CSRF***与防御
概述
?
CSRF是Cross Site Request Forgery的縮寫(xiě),中文是跨站點(diǎn)請(qǐng)求偽造;接下來(lái)將和大家分享這種***的原理、實(shí)施的方法、以及防御的幾種方案;
?
CSRF***的原理
?
通過(guò)在惡意網(wǎng)站部署好***代碼和相關(guān)數(shù)據(jù),然后引導(dǎo)目標(biāo)網(wǎng)站的已經(jīng)授權(quán)的用戶進(jìn)入惡意網(wǎng)站,由于瀏覽器已經(jīng)獲得了目標(biāo)網(wǎng)站的用戶授權(quán)票據(jù),因此惡意網(wǎng)站就可以執(zhí)行“事先”部署好的代碼向目標(biāo)網(wǎng)站提交數(shù)據(jù)使目標(biāo)網(wǎng)站執(zhí)行一些寫(xiě)的操作,比如刪除目標(biāo)網(wǎng)站的數(shù)據(jù)、向目標(biāo)網(wǎng)站提交垃圾數(shù)據(jù)等,然而這個(gè)過(guò)程是在后臺(tái)默默執(zhí)行的,用戶毫不知情。
?
舉個(gè)例子說(shuō)明一下吧:
?
假設(shè)www.t.com是目標(biāo)網(wǎng)站,有一個(gè)頁(yè)面www.t.com/blog/delete.aspx?id=123 是刪除ID為123的博文操作;
那么***者就可以在惡意網(wǎng)站www.a.com/csrfpage.aspx頁(yè)面部署下面的代碼:
<form id="csrffrm" action="http://www.t.com/blog/delete.aspx" target="hideiframe"><input name="id" type="hidden" value="123" /></form>
<iframe name="hideiframe" style='display:none'></iframe>
<script>
document.getElementById("csrffrm").submit();
</script>
?
然后狡猾的***者就可以通過(guò)各種方式吸引已經(jīng)成功登陸www.t.com的用戶點(diǎn)擊進(jìn)入www.a.com/csrfpage.aspx頁(yè)面,最后惡意代碼被執(zhí)行,用戶的博文ID為123的文章在不知不覺(jué)中被***者刪除了
?
CSRF***的條件
?
根據(jù)上面的原理可以看出要實(shí)施CSRF***需要滿足下面幾個(gè)條件:
?
一、需要了解目標(biāo)系統(tǒng)的目錄和相關(guān)參數(shù)名稱,其實(shí)要滿足這個(gè)條件并不困難,***者通過(guò)相關(guān)的“系統(tǒng)目錄彩虹表”進(jìn)行檢測(cè)又或者***者本身也是目標(biāo)系統(tǒng)的用戶之一,那么了解目標(biāo)系統(tǒng)就更容易了;
二、需要一個(gè)執(zhí)行惡意代碼的網(wǎng)站,這個(gè)網(wǎng)站有可能是***者事先部署好的網(wǎng)站,或者惡意網(wǎng)站存在XSS漏洞剛好被***者利用;
三、需要目標(biāo)系統(tǒng)的用戶登錄并且獲得了合法的操作權(quán)限,同時(shí)用戶被誘惑進(jìn)入了惡意的網(wǎng)站;
?
要實(shí)施CSRF***要滿足這三個(gè)條件,由于這些條件并不是那么容易被滿足,所以比較容易被開(kāi)發(fā)者所忽略。
?
CSRF***的防御策略
?
1.使用驗(yàn)證碼
記得之前的12306網(wǎng)站上每次查票都要輸入惡心的驗(yàn)證碼,之所以要設(shè)計(jì)這個(gè)驗(yàn)證碼它的目的是為了防止機(jī)器刷票,當(dāng)然也能有效的預(yù)防CSRF***,但是如果每個(gè)操作都要用戶輸入驗(yàn)證碼用戶可能會(huì)崩潰掉,用戶體驗(yàn)效果非常的不好;
?
2.檢查Referer(來(lái)源)
除了驗(yàn)證碼還可以檢查Referer是否來(lái)自于同一個(gè)源,如果Referer是同源的那么這個(gè)操作是可信的,這個(gè)方法通常用于防止圖片盜鏈,但是有些時(shí)候Referer并不是那么的可靠,服務(wù)器并不是能夠百分之百的獲得,比如如果用戶啟用了瀏覽器的隱私策略那么瀏覽器就有可能阻止發(fā)送Referer,服務(wù)器就有可能無(wú)法獲取到這個(gè)值,所以這個(gè)方式不符合科學(xué)嚴(yán)謹(jǐn)?shù)脑瓌t;
?
3.使用token(隨機(jī)令牌)
服務(wù)器生成一個(gè)隨機(jī)令牌,并保存起來(lái),可以保存在服務(wù)端的session集合里邊,或者保存在客戶端的cookie、或者頁(yè)面視圖狀態(tài)中都是可以的,由于瀏覽器的同源策略,惡意網(wǎng)站無(wú)法讀取到目標(biāo)網(wǎng)站的cookie和頁(yè)面視圖狀態(tài),然后把隨機(jī)令牌隨表單一起提交并在服務(wù)端驗(yàn)證隨機(jī)令牌的有效性;
轉(zhuǎn)載于:https://blog.51cto.com/983836259/1623146
總結(jié)
以上是生活随笔為你收集整理的CSRF***与防御的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 路由器的升级系统
- 下一篇: rhel6.5网卡初始化错误解决