白帽子讲web安全-跨站点请求伪造

一 CSRF

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法.

二 CSRF进阶

1浏览器的cookie策略

浏览器所支持的cookie分为两种,一种session cookie,又称为临时cookie;另一种是third-party cookie也称为本地cookie。两者区别为本地cookie是服务器在set-cookie时制定了expire时间,只有到了expire时间才会失效。而session-cookie在浏览器关闭后才会失效。

不同浏览器支持的默认允许不一样。

2 p3p头的副作用

尽管有些csrf攻击实施起来不需要认证,不需要发送cookie,但是不可否认的是,大部分敏感或者重要的操作躲在认证之后,因此浏览器拦截了第三方cookie的发送,在某种程度上降低了危害。但是在P3P介入之后,变得复杂。

如果网站返回的浏览器的http 头含有P3P头,某种程度上会允许浏览器发送本地cookie。在网站的业务中,P3P主要用于类似广告等需要跨域访问的页面。但是遗憾的是,设置后,对于cookie的影响将扩大到整个域的页面,因为cookie是以域和path为单位,这不符合最小权限原则。

3get和post都可以发起csrf攻击。

4Flash CSRF

5CSRF Worm

三CSRF的防御

1验证码

2referer check

它主要在互联网中常用于防止图片盗链,同理他可以用于检查请求是否来自合法的源。如果referer的值不是这个页面的,甚至不是发帖网站的域,则极有可能是CSRF攻击。

限制在于服务器并非什么时候都能得到referer.

3 anti csrf token

被攻击的本质是因为重要的操作所有参数都可以被攻击者猜测到。

如果给参数加密,后来再数据分析,工作量大。所以保证原参数不变,新增一个参数token,这个值是随机的,不可预测的。

token应该作为一个秘密,为用户与服务器所共同持有,不能被第三方知晓,在实际应用中,token可以放在用户的session中,或者浏览器的cookie中。由于token的存在,攻击者无法构造一个完整的URL实施攻击。

注意,token只用于对抗CSRF的攻击,当网站存在XSS漏洞,这个方案就变得无效。

你可能感兴趣的:(白帽子讲web安全-跨站点请求伪造)