一、 啥是CSRF?别再傻傻分不清XSS了!
各位看官,今天咱们聊聊网络安全界一个让人防不胜防的“老六”——CSRF(Cross-Site Request Forgery,跨站请求伪造)。这玩意儿,江湖人称“一点就着”,英文名叫One Click Attack,还有个洋气的别名Session Riding。
虽然名字里带个“Cross-site”,听起来像XSS(跨站脚本攻击)的远房亲戚,但它们俩可是八竿子打不着!XSS是利用你对网站的信任,而CSRF呢?它更阴险,它冒充你去忽悠你信任的网站!
简单来说,CSRF就像是攻击者掌握了你的“葵花点穴手”,能操控你的浏览器,偷偷摸摸地访问那些你曾经登录过的网站,然后干一些“见不得人”的勾当,比如:
偷偷发邮件、发消息,让你背锅。
更狠的是,直接操控你的财产,转账、买东西,让你欲哭无泪!
为啥它能这么嚣张?因为你的浏览器之前已经验证过身份了,所以那些被访问的网站还以为是你在操作呢,压根儿没起疑心!
二、 CSRF攻击:一场精心策划的“狸猫换太子”!
想知道CSRF是怎么把你玩弄于股掌之中的吗?来,咱们一起看看它的攻击过程:
故事是这样的:
你(User C)打开浏览器,兴冲冲地访问了你信任的网站A,输入账号密码,成功登录!
网站A也很给力,验证了你的身份,给你发了个“通行证”——Cookie,有了它,你就能在网站A里畅行无阻啦。
重点来了!在你还没退出网站A的时候,你又手贱地打开了一个新标签页,访问了“心怀不轨”的网站B。
网站B可不是什么善茬,它接收到你的请求后,偷偷地给你塞了一段“恶意代码”,这段代码会伪装成你的请求,去访问你信任的网站A!
更可怕的是,你的浏览器还傻乎乎地带着你的“通行证”——Cookie,一起去访问网站A。网站A一看,这请求带着我的Cookie,肯定是我自己人啊!于是,二话不说就执行了网站B发来的“恶意代码”。
就这样,你在不知不觉中,就被CSRF给“安排”了!
三、 CSRF攻击:花样百出,总有一款适合你!
CSRF这玩意儿,就像百变怪,能变出各种花样来攻击你。接下来,咱们就来扒一扒CSRF的几种常见类型:
GET型CSRF:简单粗暴,一击致命!
这种攻击方式最简单,只需要一个HTTP GET请求就能搞定。
举个栗子:
假设你的银行网站A,用GET请求来处理转账操作:
http://www.mybank.com/Transfer.php?toBankId=11&money=1000
这时候,如果有个“居心叵测”的网站B,里面藏着这样一段HTML代码:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
你先登录了银行网站A,然后又访问了网站B,boom!你的银行账户瞬间少了1000块!
为啥会这样?
因为银行网站A太随便了,用GET请求来更新资源!更要命的是,你的浏览器还“助纣为虐”,带着你的Cookie去请求第三方资源,银行网站A一看,这请求没毛病啊,直接就给你转账了!
POST型CSRF:披着羊皮的狼,防不胜防!
以前,很多人都觉得CSRF只能用GET请求来搞,所以就把重要的操作改成只允许POST请求,以为这样就能高枕无忧了。
Too young, too simple!
攻击者才不会这么轻易放弃呢!他们会用各种方法来构造POST请求,比如:
利用表单: 在一个页面里偷偷摸摸地构造一个表单,然后用JavaScript自动提交。
隐藏的iframe: 把这个页面藏在一个不可见的iframe窗口里,让你根本察觉不到!
举个更高级的栗子:
2007年,Gmail就爆出过一个CSRF漏洞。攻击者先诱骗你登录Gmail,然后让你访问一个恶意页面。这个页面里藏着一个iframe,指向一个CSRF构造页面:
http: //www.gnucitizen.org/util/csrf?_method=POST&_enctype=multipart/form-data&_action=https%3A//mail.google.com/mail/h/ewtljmuj4ddv/%3Fv%3Dprf&cf2_emc=true&cf2_email=evilinboxmailinator.com&cfl_from&cfl_toucf1_subjicf1_has&cfl_hasnotscf1_attach=truestfi&S=z&irf=on&nvp bu_cftb=Create%20Filter
这个链接的作用就是生成一个POST表单,然后自动提交。由于你的浏览器里已经有了Gmail的Cookie,所以这个请求就能成功地在你的Gmail里创建一个规则,把所有带附件的邮件都转发到攻击者的邮箱里!
四、 CSRF防御:保护你的账号,刻不容缓!
CSRF这么可怕,难道我们就只能坐以待毙了吗?当然不是!下面就给大家介绍几种常见的CSRF防御方法:
拥抱JSON API:
使用JavaScript发起AJAX请求可以限制跨域,而且不能通过简单的表单来发送JSON。所以,只接收JSON可以大大降低CSRF攻击的风险。
验证HTTP Referer字段:
HTTP头里的Referer字段会告诉你这个请求是从哪里来的。一般来说,访问安全页面的请求都应该来自同一个网站。
比如,你要在银行网站A里转账,那你就必须先登录网站A,然后点击页面上的转账按钮。这时候,转账请求的Referer值应该是转账按钮所在页面的URL。
如果黑客想搞CSRF攻击,他只能在他的网站上构造请求。当用户通过黑客的网站发送请求到网站A时,Referer就会指向黑客的网站。
所以,网站A只需要验证每个转账请求的Referer值,如果是以网站A的网址开头的域名,那就是自己人,可以放行。如果Referer是其他网站,那就有可能是CSRF攻击,直接拒绝!
添加Token验证:
CSRF攻击之所以能成功,是因为黑客可以完全伪造你的请求,而且你所有的验证信息都存在Cookie里。所以,黑客可以在不知道这些验证信息的情况下,直接利用你的Cookie来通过安全验证。
要防御CSRF,就要在请求里放一些黑客伪造不了的信息,而且这些信息还不能存在Cookie里。
你可以在HTTP请求里加一个随机生成的token,然后在服务器端建一个拦截器来验证这个token。如果请求里没有token,或者token不对,那就说明有可能是CSRF攻击,直接拒绝!
这个方法比检查Referer更安全,你可以先在用户登录后生成token,然后放到session里。每次请求时,都把token从session里拿出来,跟请求里的token进行比对。
总而言之,网络安全无小事,防范CSRF,人人有责!只有掌握了这些攻防技巧,才能在网络世界里更好地保护自己!
**黑客/网络安全学习包**
**资料目录**
1. 成长路线图&学习规划
2. 配套视频教程
3. SRC&黑客文籍
4. 护网行动资料
5. 黑客必读书单
6. 面试题合集
<font color="red">因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享](https://mp.weixin.qq.com/s/Z0QpzQFIqasJPfRNUb25dg "优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享")****************************************************************************************************************************************************************************************************************************************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要**先学习成长路线图**,**方向不对,努力白费**。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
<font color="red">因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享](https://mp.weixin.qq.com/s/Z0QpzQFIqasJPfRNUb25dg "优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享")****************************************************************************************************************************************************************************************************************************************************************
2.视频教程
很多朋友都不喜欢**晦涩的文字**,我也为大家准备了视频教程,其中一共有**21个章节**,每个章节都是**当前板块的精华浓缩**。
<font color="red">因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享](https://mp.weixin.qq.com/s/Z0QpzQFIqasJPfRNUb25dg "优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享")****************************************************************************************************************************************************************************************************************************************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的**SRC技术文籍&黑客技术**也有收录
**SRC技术文籍:**
**黑客资料由于是敏感资源,这里不能直接展示哦!**
4.护网行动资料
其中关于**HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!**
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始**思考找工作**的事情了,而工作绕不开的就是**真题和面试题。**
**更多内容为防止和谐,可以扫描获取~**
<font color="red">因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享](https://mp.weixin.qq.com/s/Z0QpzQFIqasJPfRNUb25dg "优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享")****************************************************************************************************************************************************************************************************************************************************************
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
