跨站请求伪造攻击 CSRF
摘录:
1.跨站点请求伪造
首先,什么是跨站点请求伪造?
跨站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。
说的白话一点就是,别的站点伪造你的请求,最可怕的是你还没有察觉并且接收了。听起来确实比较危险,下面有个经典的实例,了解一下跨站点请求伪造到底是怎么是实现的,知己知彼。
受害者:Bob 黑客:Mal 银行:bank bob在银行有一笔存款,可以通过请求
http://bank.example/withdraw?account=bob&amount=1000000&for=bob2
把钱转到bob2下。通常情况下,该请求到达网站后,服务器会验证请求是否来自一个合法的session,并且该session的用户Bob已登录。Mal在该银行也有账户,于是他伪造了一个地址http://bank.example/withdraw?account=bob&amount=1000000&for=mal
,但是如果直接访问,服务器肯定会识别出当前登录用户是mal而不是Bob,不能接受请求。于是通过CSRF攻击方式,将此链接伪造在广告下,诱使Bob自己点这个链接,那么请求就会携带Bob浏览起的cookie一起发送到银行,而Bob同时又登录了银行或者刚刚登录不久session还没有过期,那服务器发现cookie中有Bob的登录信息,就接收了响应,攻击就成功了
2.现在主要的几种防御CSRF的策略:
1. 验证Referer:
referer携带请求来源,从示例可以看出,受害者发送非法请求肯定不是在银行的界面,所以在服务器通过验证Referer是不是bank.example
开始就可以了,这个方法简单粗暴。
最简单的实现就是加个Filter:
- /**
- * 根据请求地址获取token-key
- */
- public static String getTokenKey(HttpServletRequest request){
- String key = null;
- try {
- MessageDigest mDigest = MessageDigest.getInstance("MD5");//摘要算法可以自己选择
- byte[] result = mDigest.digest(request.getRequestURL().toString().getBytes());
- key = StringUtil.bytes2hex(result);
- } catch (NoSuchAlgorithmException e) {
- LOGGER.error("get token key failed",e);
- }
- return key
- }
- /**
- * 获取token-value并存储在session中
- */
- public static String getTokenValue(HttpServletRequest request){
- String key = getTokenKey(request);
- Map<String,String> tokenMap = null;
- Object obj = request.getSession().getAttribute("tokenMap");
- if(obj == null){
- tokenMap = new HashMap<String,String>();
- request.getSession().setAttribute("tokenMap", tokenMap);
- } else {
- tokenMap = (Map<String,String>)obj;
- }
- if(tokenMap.containsKey(key)){
- return tokenMap.get(key);
- }
- String value = GUID.generate();//GUID实现可自行百度,其实弄个伪随机数也是可以的...
- tokenMap.put(key,value);
- return value;
- }
- /**
- * 验证token
- */
- public static boolean verify(String key ,String value ,HttpServletRequest request){
- boolean result = false;
- if (StringUtil.isEmpty(key) || StringUtil.isEmpty(value)) {//key或value只要有一个不存在就验证不通过
- return result;
- }
- if (request.getSession() != null) {
- Map<String,String> tokenMap = getTokenMap(request);
- if(value.equals(tokenMap.get(key))){
- result = true;
- tokenMap.remove(key);//成功一次就失效
- }
- }
- return result;
- }
完成上边的工具方法后,需要在form中添加token,如下:
- <form name="frm" action="/test/tokentest.htm" method="POST">
- <input type="hidden" name="token_key" value="<%=Token.getTokenKey(request) %>"/>
- <input type="hidden" name="token_value" value="<%=Token.getTokenValue(request) %>"/>
- ...
- </form>
验证可以放在Filter里也可以放在Service里,只要保证请求/test/tokentest.htm
会先验证就行了。直接调用工具方法Token.verify()
以下就不赘述了。
3. 在HTTP头中自定义属性并验证:
这个方法和上面那个类似,也是设置token,只是把token设置为HTTP头中的自定义属性。
通过XMLHttpRequest可以一次性给所有该类请求的HTTP头加上token 属性,但是XMLHttpRequest请求通常用于Ajax方法对局部页面的异步刷新,比较有局限性;而且通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏,一方面不会通过Referer泄露token,另一方面会导致前进,后退,刷新,收藏等操作失效,所以还是慎用。
虽然上面介绍了几种方法,但现在还没有一种完美的解决方案,但是通过Referer和Token方案结合起来使用,也能很得有效CSRF攻击。
跨站请求伪造攻击 CSRF的更多相关文章
- 安全性测试入门 (三):CSRF 跨站请求伪造攻击和防御
本篇继续对于安全性测试话题,结合DVWA进行研习. CSRF(Cross-site request forgery):跨站请求伪造 1. 跨站请求伪造攻击 CSRF则通过伪装成受信任用户的请求来利用受 ...
- XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结(转载)
转载自 https://blog.csdn.net/baidu_24024601/article/details/51957270 之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让 ...
- CSRF(跨站请求伪造)攻击方式
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSR ...
- ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的方法
在HTTP POST请求中,我们多次在View和Controller中看下如下代码: View中调用了Html.AntiForgeryToken(). Controller中的方法添加了[Valida ...
- CSRF(跨站请求伪造攻击)漏洞详解
Cross-Site Request Forgery(CSRF),中文一般译作跨站点 请求伪造.经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三.与前两者相比 ...
- 浅谈CSRF(跨站请求伪造)攻击方式
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSR ...
- SpringSecurity原理解析以及CSRF跨站请求伪造攻击
SpringSecurity SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造 ...
- 教你轻松解决CSRF跨站请求伪造攻击
摘要:CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站.与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也 ...
- Web安全测试之跨站请求伪造(CSRF)篇
跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑.本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体 ...
随机推荐
- Android4.0新控件
谷歌在推出Android4.0的同时推出了一些新控件,Android4.0中最常用的新控件有下面5种. 1. Switch的使用 Switch顾名思义,就是开关的意思,有开和关两种状态. 当Swit ...
- http常见状态码(转载)
常见HTTP状态码 常见HTTP状态码 200 OK 301 Moved Permanently 302 Found 304 Not Modified 307 Temporary Redirect 4 ...
- 【转】matlab图形句柄详解(一)
在matlab中,每一个对象都有一个数字来标识,叫做句柄.当每次创建一个对象时,matlab就为它建立一个唯一的句柄,句柄中包含有该对象的相关信息参数,可以在后续程序中进行操作,改变其中的参数,以便达 ...
- Node.js在任意目录下使用express命令‘不是内部或外部命令’解决方法
1.一开始我只能在nodejs全局目录下使用express命令建一个新的项目,建在其他任意一个目录命令行都会提示"不是内部或外部命令",导致目录会乱,目录如下. 2.尝试了一会,发 ...
- python之在线平台与量化投资
0. 第一个量化策略 # 初始化函数,设定基准等等 def initialize(context): set_benchmark('000300.XSHG') g.security = get_ind ...
- JAVA设计模式---模板方法
1.定义: 在一个方法中定义一个算法的骨架,而将一些步骤延迟到子类中,模板方法使得子类可以在不改变算法结构的情况下,重新定义算法中的某些步骤. (为了防止子类改变模板方法中的算法,可以将模板方法声明为 ...
- python实现时间o(1)的最小栈
这是毕业校招二面时遇到的手写编程题,当时刚刚开始学习python,整个栈写下来也是费了不少时间.毕竟语言只是工具,只要想清楚实现,使用任何语言都能快速的写出来. 何为最小栈?栈最基础的操作是压栈(pu ...
- asp.net core 中 sql server 2017 数据库连接测试
使用sql server 2017 进行连接: 配置appsettings.json文件 { "ConnectionStrings": { "DefaultConnect ...
- Maven中避开测试环节
两种方法 修改pom文件 添加<skipTests>true</skipTests>标签 <plugin> <groupId>org.apache.ma ...
- 用Python发送邮件
文件:send.py # -*- coding:utf-8 -*- # ## 任兴测试用Python发送邮件 import os import sys import getopt import tim ...