简介

  CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
 

场景

某程序员大神God在某在线银行Online Bank给他的朋友Friend转账。

  

  转账后,出于好奇,大神God查看了网站的源文件,以及捕获到转账的请求。

  大神God发现,这个网站没有做防止CSRF的措施,而且他自己也有一个有一定访问量的网站,于是,他计划在自己的网站上内嵌一个隐藏的Iframe伪造请求(每10s发送一次),来等待鱼儿Fish上钩,给自己转账。

  网站源码:

<html>

<head>

    <meta http-equiv="Content-Type" content="text/html; charset=gb2312" />

    <title></title>

</head>

<body>

<div>

    我是一个内容丰富的网站,你不会关闭我!

</div>

<iframe name="frame" src="invalid.html" sandbox="allow-same-origin allow-scripts allow-forms"  style="display: none; width: 800px; height: 1000px;"> </iframe>

<script type="text/javascript">

    setTimeout("self.location.reload();", 10000);

</script>

</body>

</html>

    伪造请求源码:

<html>

<head>

    <title></title>

</head>

<body>

<form id="theForm" action="http://localhost:22699/Home/Transfer" method="post">

    <input class="form-control" id="TargetUser" name="TargetUser" placeholder="用户名" type="text" value="God" />

    <input class="form-control" id="Amount" name="Amount" placeholder="转账金额" type="text" value="100" />

</form>

<script type="text/javascript">

    document.getElementById('theForm').submit();

</script>

</body>

</html>

  鱼儿Fish打开了大神God的网站,在上面浏览丰富多彩的内容。此时伪造请求的结果是这样的(为了演示效果,去掉了隐藏):

  

  因为鱼儿Fish没有登陆,所以,伪造请求一直无法执行,一直跳转回登录页面。

  然后鱼儿Fish想起了要登录在线银行Online Bank查询内容,于是他登录了Online Bank。

  此时伪造请求的结果是这样的(为了演示效果,去掉了隐藏):

  鱼儿Fish每10秒会给大神God转账100元。

  

  

防止CSRF

  CSRF能成功是因为同一个浏览器会共享Cookies,也就是说,通过权限认证和验证是无法防止CSRF的。那么应该怎样防止CSRF呢?其实防止CSRF的方法很简单,只要确保请求是自己的站点发出的就可以了。那怎么确保请求是发自于自己的站点呢?ASP.NET以Token的形式来判断请求。

  我们需要在我们的页面生成一个Token,发请求的时候把Token带上。处理请求的时候需要验证Cookies+Token。

  

  此时伪造请求的结果是这样的(为了演示效果,去掉了隐藏):

$.ajax

  如果我的请求不是通过Form提交,而是通过Ajax来提交,会怎样呢?结果是验证不通过。

  为什么会这样子?我们回头看看加了@Html.AntiForgeryToken()后页面和请求的变化。

  1. 页面多了一个隐藏域,name为__RequestVerificationToken。

  2. 请求中也多了一个字段__RequestVerificationToken。

  

  原来要加这么个字段,我也加一个不就可以了!

  啊!为什么还是不行...逼我放大招,研究源码去!

  

  噢!原来token要从Form里面取。但是ajax中,Form里面并没有东西。那token怎么办呢?我把token放到碗里,不对,是放到header里。

  js代码:

$(function () {

            var token = $('@Html.AntiForgeryToken()').val();

            $('#btnSubmit').click(function () {

                var targetUser = $('#TargetUser').val();

                var amount = $('#Amount').val();

                var data = { 'targetUser': targetUser, 'amount': amount };

                return $.ajax({

                    url: '@Url.Action("Transfer2", "Home")',

                    type: 'POST',

                    data: JSON.stringify(data),

                    contentType: 'application/json',

                    dataType: 'json',

                    traditional: 'true',

                    beforeSend: function (xhr) {

                        xhr.setRequestHeader('__RequestVerificationToken', token);

                    },

                    success:function() {

                        window.location = '@Url.Action("Index", "Home")';

                    }

                });

            });

        });

  在服务端,参考ValidateAntiForgeryTokenAttribute,编写一个AjaxValidateAntiForgeryTokenAttribute:

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]

    public class AjaxValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter

    {

        public void OnAuthorization(AuthorizationContext filterContext)

        {

            if (filterContext == null)

            {

                throw new ArgumentNullException("filterContext");

            }

            var request = filterContext.HttpContext.Request;

            var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

            var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;

            var formToken = request.Headers["__RequestVerificationToken"];

            AntiForgery.Validate(cookieValue, formToken);

        }

    }

  然后调用时把ValidateAntiForgeryToken替换成AjaxValidateAntiForgeryToken。

  

  大功告成,好有成就感!

全局处理

  如果所有的操作请求都要加一个ValidateAntiForgeryToken或者AjaxValidateAntiForgeryToken,不是挺麻烦吗?可以在某个地方统一处理吗?答案是阔仪的。

  ValidateAntiForgeryTokenAttribute继承IAuthorizationFilter,那就在AuthorizeAttribute里做统一处理吧。

  ExtendedAuthorizeAttribute:

    public class ExtendedAuthorizeAttribute : AuthorizeAttribute

    {

        public override void OnAuthorization(AuthorizationContext filterContext)

        {

            PreventCsrf(filterContext);

            base.OnAuthorization(filterContext);

            GenerateUserContext(filterContext);

        }

        /// <summary>

        /// http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages

        /// </summary>

        private static void PreventCsrf(AuthorizationContext filterContext)

        {

            var request = filterContext.HttpContext.Request;

            if (request.HttpMethod.ToUpper() != "POST")

            {

                return;

            }

            var allowAnonymous = HasAttribute(filterContext, typeof(AllowAnonymousAttribute));

            if (allowAnonymous)

            {

                return;

            }

            var bypass = HasAttribute(filterContext, typeof(BypassCsrfValidationAttribute));

            if (bypass)

            {

                return;

            }

            if (filterContext.HttpContext.Request.IsAjaxRequest())

            {

                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;

                var formToken = request.Headers["__RequestVerificationToken"];

                AntiForgery.Validate(cookieValue, formToken);

            }

            else

            {

                AntiForgery.Validate();

            }

        }

        private static bool HasAttribute(AuthorizationContext filterContext, Type attributeType)

        {

            return filterContext.ActionDescriptor.IsDefined(attributeType, true) ||

                   filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(attributeType, true);

        }

        private static void GenerateUserContext(AuthorizationContext filterContext)

        {

            var formsIdentity = filterContext.HttpContext.User.Identity as FormsIdentity;

            if (formsIdentity == null || string.IsNullOrWhiteSpace(formsIdentity.Name))

            {

                UserContext.Current = null;

                return;

            }

            UserContext.Current = new WebUserContext(formsIdentity.Name);

        }

    }

  

  然后在FilterConfig注册一下。

  

  FAQ:

  1. BypassCsrfValidationAttribute是什么鬼?不是有个AllowAnonymousAttribute吗?

  如果有些操作你不需要做CSRF的处理,比如附件上传,你可以在对应的Controller或Action上添加BypassCsrfValidationAttribute。

  AllowAnonymousAttribute不仅会绕过CSRF的处理,还会绕过认证和验证。BypassCsrfValidationAttribute绕过CSRF但不绕过认证和验证,

也就是BypassCsrfValidationAttribute作用于那些登录或授权后的Action。

  2. 为什么只处理POST请求?

  我开发的时候有一个原则,查询都用GET,操作用POST,而对于查询的请求没有必要做CSRF的处理。大家可以按自己的需要去安排!

  

  3. 我做了全局处理,然后还在Controller或Action上加了ValidateAntiForgeryToken或者AjaxValidateAntiForgeryToken,会冲突吗?

  不会冲突,只是验证会做两次。

源码下载

  为了方便使用,我没有使用任何数据库,而是用了一个文件来存储数据。代码下载后可以直接运行,无需配置。

  下载地址:https://github.com/ErikXu/CSRF

Web安全相关(二):跨站请求伪造(CSRF/XSRF)的更多相关文章

  1. 跨站请求伪造 CSRF / XSRF<一:介绍>

    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一 ...

  2. 跨站请求伪造 CSRF / XSRF<二:应用>

    防御的方法主要有两种<java示例> 1.检查Referer字段 HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址.在处理敏感数据请求时,通常来说,Referer字 ...

  3. django之跨站请求伪造csrf

    目录 跨站请求伪造 csrf 钓鱼网站 模拟实现 针对form表单 ajax请求 csrf相关的两个装饰器 跨站请求伪造 csrf 钓鱼网站 就类似于你搭建了一个跟银行一模一样的web页面 , 用户在 ...

  4. 跨站请求伪造(CSRF)-简述

    跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 ...

  5. 跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

    跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险 跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估 ...

  6. PHP安全编程:跨站请求伪造CSRF的防御(转)

    跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法.此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者.这样,很你就很难确定哪些请求是属于跨站 ...

  7. .NET Core实战项目之CMS 第十四章 开发篇-防止跨站请求伪造(XSRF/CSRF)攻击处理

    通过 ASP.NET Core,开发者可轻松配置和管理其应用的安全性. ASP.NET Core 中包含管理身份验证.授权.数据保护.SSL 强制.应用机密.请求防伪保护及 CORS 管理等等安全方面 ...

  8. Web安全测试之跨站请求伪造(CSRF)篇

    跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑.本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体 ...

  9. ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击 (转载)

    什么是反伪造攻击? 跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互.这种攻击是完全有可能的 ...

  10. 跨站请求伪造(csrf)中间件整理

    一. CSRF中间件 字面意思跨站请求伪造; 即模仿个请求朝服务器发送,django中对跨站伪造的请求有相应的校验 from django.views.decorators.csrf import c ...

随机推荐

  1. 隐私泄露杀手锏 —— Flash 权限反射

    [简版:http://weibo.com/p/1001603881940380956046] 前言 一直以为该风险早已被重视,但最近无意中发现,仍有不少网站存在该缺陷,其中不乏一些常用的邮箱.社交网站 ...

  2. Android Notification 详解(一)——基本操作

    Android Notification 详解(一)--基本操作 版权声明:本文为博主原创文章,未经博主允许不得转载. 微博:厉圣杰 源码:AndroidDemo/Notification 文中如有纰 ...

  3. 自定义搭建PHP开发环境

    学习了一段时间php了,因为之前是刚接触php,所以用的是集成安装包(wamp).现在想进一步了解apache.mysql.php之间的关系以及提升自己所以进行自定义搭建PHP开发环境.废话不多说,请 ...

  4. Android如何制作漂亮的自适布局的键盘

    最近做了个自定义键盘,但面对不同分辨率的机型其中数字键盘不能根据界面大小自已铺满,但又不能每种机型都做一套吧,所以要做成自适应,那这里主讲思路. 这里最上面的titlebar高度固定,下面输入的金额高 ...

  5. gulp初学

    原文地址:gulp初学 至于gulp与grunt的区别,用过的人都略知一二,总的来说就是2点: 1.gulp的gulpfile.js  配置简单而且更容易阅读和维护.之所以如此,是因为它们的工作方式不 ...

  6. java中Action层、Service层和Dao层的功能区分

    Action/Service/DAO简介: Action是管理业务(Service)调度和管理跳转的. Service是管理具体的功能的. Action只负责管理,而Service负责实施. DAO只 ...

  7. 如何用Java类配置Spring MVC(不通过web.xml和XML方式)

    DispatcherServlet是Spring MVC的核心,按照传统方式, 需要把它配置到web.xml中. 我个人比较不喜欢XML配置方式, XML看起来太累, 冗长繁琐. 还好借助于Servl ...

  8. Html 制作相册

    本文主要讲述采用Html5+jQuery+CSS 制作相册的小小记录. 主要功能点: Html5进行布局 调用jQuery(借用官网的一句话:The Write Less, Do More)极大的简化 ...

  9. BAT“搅局”B2B市场,CIO们准备好了吗?

    "CIO必须灵活构建其所在企业的IT系统,深入业务,以应对日新月异的数字化业务环境."   BAT军团"搅局"B2B市场,CIO们准备好了吗? 庞大的企业级市场 ...

  10. Android中Fragment的两种创建方式

    fragment是Activity中用户界面的一个行为或者是一部分.你可以在一个单独的Activity上把多个Fragment组合成为一个多区域的UI,并且可以在多个Activity中再使用.你可以认 ...