安基網 首頁 安全 Web安全 查看內容

網絡安全之CSRF(跨站點請求偽造)

2019-8-15 14:24| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 1.什么是CSRF?跨站點請求偽造(也稱為CSRF)是一個Web安全漏洞,允許攻擊者誘使用戶執行他們不打算執行的操作。比如以你的名義發送惡意請求,對服務器來說這個請求是完全合法的,但 是攻擊者卻可能完成了所他期望的操作(以你的名義發送郵件、發消息,盜取你的賬號,添加系統管理員,甚至于購買商品、 ...

1.什么是CSRF?

跨站點請求偽造(也稱為CSRF)是一個Web安全漏洞,允許攻擊者誘使用戶執行他們不打算執行的操作。比如以你的名義發送惡意請求,對服務器來說這個請求是完全合法的,但 是攻擊者卻可能完成了所他期望的操作(以你的名義發送郵件、發消息,盜取你的賬號,添加系統管理員,甚至于購買商品、虛擬貨幣轉賬等)。

2.CSRF原理

  • 用戶A打開瀏覽器,訪問受信任網站B,網站B要求用戶A輸入用戶名和密碼請求登錄網站B
  • 在用戶信息通過驗證后,網站B產生Cookie信息并返回給瀏覽器,此時用戶登錄網站B成功,可以正常發送請求到網站B;
  • 在用戶A退出網站B之前,在同一瀏覽器中,用戶A又打開了一個頁面訪問網站C(帶有CSRF惡意代碼的網站);
  • 4. 網站C接收到用戶A請求后,執行了CSRF惡意代碼,發出一個請求要求訪問第三方站點B;
  • 5. 瀏覽器在接收到這些CSRF惡意代碼后,根據網站C的請求,在用戶不知情的情況下攜帶著他的Cookie信息,向網站B發出請求。但是網站B并不知道該請求不是由用戶A發起的,而是由網站C發起的,所以網站B會根據用戶A的Cookie信息以A的權限處理該請求,導致來自網站C的CSRF惡意代碼被執行。
  • 注:Cookie指某些網站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數據(通常經過加密)。

3.CSRF攻擊成功的三個關鍵條件

  • 相關行動。應用程序中存在攻擊者有理由誘導的操作。這可能是特權操作(例如修改其他用戶的權限)或對用戶特定數據的任何操作(例如更改用戶自己的密碼)。
  • 基于Cookie的會話處理。執行操作涉及發出一個或多個HTTP請求,并且應用程序僅依賴會話cookie來標識發出請求的用戶。沒有其他機制可用于跟蹤會話或驗證用戶請求。
  • 沒有不可預測的請求參數。執行操作的請求不包含攻擊者無法確定或猜測其值的任何參數。例如,當導致用戶更改其密碼時,如果攻擊者需要知道現有密碼的值,則該功能不容易受到攻擊。

4.防止CSRF攻擊

抵御CSRF攻擊的最有效方法是在相關請求中包含CSRF令牌。CSRF令牌應該具有以下特點:

  • 高熵不可預測。
  • 綁定到用戶的會話。
  • 在相關行動執行之前,在每種情況下都經過嚴格的驗證。

其中主要的防止CSRF攻擊的方式有:

  • 驗證 HTTP Referer 字段
  • 在請求地址中添加 token 并驗證
  • 在 HTTP 頭中自定義屬性并驗證

5.常見的CSRF漏洞

  • CSRF令牌的驗證取決于請求方法
  • CSRF令牌的驗證取決于令牌存在
  • CSRF令牌與用戶會話無關
  • CSRF令牌綁定到非會話cookie
  • CSRF令牌只是在cookie中復制
  • Referer的驗證取決于標題存在


小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6725040508818686467/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 重庆时时全天计划qq群 华瑞优配 陕西11选五一定牛遗漏走势图 幸运飞艇怎么抓3码 江苏11选五中三个号 腾讯秒秒彩稳赢打法 秒速赛车平台 15选5万能码必中奖号 加拿大有快乐8吗 北京十一选五体彩一定牛 青海快三电脑版 所有股票一览表 贵州快三开奖结果 股票涨跌影响总资产 湖北十一选五一定牛走势图 七星彩一等奖多少钱