值
      • 在返回转账页面的响应里面设置 csrf_token 到 cookie 中
      • 将 csrf_token 保存到表单的隐藏字段中
    @app.route('/transfer', methods=["POST", "GET"])
    
def transfer():
    
    ...
    
    # 生成 csrf_token 的值
    
    csrf_token = generate_csrf()

    # 渲染转换页面,传入 csrf_token 到模板中
    
    response = make_response(render_template('temp_transfer.html', csrf_token=csrf_token))
    
    # 设置csrf_token到cookie中,用于提交校验
    
    response.set_cookie('csrf_token', csrf_token)
    
    return response
    • 在转账模板表单中添加 csrf_token 隐藏字段
    <form method="post">
    
    <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
    
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>
    
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    
    <input type="submit" value="转账">
    
</form>
    • 运行测试,进入到转账页面之后,查看 cookie 和 html 源代码

SCRF的简介及防护手段的更多相关文章

  1. Activity劫持实例与防护手段

    原文地址:Activity劫持实例与防护手段 作者:cjxqhhh (本文只用于学习技术,提高大家警觉,切勿用于非法用途!)   什么叫Activity劫持   这里举一个例子.用户打开安卓手机上的某 ...

  2. scrf 原理及flask-wtf防护

    了解什么是scrf? SCRF跨站点请求伪造Cross—Site Request Forgery) 指恶意用户通过个人用户的点击,然而盗用用户的账号信息,并发送邮件.虚拟货币的转账,以及一些重要的事务 ...

  3. 跨站请求伪造(csrf)的防护手段

    CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造. CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求. 造成的问题:个人隐私泄露以及财产安全. CS ...

  4. 关于web软件信息安全问题防护资料的整理(二)

    想要做好软件的安全防护,首先就得了解web系统的安全威胁,那么web系统都存在哪些威胁呢? 应用层攻击.网络层攻击和混合攻击. 传统被动.单点以及彼此孤立的防护手段已不能应对越来越严峻的安全威胁. 改 ...

  5. 理解DDoS防护本质:基于资源较量和规则过滤的智能化系统

    本文由  网易云发布. 随着互联网生态逐渐形成,DDoS防护已经成为互联网企业的刚需要求,网易云安全(易盾)工程师根据DDoS的方方面面,全面总结DDoS的攻防对抗. 1.什么是DDoS DDoS全称 ...

  6. soft deletion Google SRE 保障数据完整性的手段

    w http://www.infoq.com/cn/articles/GoogleSRE-BookChapter26 Google SRE 保障数据完整性的手段 就像我们假设Google 的底层系统经 ...

  7. iOS应用代码注入防护

    在应用开发过程中,我们不仅仅需要完成正常的业务逻辑,考虑应用性能.代码健壮相关的问题,我们有时还需要考虑到应用安全的问题.那么应用安全的问题涉及到很多方面.比如防止静态分析的,代码混淆.逻辑混淆:防止 ...

  8. 阿里云应用高可用服务 AHAS 流控降级实现 SQL 自动防护功能

    在影响系统稳定性的各种因素中,慢 SQL 是相对比较致命的,可能会导致 CPU.LOAD 异常.系统资源耗尽.线上生产环境出现慢 SQL 往往有很多原因: 硬件问题.如网络速度慢,内存不足,I/O 吞 ...

  9. 常见的Web攻击手段,拿捏了!

    大家好,我是小菜. 一个希望能够成为 吹着牛X谈架构 的男人!如果你也想成为我想成为的人,不然点个关注做个伴,让小菜不再孤单! 本文主要介绍 互联网中常见的 Web 攻击手段 如有需要,可以参考 如有 ...

随机推荐

  1. GRUB2 分析 (四)

    接上一篇 kernel.img由startup.S以及一堆c文件编译而成.这是一个ELF格式的文件.(其实前面的boot.img. diskboot.img.lzma_decompress.img本来 ...

  2. python 数据分析----numpy

    NumPy是高性能科学计算和数据分析的基础包.它是pandas等其他各种工具的基础. NumPy的主要功能: ndarray,一个多维数组结构,高效且节省空间 无需循环对整组数据进行快速运算的数学函数 ...

  3. 深入 CommonJs 与 ES6 Module

    目前主流的模块规范 UMD CommonJs es6 module umd 模块(通用模块) (function (global, factory) { typeof exports === 'obj ...

  4. 20145314郑凯杰 《Java程序设计》实验三 敏捷开发与XP实践实验报告

    20145314郑凯杰 <Java程序设计>实验二 实验报告 实验要求 完成实验.撰写实验报告,实验报告以博客方式发表在博客园,注意实验报告重点是运行结果,遇到的问题(工具查找,安装,使用 ...

  5. 33c3-pwn500-recurse

    Recurse 好记性不如烂笔头.当时没有记录,现在趁着有时间简单写一写,为以后留备份. 这个题目当时并没有队伍做出来,赛后作者发布了题目的源码和解答.看了之后发现是一个UAF漏洞,不过漏洞很不好找. ...

  6. 推荐一个JavaScript触发器插件,可通过指定频次、指定时间内触发指定的处理函数

    推荐一个JavaScript触发器插件js-trigger js-trigger是一个JavaScript触发器插件,可通过指定频次.指定时间内触发指定的处理函数 https://tanwei-cc. ...

  7. windchill10.0&11.0API_chm版百度云

    windchill10.0版本和11.0版本的javadoc,也就是api 文件内容 windchill10.0.chm版本的 windchill10.0api.chm版本 百度云链接(免费推荐) 链 ...

  8. apt get update无法正常使用解决方案(转载)

    apt get update无法正常使用 解决方法参考博客 [问题描述] 前几天执行apt相关命令(如apt-get update),都会长时间停在``等待报头'',超时后,显示连接超时. 换了快速指 ...

  9. 数据结构实习 - Problem N 树的括号表示法

    writer:pprp date:20171103 题目描述 先将根结点放入一对圆括号中,然后把它的子树按由左而右的顺序放入括号中,而对子树也采用同样方法处理:同层子树与它的根结点用圆括号括起来,同层 ...

  10. [异常记录(二)] 验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。

    错误提示: 验证视图状态 MAC 失败.如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法.不能在群集中使用 Au ...