2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
今天來(lái)說(shuō)一下關(guān)于CSRF是什么及CSRF有什么用這方面的一些訊息,不少朋友對(duì)于CSRF是什么及CSRF有什么用這方面的信息頗感興趣的。小編今天就為此整理一些相關(guān)的訊息,希望對(duì)有需要的朋友有所幫助。
CSRF(Cross-site request forgery),中文名稱(chēng):跨站請(qǐng)求偽造,也被稱(chēng)為:one click attack/session riding,縮寫(xiě)為:CSRF/XSRF。
跨站請(qǐng)求偽造 Cross-site request forgery
跨站請(qǐng)求偽造(英語(yǔ):Cross-site request forgery),也被稱(chēng)為 one-click attack 或者 session riding,通常縮寫(xiě)為 CSRF 或者 XSRF, 是一種挾制用戶(hù)在當(dāng)前已登錄的 Web 應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。跟跨網(wǎng)站腳本(XSS)相比,XSS 利用的是用戶(hù)對(duì)指定網(wǎng)站的信任,CSRF 利用的是網(wǎng)站對(duì)用戶(hù)網(wǎng)頁(yè)瀏覽器的信任。
跨站請(qǐng)求攻擊,簡(jiǎn)單地說(shuō),是攻擊者通過(guò)一些技術(shù)手段欺騙用戶(hù)的瀏覽器去訪問(wèn)一個(gè)自己曾經(jīng)認(rèn)證過(guò)的網(wǎng)站并運(yùn)行一些操作(如發(fā)郵件,發(fā)消息,甚至財(cái)產(chǎn)操作如轉(zhuǎn)賬和購(gòu)買(mǎi)商品)。由于瀏覽器曾經(jīng)認(rèn)證過(guò),所以被訪問(wèn)的網(wǎng)站會(huì)認(rèn)為是真正的用戶(hù)操作而去運(yùn)行。這利用了 web 中用戶(hù)身份驗(yàn)證的一個(gè)漏洞:簡(jiǎn)單的身份驗(yàn)證只能保證請(qǐng)求發(fā)自某個(gè)用戶(hù)的瀏覽器,卻不能保證請(qǐng)求本身是用戶(hù)自愿發(fā)出的。
CSRF 可以做什么
你這可以這么理解 CSRF 攻擊:攻擊者盜用了你的身份,以你的名義發(fā)送惡意請(qǐng)求。CSRF 能夠做的事情包括:以你名義發(fā)送郵件,發(fā)消息,盜取你的賬號(hào),甚至于購(gòu)買(mǎi)商品,虛擬貨幣轉(zhuǎn)賬……造成的問(wèn)題包括:個(gè)人隱私泄露以及財(cái)產(chǎn)安全。
CSRF 漏洞現(xiàn)狀
CSRF 這種攻擊方式在 2000 年已經(jīng)被國(guó)外的安全人員提出,但在國(guó)內(nèi),直到 06 年才開(kāi)始被關(guān)注,08 年,國(guó)內(nèi)外的多個(gè)大型社區(qū)和交互網(wǎng)站分別爆出 CSRF 漏洞,如:NYTimes.com(紐約時(shí)報(bào))、Metafilter(一個(gè)大型的 BLOG 網(wǎng)站),YouTube 和百度 HI……而現(xiàn)在,互聯(lián)網(wǎng)上的許多站點(diǎn)仍對(duì)此毫無(wú)防備,以至于安全業(yè)界稱(chēng) CSRF 為“沉睡的巨人”。
防御措施
檢查 Referer 字段
HTTP 頭中有一個(gè) Referer 字段,這個(gè)字段用以標(biāo)明請(qǐng)求來(lái)源于哪個(gè)地址。在處理敏感數(shù)據(jù)請(qǐng)求時(shí),通常來(lái)說(shuō),Referer 字段應(yīng)和請(qǐng)求的地址位于同一域名下。以上文操作為例,Referer 字段地址通常應(yīng)該是轉(zhuǎn)賬按鈕所在的網(wǎng)頁(yè)地址,應(yīng)該也位于 www.leiue.com 之下。而如果是 CSRF 攻擊傳來(lái)的請(qǐng)求,Referer 字段會(huì)是包含惡意網(wǎng)址的地址,不會(huì)位于 www.leiue.com 之下,這時(shí)候服務(wù)器就能識(shí)別出惡意的訪問(wèn)。
這種辦法簡(jiǎn)單易行,工作量低,僅需要在關(guān)鍵訪問(wèn)處增加一步校驗(yàn)。但這種辦法也有其局限性,因其完全依賴(lài)瀏覽器發(fā)送正確的 Referer 字段。雖然 http 協(xié)議對(duì)此字段的內(nèi)容有明確的規(guī)定,但并無(wú)法保證來(lái)訪的瀏覽器的具體實(shí)現(xiàn),亦無(wú)法保證瀏覽器沒(méi)有安全漏洞影響到此字段。并且也存在攻擊者攻擊某些瀏覽器,篡改其 Referer 字段的可能。
添加校驗(yàn) token
由于 CSRF 的本質(zhì)在于攻擊者欺騙用戶(hù)去訪問(wèn)自己設(shè)置的地址,所以如果要求在訪問(wèn)敏感數(shù)據(jù)請(qǐng)求時(shí),要求用戶(hù)瀏覽器提供不保存在 cookie 中,并且攻擊者無(wú)法偽造的數(shù)據(jù)作為校驗(yàn),那么攻擊者就無(wú)法再運(yùn)行 CSRF 攻擊。這種數(shù)據(jù)通常是窗體中的一個(gè)數(shù)據(jù)項(xiàng)。服務(wù)器將其生成并附加在窗體中,其內(nèi)容是一個(gè)偽隨機(jī)數(shù)。當(dāng)客戶(hù)端通過(guò)窗體提交請(qǐng)求時(shí),這個(gè)偽隨機(jī)數(shù)也一并提交上去以供校驗(yàn)。
正常的訪問(wèn)時(shí),客戶(hù)端瀏覽器能夠正確得到并傳回這個(gè)偽隨機(jī)數(shù),而通過(guò) CSRF 傳來(lái)的欺騙性攻擊中,攻擊者無(wú)從事先得知這個(gè)偽隨機(jī)數(shù)的值,服務(wù)端就會(huì)因?yàn)樾r?yàn) token 的值為空或者錯(cuò)誤,拒絕這個(gè)可疑請(qǐng)求。
以上就是關(guān)于CSRF是什么及CSRF有什么用這方面的一些信息了 小編整理的這些訊息希望對(duì)童鞋們有所幫助
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。