跨站请求伪造 (CSRF)
跨站请求伪造(CSRF,Cross-Site Request Forgery) 是一种网络攻击方式,攻击者诱使受害者在未经其授权的情况下执行特定操作。CSRF 利用受害者已登录的身份和浏览器自动发送的认证信息(如 Cookie)来冒充受害者,发起未经授权的请求。此攻击通常会导致严重的安全问题,特别是在银行、电子商务和社交网络等网站上。
CSRF 攻击的工作原理
银行转账操作案例
-
用户登录银行网站
用户访问银行网站并登录,提交登录凭据后,银行生成会话 Cookie 并存储在浏览器中:
httpCookie: JSESSIONID=randomid用户在登录后未注销,浏览器保存此 Cookie 用于后续的认证。
-
银行提供的合法转账表单
银行网站的转账表单如下:
html<form method="post" action="https://bank.example.com/transfer"> <input type="text" name="amount" placeholder="Amount" /> <input type="text" name="routingNumber" placeholder="Routing Number" /> <input type="text" name="account" placeholder="Account Number" /> <input type="submit" value="Transfer" /> </form>用户提交数据后,浏览器发送如下请求:
httpPOST /transfer HTTP/1.1 Host: bank.example.com Cookie: JSESSIONID=randomid Content-Type: application/x-www-form-urlencoded amount=200&routingNumber=1234&account=5678 -
攻击者设置陷阱
攻击者创建了一个恶意网站,并设计了一段 HTML 代码模拟银行的转账操作:
html<form method="post" action="https://bank.example.com/transfer"> <input type="hidden" name="amount" value="500" /> <input type="hidden" name="routingNumber" value="attackerRouting" /> <input type="hidden" name="account" value="attackerAccount" /> <input type="submit" value="Click to Claim Prize" /> </form>攻击者诱使用户访问该页面,用户无意间点击了提交按钮,触发请求。
-
后果
浏览器发送以下请求到银行服务器:
httpPOST /transfer HTTP/1.1 Host: bank.example.com Cookie: JSESSIONID=randomid Content-Type: application/x-www-form-urlencoded amount=500&routingNumber=attackerRouting&account=attackerAccount银行服务器因为依赖 Cookie 自动认证,误以为是用户本人发起的合法操作,将资金转入攻击者账户。
CSRF 的核心特点
- 自动发送凭据
浏览器会自动携带与目标网站相关的 Cookie 和其他认证信息。 - 用户无感知
用户通常不会察觉攻击的发生,因为它可能嵌入在正常网页或隐藏的代码中。 - 利用受信任身份
服务器将受害者的身份视为合法,因此执行攻击者设计的操作。
CSRF 攻击的危害
- 资金损失:攻击者可通过伪造请求进行转账或支付操作。
- 数据篡改:攻击者可修改用户数据,如更改密码、邮箱等。
- 账户劫持:攻击者可利用 CSRF 攻击获取用户权限,进一步控制账户。
- 服务滥用:攻击者可利用受害者的身份执行恶意操作,如发送垃圾邮件或发起 DDoS 攻击。
防范 CSRF 攻击的方法
1. 使用 CSRF Token
-
在表单或请求中添加一个随机生成的 Token,服务器验证该 Token 是否匹配。
-
示例:
html<form method="post" action="/transfer"> <input type="hidden" name="csrf_token" value="randomly_generated_token" /> <input type="text" name="amount" /> <input type="submit" value="Transfer" /> </form>
2. 验证请求来源
-
检查
Referer或Origin头部,确保请求来自合法的源。 -
示例:
httpReferer: https://bank.example.com Origin: https://bank.example.com
3. 使用 SameSite Cookie
-
设置 Cookie 的
SameSite属性为Strict或Lax,防止跨站请求携带 Cookie。 -
示例:
httpSet-Cookie: JSESSIONID=randomid; SameSite=Strict
4. 限制安全方法
- 确保安全方法(如
GET、HEAD、OPTIONS)是只读的,不用于修改数据。 - 示例:
- 使用
POST或PUT方法执行写操作。 - 避免使用
GET方法执行敏感操作。
- 使用
5. 双重认证
- 对敏感操作(如转账、修改密码)要求用户进行双重认证,例如输入短信验证码。
6. 定期安全测试
- 使用自动化工具(如 OWASP ZAP)进行安全测试,检查是否存在 CSRF 漏洞。
其他防护建议
- 避免直接使用 GET 方法进行状态改变:避免使用 GET 请求来执行会影响服务器状态的操作,例如提交表单、修改数据等。始终使用 POST 方法来进行更改操作。
- 对应用进行安全审计和渗透测试:定期进行 CSRF 漏洞检测,包括使用自动化工具(如 OWASP ZAP)进行测试,确保应用程序没有 CSRF 漏洞。
- 教育用户:虽然大部分防护措施都在技术层面,但用户教育也很重要。提醒用户不要随便点击未知网站的链接或填写不明网站的表单。
扩展阅读
- OWASP CSRF Prevention Cheat Sheet
- 《Web应用程序安全权威指南》