CSRF(Cross-site request forgery 跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
攻击通过在授权用户访问的页面中包含链接或者脚本的 方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消 息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片tag。如果Bob的银行在cookie中保 存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。
CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。在上面银行示例中的代理人是Bob的web浏览器,它被混淆后误将Bob的授权直接交给了Alice使用。
下面是CSRF的常见特性:
依靠用户标识危害网站
利用网站对用户标识的信任
欺骗用户的浏览器发送HTTP请求给目标站点
另外可以通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击。
风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。
使用图片的CSRF攻击常常出现在网络论坛中,因为那里允许用户发布图片而不能使用JavaScript。
X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options 有三个值:
DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。
ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。
换一句话说,如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为 SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
今天早上收到一封邮件,是一个官方网站使用者反馈的high level bug,读了一下是关于X-Frame-Options的网站点击劫持攻击。
说明如下:
读完后,我按着他的攻击方式测试了京东,天猫,淘宝。。。多个网站进行了测试,网站都是允许我嵌套<iframe></iframe>使用的。
<html><head>
<title> CSRF testing </title>
<style>
frame {
opacity: 0.5;
border: none;
position: absolute;
top: 0px;
left: 0px;
z-index: 1000;
}
</style>
</head>
<body>
<script>
window.onbeforeunload = function()
{
return " Do you want to leave ?";
}
</script>
<p> site is vulnerable for CSRF!</p>
<iframe id="frame" width="100%" height="100%" src="https://world.taobao.com/"></iframe>
</body>
</html>于是我就明白为什么在一些网站总是可以看到电商的广告了
1、基于网站DAU/MAU,引用知名度高的网站提高自己网站的点击量。
2、在高诱惑区域设置点击事件,诱导用户访问目标方法。
3、能否借助用户登陆的session信息进行个人访问?
但是,为什么这些网站没有设置X-Frame-Options呢?
当然不会呀,免费提高DAU/MAU的事情为什么要拒绝,哈哈哈哈哈哈😂
其实还是因为他们做足了预防点击劫持事件的Bug。如果只是引用页面增加曝光倒俄安全无所谓了。
解决办法:
app.use( async (ctx, next) => {
ctx.set('X-Frame-Options', 'DENY');
await next();
} )
原理就是在响应头里添加X-Frame-Options字段。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
