文章详细解释了CSRF(跨站请求伪造)的原理,通过银行转账的示例展示攻击过程,并提出了防止CSRF的两种主要方法:验证码和Token机制。同时,文章还提及了网络安全的学习路径和视频学习资源。
##### 一、CSRF 是什么?
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
二、实际攻击场景
下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。
1、登录账号
- 正常登录了一家银行网站,查看其后台信息后,没有退出登录;* 假设这家银行操作转账的 URL 是:
https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName* * *
2、恶意链接
- 此时你看到其他网站的一个诱导链接,你下意识点开了;* 诱导链接中包含恶意代码(用 转账链接 替代 真实图片链接)
<img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />* * *
3、攻击完成
- 点击链接后,浏览器会打开
<img>中 src 属性的链接来加载图片,但实际上执行了转账操作; - 转账请求所用电脑、浏览器、ip等环境跟登录账号时的环境一模一样,银行网站后台会认为这就是你本人在操作,所以验证通过,直接转账。
三、防止 CSRF 攻击
服务器端对请求做一次身份验证,拒绝掉无法通过验证的请求,即可方式 CSRF 攻击。
1、第一种方法:验证码
给手机发送数字验证码、图形化验证码让客户识别、让用户再次输入账号密码等进行再次身份验证。
2、第二种方法:Token
- Token 使用过程:
1、服务器生成一个 CSRF token;2、客户端(浏览器) 提交表单中含有 CSRF token 信息;3、服务端接收 CSRF token 并验证其有效性。* 原理说明:攻击者有可能在上面客户端中拿到 CSRF token,但是攻击者只能使用 JavaScript 来发起请求,如果服务器不支持 CORS(跨域资源),那么攻击者的跨域 JavaScript 请求是会被服务器拒绝,达到防止 CSRF 攻击目的。* Node.js 项目中推荐使用csurf,具体使用方法,看这里!* * *
四、参考文档
网络安全成长路线图
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至优快云官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
