csrf攻击原理与解决方法

0x01前言

因为现代浏览器的工作机制原因，造成一种WEB攻击形态的存在， 这种攻击形式叫做CSRF攻击，以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时，给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题，在很多流行的WEB框架中，都会将CSRF的问题直接在WEB框架层面解决。

我们先抛出CSRF这个问题，然后介绍基于时间与签名的防护手段，并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能， LUA是一种容易理解的脚本语言，大家可以把Lua代码直接看成的伪语言描述工具，对于实现代码核心的加密函数，sha、base64这种函数，各大语言库都有支持， 如果各位老师想实践一下这种基于时间和签名的算法处理流程，本文最后给出了Lua平台上，各种对这些主要加密函数支持的库，老师们可以实际操作调试LUA代码，更深的体会防护处理流程。

0x02 CSRF攻击原理

CSRF概念：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：

攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。如下：其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。

CSRF攻击原理及过程如下：

1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；

5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

0x03 CSRF防御原理

CSRF防护的一个重点是要对“用户凭证”进行校验处理，通过这种机制可以对用户的请求是合法进行判断，判断是不是跨站攻击的行为。因为“用户凭证”是Cookie中存储的，所以防护机制的处理对像也是Cookie的数据，我们要在防护的数据中加入签名校验，并对数据进行生命周期时间管理，就是数据过期管理。

Lapis框架是一种基于Moonscript语言开发的WEB框架，框架中有一段针对CSRF(Cross—Site Request Forgery)的防护代码， 是一种围绕时间戳和签名验证的CSRF防护设计，后来Lapis的作者Leafo老师还更新了CSRF的处理代码：

Changes

Replaced the CSRF implementation, removed the key parameter and replaced with it randomly generated string stored in cookie.

跨站攻击的本质是， 攻击者拿着你的“身份凭证”，冒充你进行的相关攻击行为。

为了防止CSRF的发生，创建Token处理机制，Token数据结构与时间、加密签名直接相关， 这么设计的的目的如上所说，是给“身份凭证”加上时间生存周期管理和签名校验管理，如果的凭证被人拿到了， 要先判断Token中的“签名”与时间戳是否都有效，再进行正常的业务处理， 这样通过对非法数据的校验过滤，来降低CSRF攻击的成功率。