CSRF攻擊與防御
責編:admin |2015-04-10 10:49:17概述
CSRF是Cross Site Request Forgery的縮寫,中文是跨站點請求偽造;接下來將和大家分享這種攻擊的原理、實施的方法、以及防御的幾種方案;
CSRF攻擊的原理
通過在惡意網站部署好攻擊代碼和相關數據,然后引導目標網站的已經授權的用戶進入惡意網站,由于瀏覽器已經獲得了目標網站的用戶授權票據,因此惡意網站就可以執行“事先”部署好的代碼向目標網站提交數據使目標網站執行一些寫的操作,比如刪除目標網站的數據、向目標網站提交垃圾數據等,然而這個過程是在后臺默默執行的,用戶毫不知情。
舉個例子說明一下吧:
假設www.t.com是目標網站,有一個頁面www.t.com/blog/delete.aspx?id=123 是刪除ID為123的博文操作;
那么攻擊者就可以在惡意網站www.a.com/csrfpage.aspx頁面部署下面的代碼:
<form id=”csrffrm” action=”http://www.t.com/blog/delete.aspx” target=”hideiframe”><input name=”id” type=”hidden” value=”123″ /></form>
<iframe name=”hideiframe” style=’display:none’></iframe>
<script>
document.getElementById(“csrffrm”).submit();
</script>
然后狡猾的攻擊者就可以通過各種方式吸引已經成功登陸www.t.com的用戶點擊進入www.a.com/csrfpage.aspx頁面,最后惡意代碼被執行,用戶的博文ID為123的文章在不知不覺中被攻擊者刪除了
CSRF攻擊的條件
根據上面的原理可以看出要實施CSRF攻擊需要滿足下面幾個條件:
一、需要了解目標系統的目錄和相關參數名稱,其實要滿足這個條件并不困難,攻擊者通過相關的“系統目錄彩虹表”進行檢測又或者攻擊者本身也是目標系統的用戶之一,那么了解目標系統就更容易了;
二、需要一個執行惡意代碼的網站,這個網站有可能是攻擊者事先部署好的網站,或者惡意網站存在XSS漏洞剛好被攻擊者利用;
三、需要目標系統的用戶登錄并且獲得了合法的操作權限,同時用戶被誘惑進入了惡意的網站;
要實施CSRF攻擊要滿足這三個條件,由于這些條件并不是那么容易被滿足,所以比較容易被開發者所忽略。
CSRF攻擊的防御策略
1.使用驗證碼
記得之前的12306網站上每次查票都要輸入惡心的驗證碼,之所以要設計這個驗證碼它的目的是為了防止機器刷票,當然也能有效的預防CSRF攻擊,但是如果每個操作都要用戶輸入驗證碼用戶可能會崩潰掉,用戶體驗效果非常的不好;
2.檢查Referer(來源)
除了驗證碼還可以檢查Referer是否來自于同一個源,如果Referer是同源的那么這個操作是可信的,這個方法通常用于防止圖片盜鏈,但是有些時候Referer并不是那么的可靠,服務器并不是能夠百分之百的獲得,比如如果用戶啟用了瀏覽器的隱私策略那么瀏覽器就有可能阻止發送Referer,服務器就有可能無法獲取到這個值,所以這個方式不符合科學嚴謹的原則;
3.使用token(隨機令牌)
服務器生成一個隨機令牌,并保存起來,可以保存在服務端的session集合里邊,或者保存在客戶端的cookie、或者頁面視圖狀態中都是可以的,由于瀏覽器的同源策略,惡意網站無法讀取到目標網站的cookie和頁面視圖狀態,然后把隨機令牌隨表單一起提交并在服務端驗證隨機令牌的有效性;