CSRF笔记整理

跨站请求伪造

复制代码
##### 类型

* GET:基于url直接修改

<!-- -->

* POST:基于表单修该
复制代码
##### 基本原理

* 用户在同一浏览器登陆了网站A并访问了攻击者在网站B上构造的恶意链接(针对网站A用户信息的一些数据操作)

<!-- -->

* 用户点击恶意链接瞬间会触发csrf攻击;通过网站B后台以该用户的身份向网站A发送恶意请求达到非法操作

<!-- -->

* 利用了cookie保持会话的功能
复制代码
##### 触发条件

* 网站A的某处操作存在CSRF漏洞(只通过cookie验证,没有过多的其他验证:验证码,referer信息,token值等)

<!-- -->

* 用户在同一浏览器中分别打开了网站A和网站B

<!-- -->

* 用户登录了网站A并在登录期间访问了网站B中的恶意链接
复制代码
##### 危害

* 篡改目标网站上的用户数据;

<!-- -->

* 盗取用户隐私数据;

<!-- -->

* 作为其他攻击向量的辅助攻击手法;

<!-- -->

* 传播 CSRF 蠕虫。
复制代码
##### 防御

* 使用POST字段发送数据(可以降低风险)

<!-- -->

* 增加验证码二次验证

<!-- -->

* 检查referer字段是否满足同源策略

<!-- -->

* Anti CSRF Toke(随机指定token)

<!-- -->

* 对操作的一些关键数据进行加密传输

浏览同源策略

复制代码
##### 同源策略

* 协议、端口、域名都相同为同源
复制代码
##### 浏览器同源策略主要用于解决用户在访问网站资源时的安全问题;防止随意跳转到恶意网站造成资产损害

* 在该网站页面中只允许访问同源的资源

<!-- -->

* 阻止非同源资源加载和url跳转
复制代码
##### 不受同源策略限制的资源

* 页面上的链接,比如 a 链接。

<!-- -->

* 重定向。

<!-- -->

* 表单提交。

<!-- -->

* 跨域资源的引入,比如:script, img, link, iframe
复制代码
##### 解决不同源脚本交互问题(即非同源资源加载的问题)

*

  ###### JSONP 解决跨域

  * 在源网站中创建script脚本利用回调函数将数据以JSON格式传递过来

  <!-- -->

  * JSON格式:键值对{key: value} 如{name : "jane"}

  <!-- -->

  * 问题
    * 由于使用回调函数传参所以只能使用GET方法;不安全;

    <!-- -->

    * 由于通过修改脚本代码实现,容易被注入恶意代码

<!-- -->

*

  ###### CORS 解决跨域(跨域资源共享---------Cross-origin resource sharing)

  * 通过在对应的服务器设置白名单的方式来解决跨域资源交互的问题

  <!-- -->

  * AJAX概念
    * AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)

    <!-- -->

    * 通过跟服务器交互实现局部html代码的改动

    <!-- -->

    * XMLHttpRequest是实现Ajax的一种方式

  <!-- -->

  * 流程
    * 浏览器检测到ajax请求为跨域请求时会自动加入Origin字段声明来源(协议+域名+端口号)

    <!-- -->

    * CORS服务端收到该请求时判断Origin字段的url是否在可访问的白名单里

    <!-- -->

    * 如果在白名单里则返回带有Access-Control-Allow-Origin和Access-Control- Allow-Credentials字段的响应包
      * Access-Control-Allow-Origin(ACAO)
        * 白名单中的数据;允许访问的源地址

      <!-- -->

      * Access-Control- Allow-Credentials(ACAC)
        * true:服务器允许上传cookie值

        <!-- -->

        * false:服务器不允许上传cookie值

    <!-- -->

    * 否则返回同源检测异常

  <!-- -->

  *

    ###### CORS漏洞

    * 检测方法
      * 常看响应包是否存在ACAO和ACAC两个字段,且ACAC=true

      <!-- -->

      * 查看ACAO的信息是否为\*或null(存在)

      <!-- -->

      * 尝试修改origin查看ACAO的变化(不断变化则存在)

    <!-- -->

    * 漏洞成因:ACAO配置错误+ACAC=true
      * 使用origin字段充当ACAO

      <!-- -->

      * 对origin字段没有严格匹配
        * 前缀匹配

        <!-- -->

        * 后缀匹配

        <!-- -->

        * url中的点号为转义

        <!-- -->

        * ACAO无限制
相关推荐
@insist1231 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨2 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors2212 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
疯狂打码的少年3 小时前
【软件工程】软件开发模型:增量模型与迭代模型
笔记·软件工程
工程管理笔记3 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
Generalzy3 小时前
从本地 Demo 到生产级检索:Milvus 学习笔记(3)
笔记·学习·milvus
凉、介6 小时前
Virtio 系列(一):框架概览
笔记·学习·嵌入式·虚拟化·virtio
爱折腾的小黑牛6 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
Yang_jie_036 小时前
笔记:数据结构(栈是否使用底指针以及头指针的初始化值)
数据结构·笔记·算法
一杯奶茶¥8 小时前
c语言程序设计大学期末考试考研知识点重点笔记题库复习资料C语言重点考点题库资料合集
c语言·笔记·考研·c语言程序设计·c语言笔记