CSRF攻击原理

CSRF

• CSRF（Cross-site request forgery）跨站请求伪造，CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS，CSRF是利用了系统对页面浏览器的信任，XSS则利用了系统对用户的信任。
• CSRF攻击是源于WEB的隐式身份验证机制，WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的。
• CSRF攻击条件：
  　　1、客户端必须一个网站A并生成cookie凭证存储在浏览器中
  　　2、该cookie没有清除，客户端又tab一个页面B进行访问别的网站，从而在别的网站中被黑客利用，去执行用户并不知情的对A的操作
• 攻击方式
  • Get型CSRF：GET型的CSRF利用非常简单,通常只要发送一段HTTP请求。简单的说，如果一个网站某个地方的功能，比如(用户修改自己邮箱)是通过GET进行请求修改的话
  • POST型CSRF：举个例子 比如在一个教育视频网站平台。在普通用户的眼中，点击网页->打开试看视频->购买视频 是一个很正常的一个流程。可是在攻击者的眼中可以算正常，但又不正常的，当然不正常的情况下，是在开发者安全意识不足没有进行处理所造成。攻击者在购买处抓到购买时候网站处理购买(扣除)用户余额的地址。
    比如：/coures/user/handler/25332/buy.php //通过buy.php处理购买(购买成功)的信息，这里的25532为视频ID
    那么攻击者现在构造一个表单(form.html)，如：
    document.forms[0].submit(); //自动提交
    构造好form表单后，那么攻击者将form.html上传至一台服务器上，将该页面 如:/form.html
    发送给受害者，只要受害者正在登陆当前教育网站的时候，打开攻击者发送的页面，那么代码则自动触发，自动购买了id为25332的视频
• csrf攻击流程
  • 发现漏洞可利用处->构造(搭建)搭建代码->发送给用户(管理员)->触发代码(发送请求)
• 防御CSRF
  • 验证 HTTP Referer 字段
    1）验证 HTTP Referer 字段
    根据 HTTP 协议，在 HTTP 头中有一个字段叫 Referer，它记录了该 HTTP 请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，比如需要访问 http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory，用户必须先登陆 bank.example，然后通过点击页面上的按钮来触发转账事件。这时，该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL，通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击，他只能在他自己的网站构造请求，当用户通过黑客的网站发送请求到银行时，该请求的 Referer 是指向黑客自己的网站。因此，要防御 CSRF 攻击，银行网站只需要对于每一个转账请求验证其 Referer 值，如果是以 bank.example 开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。
    这种方法的显而易见的好处就是简单易行，网站的普通开发人员不需要操心 CSRF 的漏洞，只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查 Referer 的值就可以。特别是对于当前现有的系统，不需要改变当前系统的任何已有代码和逻辑，没有风险，非常便捷。
    然而，这种方法并非万无一失。Referer 的值是由浏览器提供的，虽然 HTTP 协议上有明确的要求，但是每个浏览器对于 Referer 的具体实现可能有差别，并不能保证浏览器自身没有安全漏洞。使用验证 Referer 值的方法，就是把安全性都依赖于第三方（即浏览器）来保障，从理论上来讲，这样并不安全。事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。如果 bank.example 网站支持 IE6 浏览器，黑客完全可以把用户浏览器的 Referer 值设为以 bank.example 域名开头的地址，这样就可以通过验证，从而进行 CSRF 攻击。
    即便是使用最新的浏览器，黑客无法篡改 Referer 值，这种方法仍然有问题。因为 Referer 值会记录下用户的访问来源，有些用户认为这样会侵犯到他们自己的隐私权，特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此，用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时，网站会因为请求没有 Referer 值而认为是 CSRF 攻击，拒绝合法用户的访问。
  • get请求只能用来执行查询操作，增删改操作尽量用post
  • token 验证
    举例yii2框架使用这总方式来防御csrf攻击：yii在post请求时，要携带_csrf字段一起提交，才能请求成功，而这里的_csrf是后台生成的token字段传到前台放在表单隐藏域中的，同时后台的token的存放不是通过session，因为为了避免session文件过大，所以后台将_csrf又以cookie形式通过某种算法加密后返给了客户端，这时post请求时就会携带隐藏域中的_csrf字段和cookie中的_csrf，后台接受数据后，先将cookie中的_csrf解密，然后和隐藏域中的_csrf对比，如果相同，则请求通过，否则请求失败
  • 加验证码