网络安全攻防：Web安全之CSRF

zhaorong · 发表于 WEB前端技术 2021-5-7 16:58:14


	CSRF这种攻击方式在2000年已经被国外的安全人员提出但在国内直到2006年才开始被关注 2008年国内外的多个大型社区和交互网站分别爆出 CSRF 漏洞。 CSRFCross-Site Request Forgery 跨站请求伪造攻击。CSRF 是伪造请求冒充用户在站内的正常操作。我们知道绝大多数网站是通过Cookie等方式辨识用户身份包括使用服务器端Session的网站因为Session ID也是大多保存在Cookie 里面的再予以授权的。所以要伪造用户的正常操作最好的方法是通过XSS或链接欺骗等途径让用户在本机即拥有身份 Cookie的浏览器端发起用户所不知道的请求。 CSRF这种攻击方式在2000年已经被国外的安全人员提出但在国内直到2006年才开始被关注 2008年国内外的多个大型社区和交互网站分别爆出 CSRF 漏洞如NYTimes.com 纽约时报 Metafilter一个大型的博客网站Youtube和百度HI。 1. 分类 CSRF漏洞的攻击一般分为站内和站外2种类型。 CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的一些敏感的操作本来是要求用户从表单提交发起 POST 请求传参给程序但是由于使用了$_REQUEST等变量，程序也接收GET请求传参，这样就给攻击者使用 CSRF攻击创造了条件一般攻击者只要把预测好的请求参数放在站内一个帖子或留言的图片链接里，受害者浏览了这样的页面就会被强迫发起请求。 CSRF 站外类型的漏洞其实就是传统意义上的外部提交数据问题一般程序员会考虑给一些留言评论等的表单加上水印以防止 SPAM问题但是为了用户的体验性一些操作可能没有做任何限制所以攻击者可以先预测好请求的参数，在站外的Web页面里编写Javascript脚本伪造文件请求或和自动提交的表单来实现GET POST请求用户在会话状态下单击链接访问站外的Web 页面客户端就被强迫发起请求。 2. 原理 CSRF的原理如图1所示。图1 CSRF原理这就相当于受害者需要在登录A网站之后再去访问B网站而B网站往往就是一些钓鱼网站或诈骗网站。 3. 攻击场景可以用一个例子来说明CSRF的攻击在生活中的应用。如果银行A允许以GET请求的形式来转账这里大多指的不是实际生活中的因为实际生活中银行不可能只用GET请求转账。

微信扫一扫 分享朋友圈

网络安全攻防：Web安全之CSRF

微信扫一扫分享朋友圈