CSRF攻击原理及防护
一、CSRF是什么
CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。
二、CSRF攻击原理
CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。
三、CSRF攻击实例
角色:
正常浏览网页的用户:User
正规的但是具有漏洞的网站:WebA
利用CSRF进行攻击的网站:WebB
流程:
步骤一
用户登录、浏览并信任正规网站WebA,同时,WebA通过用户的验证并在用户的浏览器中产生Cookie。
步骤二
攻击者WebB通过在WebA中添加图片链接等方式诱导用户User访问网站WebB。
步骤三
在用户User被诱导访问WebB后,WebB会利用用户User的浏览器访问第三方网站WebA,并发出操作请求。
步骤四
用户User的浏览器根据WebB的要求,带着步骤一中产生的Cookie访问WebA。
步骤五
网站WebA接收到用户浏览器的请求,WebA无法分辨请求由何处发出,由于浏览器访问时带上用户的Cookie,因此WebA会响应浏览器的请求,如此一来,攻击网站WebB就达到了模拟用户操作的目的。
四、CSRF攻击防护
上文简单的叙述了CSRF攻击的原理,接下来将要介绍几种CSRF攻击的防护方法。
1. 只使用JSON API
使用JavaScript发起AJAX请求是限制跨域的,并不能通过简单的 表单来发送JSON,所以,通过只接收JSON可以很大可能避免CSRF攻击。
2. 验证HTTP Referer字段
根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如上文中用户User想要在网站WebA中进行转账操作,那么用户User
必须先登录WabA
然后再通过点击页面上的按钮出发转账事件
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。
因此,要防御 CSRF 攻击,网站WebA只需要对于每一个转账请求验证其 Referer 值,如果是以网站WebA的网址开头的域名,则说明该请求是来自WebA自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。
3. 在请求地址中添加takon验证
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对。
参考链接:https://www.jianshu.com/p/00fa457f6d3e
CSRF攻击原理及防护相关推荐
- php csrf攻击教程,HTTP路由实例教程(三)—— CSRF攻击原理及其防护
HTTP路由实例教程(三)-- CSRF攻击原理及其防护 由 学院君 创建于5年前, 最后更新于 11个月前 版本号 #3 77487 views 92 likes 0 collects 1.什么是C ...
- CSRF攻击原理以及防御方法
CSRF攻击原理以及防御方法 CSRF概念:CSRF跨站点请求伪造(Cross-Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份 ...
- csrf攻击原理与解决方法
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作.这次我们给出攻击原理同时,给出CSRF在服务器端 ...
- CSRF攻击原理和防护措施讲解
CSRF攻击原理讲解 CSRF(Cross Site Request Forger)跨站请求伪造 CSRF是如何攻击的 这样的,比如你在 http://wwww.aaa.com 网站里面, 你现在登录 ...
- SYN,ICMP, UDP Flood攻击原理与防护
DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一.2000年2月,Ya ...
- 风炫安全web安全学习第二十八节课 CSRF攻击原理
风炫安全web安全学习第二十八节课 CSRF攻击原理 CSRF 简介 跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称为 One Click Attack 或 ...
- csrf攻击原理与解决方法_信息安全之CSRF攻击
在之前的文章中我们介绍过XSS攻击 和 SQL 注入.没看过的小伙伴可以在专栏中以往的文章中查看.这两种攻击分别篡改了原始的 HTML 和 SQL 逻辑,从而使得黑客能够执行自定义的功能.那么除了对代 ...
- DDoS攻击原理及防护方法论
从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS勒索,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟.DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严 ...
- DDOS的攻击原理和防护指南
我们现在来分析DDOS的攻击原理. 首先,DDOS是英文Distributed Denial of Service的缩写,意思是分布式拒绝服务.拒绝服务又是什么意思呢?就是采取一些垃圾数据包来阻塞网站 ...
最新文章
- android同步aar到jcenter,android上传aar到jcenter
- MySql 性能优化
- 文件的写操作 c# 1614527940
- RadonDB - 基于MySQL的云原始分布式数据库,用于构建全局的,可扩展的云服务
- Elasticsearch 数据搜索篇
- python span镶嵌匹配_python模式匹配,提取指定字段
- procise 时钟的坑
- 浅显易懂描述傅立叶级数和傅立叶变换的关系
- mysql 添加一列_如何使用mysql在建好的表中添加一列
- ArcGIS中相对高程的提取
- Python OpenCV _1基本操作(画图,循环播放图像,鼠标事件,读取中文路径中的图片)
- jQuery+Ajax+PHP无刷新分页
- MVC《中国电信》项目研发总结
- 五分钟玩转Andriod开发环境配置
- Ubuntu安装图形化界面
- OSI七层——物理层介绍和安全
- Ubuntu18.04中如何更换为清华的镜像源
- python怎么编写流氓软件_自己用python写个删除软件可好?
- Java朗致集团面试题
- HFSS学习笔记——T型波导