你知道什么是CSRF攻擊嗎？如何防范？

CSRF 攻擊利用 Web 的以下屬性：cookie 用于存儲憑據(jù)，HTML 元素（與 JavaScript 不同）被允許發(fā)出跨域請求，HTML 元素隨所有請求發(fā)送所有 cookie（以及憑據(jù)）。

CSRF 將所有這些放在一起。攻擊者創(chuàng)建了一個惡意網(wǎng)站，其中包含向受害者的來源提交請求的 HTML 元素。當(dāng)受害者導(dǎo)航到攻擊者的站點時，瀏覽器會將受害者來源的所有 cookie 附加到請求中，這使得攻擊者生成的請求看起來像是由受害者提交的。

它是如何工作的？

它僅在潛在受害者經(jīng)過身份驗證時才有效。

攻擊者可以通過使用 CSRF 攻擊繞過身份驗證過程進(jìn)入網(wǎng)站。

CSRF 攻擊在具有額外權(quán)限的受害者執(zhí)行某些操作而其他人無法訪問或執(zhí)行這些操作的情況下使用。例如，網(wǎng)上銀行。

CSRF 攻擊分兩個主要部分執(zhí)行

第一步是吸引用戶/受害者點擊鏈接或加載惡意頁面。攻擊者使用社會工程學(xué)來欺騙受害者。

第二步是通過向受害者的瀏覽器發(fā)送偽造的請求來欺騙受害者。此鏈接會將看似合法的請求重定向到網(wǎng)站。攻擊者將擁有他必須尋找的受害者的價值觀或詳細(xì)信息；受害者會認(rèn)為該請求是合法的。攻擊者還將獲得與受害者瀏覽器相關(guān)聯(lián)的 cookie 的詳細(xì)信息。

CSRF 的關(guān)鍵概念

攻擊者向用戶訪問的站點發(fā)送惡意請求，攻擊者認(rèn)為受害者已針對該特定站點進(jìn)行了驗證。

受害者的瀏覽器針對目標(biāo)站點進(jìn)行身份驗證，并用于路由目標(biāo)站點的惡意請求。

在這里，受害者的瀏覽器或?qū)嵤┝?CSRF 預(yù)防方法的站點不會受到攻擊；受影響的網(wǎng)站是主要漏洞。

如何防止跨站請求偽造（CSRF）？

有幾種 CSRF 預(yù)防方法；其中一些是：

在不使用 Web 應(yīng)用程序時注銷它們。

保護(hù)您的用戶名和密碼。

不要讓瀏覽器記住密碼。

在您處理應(yīng)用程序并登錄時，請避免瀏覽。

反 CSRF Token

阻止跨站點請求偽造 (CSRF) 的最常見實現(xiàn)是使用與選定用戶相關(guān)的令牌，并且可以在每個狀態(tài)下作為隱藏表單找到，動態(tài)表單出現(xiàn)在在線應(yīng)用程序上。

1. 這個Token，簡稱 CSRF Token

工作原理如下：

客戶端請求具有表單的HTML 頁面。

為了響應(yīng)這個請求，服務(wù)器附加了兩個令牌。它將一個作為 cookie 發(fā)送，并將其他令牌保存在隱藏的表單字段中。這些令牌是隨機(jī)生成的。

提交表單后，客戶端將兩個令牌都發(fā)送回服務(wù)器。cookie 令牌作為令牌發(fā)送，表單令牌在表單數(shù)據(jù)內(nèi)部發(fā)送。

如果一個請求沒有兩個請求，則服務(wù)器不會響應(yīng)或拒絕該請求。

試圖偽造請求的攻擊者將不得不猜測反 CSRF 令牌和用戶的身份驗證密碼。一段時間后，一旦會話結(jié)束，這些令牌就會失效，這使得攻擊者難以猜測令牌。

2. 同站點 Cookie

有一些 cookie 與來源或網(wǎng)站相關(guān)聯(lián)，當(dāng)請求發(fā)送到該特定來源時，cookie 會隨之發(fā)送。此類請求稱為跨域請求。在此過程中，cookie 被發(fā)送給第三方，這使得 CSRF 攻擊成為可能。

3. 相同的站點 Cookie 屬性

為了防止 CSRF 攻擊，可以使用同站點 cookie 屬性。它禁用第三方對特定 cookie 的使用。

由服務(wù)器在設(shè)置cookie時完成；只有當(dāng)用戶直接使用 Web 應(yīng)用程序時，它才會請求瀏覽器發(fā)送 cookie 。

如果有人試圖從 Web 應(yīng)用程序請求某些東西，瀏覽器將不會發(fā)送 cookie。

但是，它可以防止 CSRF 攻擊。

這有一個限制，現(xiàn)代瀏覽器不支持同站點 cookie，而舊瀏覽器不支持使用同站點 cookie 的 Web 應(yīng)用程序。

CSRF 示例

下面我們有解釋一些例子CSRF ：

1. 使用 GET 請求：

假設(shè)您已經(jīng)實現(xiàn)并設(shè)計了一個網(wǎng)站banking.com，以使用GET 請求執(zhí)行諸如在線交易之類的操作，現(xiàn)在，知道如何制作惡意 URL 的聰明攻擊者可能會使用元素讓瀏覽器靜默加載頁面。

包含惡意 URL的HTML 圖像元素示例：

2. 可以使用以下技術(shù)之一來做同樣的事情：

通過發(fā)送包含 HTML 內(nèi)容的電子郵件

通過在頁面上植入腳本或惡意 URL。

3. 使用 POST 請求

關(guān)于 HTTP POST 請求有一個普遍的誤解，認(rèn)為 CSRF 攻擊可以通過允許 HTTP POST 請求來防止，這實際上是不正確的。攻擊者可以使用HTML 或 JavaScript創(chuàng)建表單并使用自動提交功能來提交 POST 請求，而無需用戶單擊提交按鈕。

結(jié)論

Cookie 很容易受到攻擊，因為它們是隨請求自動發(fā)送的，允許攻擊者實施 CSRF 并發(fā)送惡意請求，CSRF 漏洞的影響還取決于受害者的權(quán)限，其 Cookie 與攻擊者的請求一起發(fā)送。

雖然數(shù)據(jù)檢索不是 CSRF 攻擊的主要范圍，但狀態(tài)變化肯定會對被利用的 Web 應(yīng)用程序產(chǎn)生不利影響。因此，建議防止您的網(wǎng)站使用預(yù)防方法來保護(hù)您的網(wǎng)站免受 CSRF 的影響。

鏈接：https://www.wljslmz.cn/1098.html

審核編輯：劉清