Cross-Site Request Forgery 深度解析

CSRF（跨站请求伪造）深度解析

一、攻击原理与核心机制

1.1 基础攻击原理

CSRF（Cross-Site Request Forgery）通过利用用户已认证的身份，诱使用户浏览器在不知情情况下执行非预期操作。攻击流程如下：

1.2 攻击三要素

1. 用户登录状态：目标网站存在有效会话Cookie
2. 请求特征：关键操作未进行二次验证
3. 社会工程：诱导用户访问攻击者构造的URL/页面

二、攻击类型与变种

2.1 基础攻击分类

类型	请求方法	典型场景	示例Payload
GET型CSRF	GET	状态变更（如删除）	<img src="http://example.com/delete?id=42">
POST型CSRF	POST	数据提交（如转账）	<form id="csrf" action="..." method="POST">

2.2 高级攻击变种

Flash CSRF：

// 恶意Flash文件
var loader:URLLoader = new URLLoader();
var request:URLRequest = new URLRequest("http://bank.com/transfer");
request.data = "amount=1000&to=attacker";
loader.load(request);

JSON Hijacking：

// 恶意页面JavaScript
<script>
var oldOpen = XMLHttpRequest.prototype.open;
XMLHttpRequest.prototype.open = function() {
    this.addEventListener('readystatechange', function() {
        if(this.responseText.indexOf('{"balance":') === 0) {
            send_stolen_data(this.responseText);
        }
    });
    oldOpen.apply(this, arguments);
};
</script>

三、防御技术体系

3.1 核心防御策略

同步令牌模式（Synchronizer Token）：

# Django CSRF中间件实现
def get_token(request):
    if request.method == 'GET':
        request.session['csrf_token'] = get_new_token()
    return request.session['csrf_token']

# 表单隐藏字段
<input type="hidden" name="csrfmiddlewaretoken" value="{{ csrf_token }}">

双重提交Cookie：

// 客户端设置
document.cookie = "csrftoken=random_value; SameSite=Strict";

// 请求头携带
fetch('/api/data', {
  headers: {
    'X-CSRFToken': getCookie('csrftoken')
  }
});

3.2 现代防御框架

SameSite Cookie属性：

Set-Cookie: sessionid=abc123; SameSite=Strict; Secure

CORS预检验证：

Access-Control-Allow-Origin: https://trusted.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type, X-CSRF-Token

3.3 验证强化方案

二次认证：

// 关键操作弹窗验证
function performSensitiveAction() {
  const password = prompt("请输入账户密码确认操作：");
  if(verifyPassword(password)) {
    submitForm();
  }
}

请求指纹验证：

# 验证Referer头
if request.META.get('HTTP_REFERER', '').startswith('https://trusted.com'):
    process_request()
else:
    raise PermissionDenied

四、漏洞检测方法

4.1 手动检测流程

1. 登录目标系统
2. 执行关键操作（如修改邮箱）
3. 分析请求特征：
   • 是否存在Token验证
   • Referer头是否验证
   • 是否支持非IDEMPOTENT方法
4. 构造恶意页面测试

4.2 自动化扫描工具

OWASP ZAP扫描策略：

<CSRFScanner>
  <TestStep name="Test GET CSRF">
    <Request method="GET" url="/api/user/123" />
    <Validation>
      <CheckFor>CSRF token</CheckFor>
      <CheckFor>Referer validation</CheckFor>
    </Validation>
  </TestStep>
</CSRFScanner>

Burp Suite插件：

• CSRF PoC Generator
• CSRF Scanner
• Active Scanner++

五、经典案例分析

5.1 历史重大事件

2008年Gmail CSRF漏洞：

• 攻击向量：嵌入恶意图片标签
• 影响范围：可查看用户联系人列表
• 修复方案：强制关键操作使用POST方法并添加Token

2018年GitHub CSRF漏洞：

• 攻击向量：恶意仓库的Webhook配置
• 利用方式：通过OAuth授权流程伪造请求
• 修复方案：实施SameSite Cookie策略

5.2 防御失败案例

某银行网上转账漏洞：

• 漏洞成因：仅验证Referer头
• 攻击手法：构造自动提交转账请求
• 修复建议：增加Token验证+交易金额二次确认

六、合规与标准要求

6.1 法规要求映射

标准	条款要求	实施建议
PCI DSS	6.5.10	关键支付操作实施CSRF防护
GDPR	32(1)(b)	敏感数据处理操作防御CSRF
ISO 27001	A.14.2.5	实施Web应用防火墙规则
NIST 800-53	SC-8, SC-20	配置传输层保护和验证机制

七、前沿防御技术

7.1 AI驱动的检测

行为分析模型：

1. 收集正常用户操作基线
2. 识别异常操作序列（如短时间内多次转账）
3. 结合设备指纹进行风险评分

7.2 浏览器防护

Chrome SameSite升级：

• 默认设置SameSite=Lax
• 严格模式需要显式声明SameSite=None; Secure

Trusted Types API：

// 强制使用可信类型
if (typeof CSP === 'object' && CSP.trustedTypes) {
    const tt = CSP.trustedTypes.createPolicy('csrf-policy', {
        createHTML: (input) => input.replace(/</g, '&lt;')
    });
    document.createElement = new Proxy(document.createElement, {
        apply(target, thisArg, args) {
            args[0] = tt.createHTML(args[0]);
            return target.apply(thisArg, args);
        }
    });
}

八、企业防护实践

8.1 开发阶段控制

8.2 运营阶段监控

关键指标监测：

• CSRF攻击尝试次数
• 异常Referer来源
• Token验证失败率
• 敏感操作审计日志

应急响应流程：

1. 隔离受影响用户会话
2. 分析攻击来源IP
3. 更新WAF防护规则
4. 推送安全补丁

纯学习，希望多Mark，多交流