CSRF***与防御
概述
?
CSRF是Cross Site Request Forgery的縮寫,中文是跨站點請求偽造;接下來將和大家分享這種***的原理、實施的方法、以及防御的幾種方案;
?
CSRF***的原理
?
通過在惡意網站部署好***代碼和相關數據,然后引導目標網站的已經授權的用戶進入惡意網站,由于瀏覽器已經獲得了目標網站的用戶授權票據,因此惡意網站就可以執行“事先”部署好的代碼向目標網站提交數據使目標網站執行一些寫的操作,比如刪除目標網站的數據、向目標網站提交垃圾數據等,然而這個過程是在后臺默默執行的,用戶毫不知情。
?
舉個例子說明一下吧:
?
假設www.t.com是目標網站,有一個頁面www.t.com/blog/delete.aspx?id=123 是刪除ID為123的博文操作;
那么***者就可以在惡意網站www.a.com/csrfpage.aspx頁面部署下面的代碼:
<form id="csrffrm" action="http://www.t.com/blog/delete.aspx" target="hideiframe"><input name="id" type="hidden" value="123" /></form>
<iframe name="hideiframe" style='display:none'></iframe>
<script>
document.getElementById("csrffrm").submit();
</script>
?
然后狡猾的***者就可以通過各種方式吸引已經成功登陸www.t.com的用戶點擊進入www.a.com/csrfpage.aspx頁面,最后惡意代碼被執行,用戶的博文ID為123的文章在不知不覺中被***者刪除了
?
CSRF***的條件
?
根據上面的原理可以看出要實施CSRF***需要滿足下面幾個條件:
?
一、需要了解目標系統的目錄和相關參數名稱,其實要滿足這個條件并不困難,***者通過相關的“系統目錄彩虹表”進行檢測又或者***者本身也是目標系統的用戶之一,那么了解目標系統就更容易了;
二、需要一個執行惡意代碼的網站,這個網站有可能是***者事先部署好的網站,或者惡意網站存在XSS漏洞剛好被***者利用;
三、需要目標系統的用戶登錄并且獲得了合法的操作權限,同時用戶被誘惑進入了惡意的網站;
?
要實施CSRF***要滿足這三個條件,由于這些條件并不是那么容易被滿足,所以比較容易被開發者所忽略。
?
CSRF***的防御策略
?
1.使用驗證碼
記得之前的12306網站上每次查票都要輸入惡心的驗證碼,之所以要設計這個驗證碼它的目的是為了防止機器刷票,當然也能有效的預防CSRF***,但是如果每個操作都要用戶輸入驗證碼用戶可能會崩潰掉,用戶體驗效果非常的不好;
?
2.檢查Referer(來源)
除了驗證碼還可以檢查Referer是否來自于同一個源,如果Referer是同源的那么這個操作是可信的,這個方法通常用于防止圖片盜鏈,但是有些時候Referer并不是那么的可靠,服務器并不是能夠百分之百的獲得,比如如果用戶啟用了瀏覽器的隱私策略那么瀏覽器就有可能阻止發送Referer,服務器就有可能無法獲取到這個值,所以這個方式不符合科學嚴謹的原則;
?
3.使用token(隨機令牌)
服務器生成一個隨機令牌,并保存起來,可以保存在服務端的session集合里邊,或者保存在客戶端的cookie、或者頁面視圖狀態中都是可以的,由于瀏覽器的同源策略,惡意網站無法讀取到目標網站的cookie和頁面視圖狀態,然后把隨機令牌隨表單一起提交并在服務端驗證隨機令牌的有效性;
轉載于:https://blog.51cto.com/983836259/1623146
總結
以上是生活随笔為你收集整理的CSRF***与防御的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 路由器的升级系统
- 下一篇: rhel6.5网卡初始化错误解决