CSRF笔记整理

跨站请求伪造

##### 类型

* GET:基于url直接修改

<!-- -->

* POST:基于表单修该
##### 基本原理

* 用户在同一浏览器登陆了网站A并访问了攻击者在网站B上构造的恶意链接(针对网站A用户信息的一些数据操作)

<!-- -->

* 用户点击恶意链接瞬间会触发csrf攻击;通过网站B后台以该用户的身份向网站A发送恶意请求达到非法操作

<!-- -->

* 利用了cookie保持会话的功能
##### 触发条件

* 网站A的某处操作存在CSRF漏洞(只通过cookie验证,没有过多的其他验证:验证码,referer信息,token值等)

<!-- -->

* 用户在同一浏览器中分别打开了网站A和网站B

<!-- -->

* 用户登录了网站A并在登录期间访问了网站B中的恶意链接
##### 危害

* 篡改目标网站上的用户数据;

<!-- -->

* 盗取用户隐私数据;

<!-- -->

* 作为其他攻击向量的辅助攻击手法;

<!-- -->

* 传播 CSRF 蠕虫。
##### 防御

* 使用POST字段发送数据(可以降低风险)

<!-- -->

* 增加验证码二次验证

<!-- -->

* 检查referer字段是否满足同源策略

<!-- -->

* Anti CSRF Toke(随机指定token)

<!-- -->

* 对操作的一些关键数据进行加密传输

浏览同源策略

##### 同源策略

* 协议、端口、域名都相同为同源
##### 浏览器同源策略主要用于解决用户在访问网站资源时的安全问题;防止随意跳转到恶意网站造成资产损害

* 在该网站页面中只允许访问同源的资源

<!-- -->

* 阻止非同源资源加载和url跳转
##### 不受同源策略限制的资源

* 页面上的链接,比如 a 链接。

<!-- -->

* 重定向。

<!-- -->

* 表单提交。

<!-- -->

* 跨域资源的引入,比如:script, img, link, iframe
##### 解决不同源脚本交互问题(即非同源资源加载的问题)

*

  ###### JSONP 解决跨域

  * 在源网站中创建script脚本利用回调函数将数据以JSON格式传递过来

  <!-- -->

  * JSON格式:键值对{key: value} 如{name : "jane"}

  <!-- -->

  * 问题
    * 由于使用回调函数传参所以只能使用GET方法;不安全;

    <!-- -->

    * 由于通过修改脚本代码实现,容易被注入恶意代码

<!-- -->

*

  ###### CORS 解决跨域(跨域资源共享---------Cross-origin resource sharing)

  * 通过在对应的服务器设置白名单的方式来解决跨域资源交互的问题

  <!-- -->

  * AJAX概念
    * AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)

    <!-- -->

    * 通过跟服务器交互实现局部html代码的改动

    <!-- -->

    * XMLHttpRequest是实现Ajax的一种方式

  <!-- -->

  * 流程
    * 浏览器检测到ajax请求为跨域请求时会自动加入Origin字段声明来源(协议+域名+端口号)

    <!-- -->

    * CORS服务端收到该请求时判断Origin字段的url是否在可访问的白名单里

    <!-- -->

    * 如果在白名单里则返回带有Access-Control-Allow-Origin和Access-Control- Allow-Credentials字段的响应包
      * Access-Control-Allow-Origin(ACAO)
        * 白名单中的数据;允许访问的源地址

      <!-- -->

      * Access-Control- Allow-Credentials(ACAC)
        * true:服务器允许上传cookie值

        <!-- -->

        * false:服务器不允许上传cookie值

    <!-- -->

    * 否则返回同源检测异常

  <!-- -->

  *

    ###### CORS漏洞

    * 检测方法
      * 常看响应包是否存在ACAO和ACAC两个字段,且ACAC=true

      <!-- -->

      * 查看ACAO的信息是否为\*或null(存在)

      <!-- -->

      * 尝试修改origin查看ACAO的变化(不断变化则存在)

    <!-- -->

    * 漏洞成因:ACAO配置错误+ACAC=true
      * 使用origin字段充当ACAO

      <!-- -->

      * 对origin字段没有严格匹配
        * 前缀匹配

        <!-- -->

        * 后缀匹配

        <!-- -->

        * url中的点号为转义

        <!-- -->

        * ACAO无限制
相关推荐
WTT001122 分钟前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
CCSBRIDGE2 小时前
Magento2项目部署笔记
笔记
亦枫Leonlew3 小时前
微积分复习笔记 Calculus Volume 2 - 5.1 Sequences
笔记·数学·微积分
群联云防护小杜3 小时前
如何给负载均衡平台做好安全防御
运维·服务器·网络·网络协议·安全·负载均衡
ihengshuai3 小时前
HTTP协议及安全防范
网络协议·安全·http
爱码小白4 小时前
网络编程(王铭东老师)笔记
服务器·网络·笔记
LuH11244 小时前
【论文阅读笔记】Learning to sample
论文阅读·笔记·图形渲染·点云
黑客Jack4 小时前
防御 XSS 的七条原则
安全·web安全·xss
云云3215 小时前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
神一样的老师5 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构