JAVA年度安全 第六週 阻止CSRF

原創 wavefly_liu 2020-02-24 17:32

原文地址:

http://www.jtmelton.com/2012/02/07/year-of-security-for-java-week-6-csrf-prevention-in-java/

Whatis it and why should I care?

跨站點請求僞造(CSRF)是指受害者當被一個網站授權後,在其未知覺的情況下被強行向這個網站發起一個未知的或者未期望的請求。網站的授權憑證通常以瀏覽器的cookie方式保存,每次請求會自動傳送到服務器。利用這種原理,攻擊者可以誘使受害者對網站執行幾乎所有存在CSRF漏洞的請求。

下面圖片簡要揭示了CSRF攻擊的基本流程:

crsf flow

第一步:誘使受害者訪問一個惡意網站(evil.com)

第二步:受害者的瀏覽器加載擁有一個隱藏圖片的惡意網站,這張圖片有一個指向目標網站good.com的腳本指令。

第三步:受害者的瀏覽器將good.com會話cookie(通常是認證信息)發送到good.com上,並且在good.com上執行這個指令

第四步:指令執行之後受害者才知道結果,或者全然不知。

Whatshould I do about it?

既然知道了CSRF的原理和危害,那考慮一些解決方案:

 

Token令牌

經典的CSRF解決方案是爲每個session分配一個token(例如同步標誌位設計方案):

基本流程:

第一步:用戶登陸之後,將一個隨機字符串放到用戶session中

第二步:在所有的非冪等性的表單提交請求中(意思是任何修改服務器狀態的請求應該是通過HTTP Posts的方式提交的),當表單提交的時候,token也是其中的一個請求參數。

第三步:負責這個非冪等性請求的處理器會驗證提交進來的token參數是否和session中保存的token參數一致。如果提交的token缺失或者不一致,則拒絕這個請求。

 

經過多年的驗證這個方案能夠完美適用於幾乎所有的場景。但是也有缺點:

1、 實現這個方案很耗時間。

2、 特殊情況下能繞過某些請求的驗證。

 

ESAPI(https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API)項目內置基於授權模型的CSRF防護實現。這裏有一份我之前寫的關於ESAPI CSRF實現的文章:(http://www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/)

 

CSRFGuard

OWASP CSRFGuard項目(https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project)是一個可靠的CSRF防護方案,使用這個方案僅僅需要在你的應用中添加一個filter和相應的配置文件。這是一個值得研究的項目。

 

Stateless CSRFProtection

還有一個有趣的防護實現是stateless CSRF方案(http://appsandsecurity.blogspot.com/2012/01/stateless-csrf-protection.html),作者是John Wilander(https://twitter.com/#!/johnwilander)。John提出一個有創意的想法:服務器端不需要在用戶會話中保存相應的token,由客戶端來生成一個防止CSRF Token的cookie(每次請求都提交到服務器),同時每次提交都將這個token當做一個請求參數。因爲攻擊者不能同時獲取到目標網站的token cookie和token請求參數,服務端只需要驗證這個token請求參數和token cookie是否一致就可以了。在我的印象中,這個方案還沒有被廣泛的測試驗證過,但能夠優雅解決這個複雜的問題,或許時間能夠證明stateless CSRF是一個更好的方案。

 

CSRF攻擊是一個流行且危險的攻擊方式,但是通過上面的防護方案,就能妥善解決這個風險。

 

最後需要注意的是token令牌方式在有XSS漏洞的網站上是無法起作用的。因爲攻擊者可以根據XSS漏洞讀取當前正在使用的token令牌,這樣就能夠繞過基於Token方式的防護方案。解決方法很簡單:修復XSS漏洞!

 

References
———–
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet
http://www.cgisecurity.com/csrf-faq.html
http://www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Jfrog實操手冊-Trouble Shooting-PKIX path building failed

1、Jenkins持續集成 配置Artifactory異常(需安裝Artifactory插件) 系統管理--系統設置--Artifactory An error occurred while connecting to JFrog Ar

原創 2024-05-20 11:27:30

Role-based Security with Forms Authentication

Introduction Forms Authentication in ASP.NET can be a powerful feature. With very little code and effort, you can have

liner0607 2020-07-08 03:01:05

ubuntu系統安裝cacti

acti is a complete network graphing solution designed to harness the power of RRDTool’s data storage and graphing funct

love_tu 2020-07-07 17:32:53

nagios upgrade changelog

nagios 3.0.2 - nagios 3.2.0 從3.0.2到3.2.0的一些重要更新: 安全方面提示: Patches for possible XSS vulnerability in CGIs (CVE-2007-5803

justinyun 2020-07-07 07:15:18

WebSphere Portal Security

Initial Access Control Settings   When you install portal server , the installation program will ask you for administr

alexsuncam 2020-07-07 03:24:12

Read LTPA token with API

We have two options to do this     * Cookie: You can use the LtpaToken from the cookie. This approach works in all case

alexsuncam 2020-07-07 03:24:12

samba完美解決ubuntu中虛擬機無法與宿主共享

首先安裝 samba,也可以在新立得裏搜索安裝。sudo apt-get install sambasudo apt-get install smbfs下面我們來共享羣組可讀寫文件夾,假設你要共享的文件夾爲: /home/ray/shar

forestarmy 2020-07-07 00:32:54

Linq to sql(一) DataContext

首先要引用兩個命名空間: using System.Data.Linq.Mapping; using System.Data.Linq; //右擊“引用”選擇“添加引用” /*  * DataContext類型(數據上下文)是Syste

JRoger_ 2020-07-06 21:25:36

AOP觀念與術語

示例下載。 AOP全名爲Aspect-Oriented Programming,有關於AOP的許多名詞術語都過於抽象,單從字面上並不容易理解其名詞意義,這邊將以之前介紹代理機制的範例來逐一對照以介紹AOP的術語與觀念: <!--[i

wintersunair 2020-07-06 14:51:40

asp.net prepared for Interview (4)

ADO.NET Different between DataReader and DataSet: The DataReader object helps in retrieving the data from a database

zhangxiao86 2020-07-06 09:15:58

Ten things to do with IIS(From CodeProject website)

Introduction As an IIS administrator it sometimes gets downright annoying having to fend off all the insults from Apach

wangxi1240 2020-07-05 23:48:11

asp.net TreeView控件與數據庫連接

http://blog.sina.com.cn/s/blog_634a305f0100mry2.html 首先添加TreeView控件 using System; using System.Data; using System.Dat

immortal_mcl 2020-07-05 21:44:05

C#操作sql server

//1.創建連接字符串 string strCnn = "server=.;database=students;integrated security=true"; // string strCnn = "serve

wjv20110308 2020-07-05 18:43:00

IPsec SA creation steps

  IPsec SA creation steps  There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to

nunogomes18 2020-07-05 17:15:16

RHCA---Red Hat終極認證最新消息!

這段時間在備考RHCE,也關注了RHCA的動向,之前RHCA在官網上一直只標出了AUD的價格,今天再看的時候發現已經標上CNY人民幣了! RHS333 - Red Hat Enterprise Security: Network Serv

萧少聪 2020-07-05 12:49:19