web漏洞——CSRF攻击原理及防御

CSRF漏洞介绍

CSRF(Cross-site request forgery，跨站请求伪造)，通常缩写为CSRF或XSRF是一种对网站的恶意利用。它利用受害者尚未失效的身份认证信息（cookie，会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。

 

CSRF属于业务逻辑漏洞，在服务器看来所有请求都是合法正常的，XSS，sql注入等等都属于技术漏洞

XSS：客户信任服务器

CSRF：服务器信任客户（经过身份认证的）

 

CSRF分类：

按照攻击方式可以分为HTML CSRF攻击,JSON HiJacking攻击,Flash CSRF攻击

按照请求类型来区分。分为：GET类型和POST类型

 

前提：

1. 用户必须登录
2. 黑客必须懂一些发包请求
3. 服务器端没有二次验证
4. 被害者是不知情的

 

CSRF危害：

1. 篡改目标网站上的用户数据
2. 盗取用户隐私数据
3. 作为其他攻击向量的辅助攻击手法
4. 传播CSRF蠕虫

 

CSRF流程图

1. 用户登录，登录名为admin，密码为123
2. 服务器返回cookie值
3. 攻击者伪造URL（含新密码456）
4. 点击访问URL
5. 打开404页面，密码已被修改，123—>456
6. 攻击者不知道密码是否修改成功，所以隔一段时间，尝试用新密码登录

服务器信任用户，在服务器端认为用户自己改了密码如右图，实际情况左图

 

附404页面

在第一行里style=”display:none;”作用不显示改密页面，

 

 

CSRF和XSS区别：

1、CSRF需要登陆后操作，XSS不需要。

2、XSS利用站点内信任用户，而CSRF则通过伪装成受信任用户请求受信任的网站。

3、CSRF是请求页面api来实现非法操作，XSS是向当前页面植入js脚本来修改页面内容。

 

 

CSRF防御

根本性防范策略

筛选出需要防范CSRF的页面

确认是正规用户自愿发起的请求

其中，确认请求确实由用户自愿发起的方法有3种

嵌入机密信息（令牌）

再次输入密码

检验Referer

辅助性对策

执行完关键处理后，向注册用户的邮箱或手机发送通知

 

 

CSRF防范策略的比较

	嵌入令牌	再次输入密码	确认referer
开发耗时	中	中	小
对用户的影响	无	增加了输入密码的麻烦	关闭了referer的用户无法正常使用
能否用于手机网站	√	√	×
建议使用的地方	最基本的防御策略，所有情况下均可使用	需要防范他人伪装或者确认需求很强的页面	用于能够限定用户环境的既有应用的CSRF防范策略