Web 漏洞分析与防御之 CSRF(二)
原文地址:Web 漏洞分析与防御之 CSRF(二)
博客地址:http://www.extlight.com
一、全称
跨站请求伪造(Cross-site Request Forgery)
二、原理
在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、盗取用户资金等)。
三、攻击方式
笔者以网站的发帖功能为案例对 CSRF 攻击进行简单的讲解。
3.1 提交 form 表单
下图为模拟攻击演示图:
以下是演示图中,"CSRF 攻击.html" 文件的源码。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试</title>
</head>
<body>
<script type="text/javascript">
document.write(`
<form id="myForm" name="myForm" target="csrf"
method="post" action="http://localhost:8080/article/save">
<input type="hidden" name="userName" value="李四" />
<textarea name="content">表单攻击</textarea>
</form>
`);
var iframe = document.createElement("iframe");
iframe.name = "csrf";
iframe.style.display = "none";
document.body.appendChild(iframe);
setTimeout(function() {
document.getElementById("myForm").submit();
},1000);
</script>
</body>
</html>
实际案例中,攻击者会先了解目标网站请求的 url,通过诱惑登陆用户点击某个超链接,该链接指向类似上文的 html 页面(第三方网站)。因为是用户在自己浏览器点击的超链接,因此会自动携带用户浏览器中的 cookie,这样在第三方网站就可以冒充用户发起请求。
3.2 点击超链接
如果目标网站允许 get 请求,可通过超链接攻击。如下图:
超链接源码如下:
<a href="http://localhost:8080/article/save?userName=李四&content=超链接攻击">点击获取现金大奖</a>
3.3 加载图片方式
更加粗暴的方式就是通过图片发送请求,如下图:
图片源码如下:
<img src="http://localhost:8080/article/save?userName=李四&content=图片攻击" />
四、防御
CSRF 攻击的一个特点是绕过目标网站的前端页面(无法获知页面的信息,如:验证码,token),在第三方网站发送请求到目标网站后端。
4.1 禁止第三方网站携带 cookie
在网站后端,用户登陆功能的代码中,设置 cookie 的 SameSite 的值为 Strict 返回给浏览器。
缺点:目前只有 chrome 和 opera 支持该属性。
4.2 使用验证码
以论坛发帖为例,在发帖时,设置一个验证码,发帖后在后端进行校验。CSRF 攻击没法获取到验证码,从而目标网站得到了防御。
4.3 使用 token
继续以论坛发帖为例,在论坛后端跳转发帖页面的代码中随机生成一个 N 位数的数字/字符串作为 token,设置到 cookie 和任意变量名的变量中(最终放入到前端的 form 表单中)。当用户在页面发帖后,后端接收和校验 cookie 中的 token 和 页面提交的 token 是否一致。如果一致,则说明是用户合法操作。
4.4 判断 referer
referer 是 http 的请求头,用户发送请求后,在后端获取该请求头,判断它的值是否包含目标网站的域名。如果包含说明操作合法。
五、参考资料
Web 漏洞分析与防御之 CSRF(二)的更多相关文章
- Web 漏洞分析与防御之点击劫持(三)
原文地址:Web 漏洞分析与防御之点击劫持(三) 博客地址:http://www.extlight.com 一.全称 点击劫持,顾名思义,用户点击某个按钮,却触发了不是用户真正意愿的事件. 二.原理 ...
- Web 漏洞分析与防御之 XSS(一)
原文地址:Web 漏洞分析与防御之 XSS(一) 博客地址:http://www.extlight.com 一.全称 跨站脚本攻击(Cross Site Scripting) 二.原理 通过在网站中的 ...
- FakeID签名漏洞分析及利用(二)
本文转自:http://blog.csdn.net/l173864930/article/details/38409521 继上一次Masterkey漏洞之后,Bluebox在2014年7月30日又公 ...
- web服务器分析与设计(二)
面向对象分析与设计第二步:寻找对象,建立问题域模型 1,用例场景描述 接上一篇中的用例,编写用例场景 U1: 上网者:打开网站(www.xxx.com) 浏览器:连接网站 目标系统:接受连接 检查连接 ...
- web前后端分离漏洞分析防御
web前后端分离漏洞分析防御 漏洞分析,主要漏洞有 一.跨站脚本攻击XSS 程序 + 数据 = 结果:攻击后,数据夹杂一部分程序(执行代码),导致结果改变: 1.XSS攻击注入点 (a):HTML节点 ...
- 三位一体的漏洞分析方法-web应用安全测试方法
本文转自乌云知识库 0x00 前言 节选自: http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/02OWASPWeb20140915.pd ...
- 黑客攻防技术宝典Web实战篇(二)工具篇DVWA Web漏洞学习
DVWA是一个学习Web漏洞的很好的工具. DVWA全程是Damn Vulnerable Web Application,还有一个跟它一样好的工具尽在http://www.360doc.com/con ...
- [WEB安全]phpMyadmin后台任意文件包含漏洞分析(CVE-2018-12613)
0x00 简介 影响版本:4.8.0--4.8.1 本次实验采用版本:4.8.1 0x01 效果展示 payload: http://your-ip:8080/index.php?target=db_ ...
- 十大常见web漏洞及防范
十大常见web漏洞 一.SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击.SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞.在设计程序,忽略了 ...
随机推荐
- IOS-OC 编码建议
“神在细节之中” Objective-C 是 C 语言的扩展,增加了动态类型和面对对象的特性.它被设计成具有易读易用的,支持复杂的面向对象设计的编程语言.它是 Mac OS X 以及 iPhone 的 ...
- Java 进阶6 异常处理的陷阱
Java 进阶6 异常处理的陷阱 20131113 异常处理机制是 Java语言的特色之一,尤其是 Java的Checked 异常,更是体现了 Java语言的严谨性:没有完善的错误的代码根本就不会被执 ...
- 【Wannafly挑战赛9-A】找一找
链接:https://www.nowcoder.net/acm/contest/71/A 题目描述 给定n个正整数,请找出其中有多少个数x满足:在这n个数中存在数y=kx,其中k为大于1的整数 输入描 ...
- Docker - 在Ubuntu 14.04 Server上的安装Docker
在 Ubuntu 14.04 Server 上安装过程是最简单的, 其满足了安装 Docker的所有要求,只需要执行如下安装脚本即可. 如果你有可能,请使用14.04版本的Ubuntu, 避免给自己挖 ...
- MVC和EF中的 Model First 和 Code First
准备:先引入MVC和EF的dll包 *命令方法:打开工具——库程序包管理器——程序包管理器控制台,选择自己的项目 a) Install-Package EntityFramework -Ver ...
- PCA--主成份分析
主成份分析(Principle Component Analysis)主要用来对数据进行降维.对于高维数据,处理起来比较麻烦,而且高维数据可能含有相关的维度,数据存在冗余,PCA通过把高维数据向低维映 ...
- C++设计模式之-建造者模式
建造者模式的定义将一个复杂对象的构建与它的表示分离,使得同样的构建过程可以创建不同的表示(DP).<大话设计模式>举了一个很好的例子——建造小人,一共需建造6个部分,头部.身体.左右手.左 ...
- PHP stripos()、strripos()和strrpos() 使用方法和区别
区别 stripos():查找字符串首次出现的位置(不区分大小写) 写法:stripos ( string $haystack , string $needle [, int $offset = 0 ...
- swift 3 发送 HTTP 请求函数
private func HttpPost(requestURL:String, postString:String) -> [String : AnyObject] { return Http ...
- Vue Devtools--vue调式工具
当浏览器控制台出现:Download the Vue Devtools extension for a better development experience: 1:安装 地址:https://g ...