一、漏洞描述

跨站请求伪造（Cross-site request forgery，简称CSRF），是一种常见的Web安全漏洞，由于在Web请求中重要操作的所有参数可被猜测到，攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站，遂使攻击者可冒用用户的身份，进行恶意操作。
经测试，服务器未校验Referer头，因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。

二、解决建议

增加拦截器，判断referer是否合法，合法则放行。

二、解决方法

Springboot 配置文件增加配置

# 信息安全
security:#跨站点伪造请求配置csrf:#是否开启跨站点伪造请求过滤(开启：true 关闭：false)enable: true#不拦截的urlexcludes-url:- /- /login- /logout- /getLoginUrl#不拦截的域名excludes-domain:- localhost- 127.0.0.1

编写配置类

/*** @author wcs* @desccription: 系统安全配置类* @Date: 11:03 2022/2/17*/
@Configuration
@ConfigurationProperties(prefix = "security")
public class SecurityConfig {private CsrfConfig csrf;private AccountConfig account;public CsrfConfig getCsrf() {return csrf;}public void setCsrf(CsrfConfig csrf) {this.csrf = csrf;}public AccountConfig getAccount() {return account;}public void setAccount(AccountConfig account) {this.account = account;}
}

import java.util.List;/*** @author wcs* @desccription: 跨站点请求伪造* @Date: 11:05 2022/2/17*/
public class CsrfConfig {/*** 是否启用*/private boolean enable;public void setEnable(boolean enable) {this.enable = enable;}public boolean isEnable() {return enable;}/*** 忽略的URL*/private List<String> excludesUrl;public void setExcludesUrl(List<String> excludesUrl) {this.excludesUrl = excludesUrl;}public List<String> getExcludesUrl() {return excludesUrl;}/*** 忽略的domain*/private List<String> excludesDomain;public void setExcludesDomain(List<String> excludesDomain) {this.excludesDomain = excludesDomain;}public List<String> getExcludesDomain() {return excludesDomain;}
}

编写过滤器

/*** CSRF过滤器** @author wcs*/
@Configuration
@WebFilter(filterName = "CsrfFilter", urlPatterns = "/*")
public class CsrfFilter implements Filter {private static Logger LOGGER = LoggerFactory.getLogger(CsrfFilter.class);/*** 过滤器配置对象*/FilterConfig filterConfig = null;@Autowiredprivate SecurityConfig security;/*** 初始化*/@Overridepublic void init(FilterConfig filterConfig) throws ServletException {this.filterConfig = filterConfig;security.getCsrf().getExcludesDomain().addAll(Arrays.asList(new String[]{"localhost", "127.0.0.1"}));}/*** 拦截*/@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) servletRequest;String referer = request.getHeader("Referer");String serverName = request.getServerName();//如果 referer 为空放行if (StringUtils.isBlank(referer)) {filterChain.doFilter(servletRequest, servletResponse);return;}URL url = null;try {url = new URL(referer);} catch (MalformedURLException e) {servletResponse.setContentType("application/json; charset=UTF-8");servletResponse.getWriter().write(JSONUtil.toJsonStr(new ReturnT<>(ReturnT.FAIL_CODE, "系统不支持当前域名的访问！")));LOGGER.error("域名：{}解析异常", url);}referer = url.getHost();// 不启用或者已忽略的URL不拦截if (!security.getCsrf().isEnable() || isExcludeUrl(request.getServletPath())) {filterChain.doFilter(servletRequest, servletResponse);return;}if (StringUtils.isNotBlank(referer)) {// 不启用或者已忽略的domain不拦截if (!security.getCsrf().isEnable() || isExcludesDomain(referer)) {filterChain.doFilter(servletRequest, servletResponse);return;}}// 判断是否存在外链请求本站if (StringUtils.isNotBlank(referer) && referer.indexOf(serverName) < 0) {LOGGER.error("拦截到非法请求：=> 服务器域名：{} => 非法访问域名：{}", serverName, referer);servletResponse.setContentType("application/json; charset=UTF-8");servletResponse.getWriter().write(JSONUtil.toJsonStr(new ReturnT<>(ReturnT.FAIL_CODE, "系统不支持当前域名的访问！")));} else {filterChain.doFilter(servletRequest, servletResponse);}}/*** 销毁*/@Overridepublic void destroy() {this.filterConfig = null;}/*** 判断是否为忽略的URL** @param urlPath URL路径* @return true-忽略，false-过滤*/private boolean isExcludeUrl(String urlPath) {if (security.getCsrf().getExcludesUrl() == null || security.getCsrf().getExcludesUrl().isEmpty()) {return false;}return security.getCsrf().getExcludesUrl().stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(urlPath)).anyMatch(Matcher::matches);}/*** 判断是否为忽略的域名** @param urlPath URL路径* @return true-忽略，false-过滤*/private boolean isExcludesDomain(String urlPath) {if (security.getCsrf().getExcludesDomain() == null || security.getCsrf().getExcludesDomain().isEmpty()) {return false;}return security.getCsrf().getExcludesDomain().stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(urlPath)).anyMatch(Matcher::find);}
}

CSRF跨站请求伪造漏洞修复相关推荐

【安全牛学习笔记】CSRF跨站请求伪造***漏洞的原理及解决办法
CSRF跨站请求伪造***漏洞的原理及解决办法 CSRF,夸张请求伪造漏洞漏洞的原理及修复方法 1.常见的触发场景 2.漏洞原理:浏览器同源策略 3.DEMO 4.漏洞危害 5.如何避免&修 ...
CSRF(跨站请求伪造)漏洞
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合 ...
漏洞解决方案-跨站请求伪造漏洞
跨站请求伪造漏洞CSRF 跨站请求伪造漏洞CSRF 一.问题描述: 二.整改建议: 三.案例: 1. 客户端进行CSRF防御 2. 服务端进行CSRF防御跨站请求伪造漏洞CSRF 一.问题描述: C ...
【安全牛学习笔记】CSRF跨站请求伪造攻击漏洞的原理及解决办法
CSRF跨站请求伪造攻击漏洞的原理及解决办法 CSRF,夸张请求伪造漏洞漏洞的原理及修复方法 1.常见的触发场景 2.漏洞原理:浏览器同源策略 3.DEMO 4.漏洞危害 5.如何避免&修复 ...
Weblogic服务端请求伪造漏洞（SSRF）和反射型跨站请求伪造漏洞（CSS）修复教程...
一.服务端请求伪造漏洞服务端请求伪造(Server-Side Request Forgery),是指Web服务提供从用户指定的URL读取数据并展示功能又未对用户输入的URL进行过滤,导致攻击者可借助 ...
【CSRF漏洞-01】跨站请求伪造漏洞靶场实战
概述跨站请求伪造(Cross-site request forgery,CSRF)是一种攻击,它强制终端用户在当前对其进行身份验证后的web应用程序上执行非本意的操作. CSRF攻击的主要目的在伪造 ...
Cisco跨站请求伪造漏洞
Cisco于11月2日发布了安全更新,修复其部分产品中的多个漏洞.其中最严重的是跨站请求伪造漏洞(CVE-2022-20961),它影响了身份服务引擎(ISE),根本原因是基于Web的管理界面的CSR ...
WordPress Citizen Space插件跨站请求伪造漏洞
漏洞名称: WordPress Citizen Space插件跨站请求伪造漏洞 CNNVD编号: CNNVD-201307-463 发布时间: 2013-07-23 更新时间: 2013-07-23 ...
WordPress WP cleanfix插件‘eval()’函数跨站请求伪造漏洞
漏洞名称: WordPress WP cleanfix插件'eval()'函数跨站请求伪造漏洞 CNNVD编号: CNNVD-201305-381 发布时间: 2013-05-20 更新时间: 201 ...
XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。
之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让自己在接下来的面试有个清晰的概念. XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不和 ...

CSRF跨站请求伪造漏洞修复

文章目录