CSRF的攻擊與防護（轉）

add by zhj：CSRF之全部發生，是由於http請求中會自動帶上cookies，個人解決辦法是：前端不要將數據放在cookie中，而是放在其它本地存儲

（HTML5中稱之爲Web Storage），本地存儲與cookie的一個重要區別在於：本地數據不會自動加在http請求中。這樣也就不會有CSRF了。假設

用戶登陸了網站A，而在網站B中有一個CSRF攻擊標籤，點擊這個標籤就會訪問網站A，若是前端數據（包括sessionid）都放在本地存儲的話，當

在網站B點擊CSRF攻擊標籤時，標籤綁定的方法是沒法獲取網站A本地存儲中的sessionid的，這樣用戶在服務端沒法經過認證，所以也就沒法達到

CSRF攻擊的目的了。這樣就可能保證因此經過認證的請求都是來自網站A。這樣CSRF對於服務端來講無需新增代碼。

 

原文：http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_30008_0.htm

CSRF是Web應用程序的一種常見漏洞，其攻擊特性是危害性大但很是隱蔽，尤爲是在大量Web 2.0技術的應用背景下，攻擊者徹底能夠在用戶毫無察覺的狀況下發起CSRF攻擊。本文將對其基本特性、攻擊原理、攻擊分類、檢測方法及防範手段作一個系統的闡述，並列舉攻擊實例。

文/H3C攻防團隊

1      CSRF漏洞簡介

CSRF（Cross-Site Request Forgery，跨站點僞造請求）是一種網絡攻擊方式，該攻擊能夠在受害者絕不知情的狀況下以受害者名義僞造請求發送給受攻擊站點，從而在未受權的狀況下執行在權限保護之下的操做，具備很大的危害性。具體來說，能夠這樣理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發送惡意請求，對服務器來講這個請求是徹底合法的，可是卻完成了攻擊者所指望的一個操做，好比以你的名義發送郵件、發消息，盜取你的帳號，添加系統管理員，甚至於購買商品、虛擬貨幣轉帳等。

CSRF攻擊方式並不爲你們所熟知，實際上不少網站都存在CSRF的安全漏洞。早在2000年，CSRF這種攻擊方式已經由國外的安全人員提出，但在國內，直到2006年纔開始被關注。2008年，國內外多個大型社區和交互網站前後爆出CSRF漏洞，如：百度HI、NYTimes.com（紐約時報）、Metafilter（一個大型的BLOG網站）和YouTube等。但直到如今，互聯網上的許多站點仍對此毫無防備，以致於安全業界稱CSRF爲「沉睡的巨人」，其威脅程度由此「美譽」即可見一斑。

2      CSRF攻擊原理及實例

CSRF攻擊原理

CSRF攻擊原理比較簡單，如圖1所示。其中Web A爲存在CSRF漏洞的網站，Web B爲攻擊者構建的惡意網站，User C爲Web A網站的合法用戶。

 

圖1 CSRF攻擊原理

1. 用戶C打開瀏覽器，訪問受信任網站A，輸入用戶名和密碼請求登陸網站A；

2.在用戶信息經過驗證後，網站A產生Cookie信息並返回給瀏覽器，此時用戶登陸網站A成功，能夠正常發送請求到網站A；

3. 用戶未退出網站A以前，在同一瀏覽器中，打開一個TAB頁訪問網站B；

4. 網站B接收到用戶請求後，返回一些攻擊性代碼，併發出一個請求要求訪問第三方站點A；

5. 瀏覽器在接收到這些攻擊性代碼後，根據網站B的請求，在用戶不知情的狀況下攜帶Cookie信息，向網站A發出請求。網站A並不知道該請求實際上是由B發起的，因此會根據用戶C的Cookie信息以C的權限處理該請求，致使來自網站B的惡意代碼被執行。

CSRF攻擊分類

CSRF漏洞通常分爲站外和站內兩種類型。

CSRF站外類型的漏洞本質上就是傳統意義上的外部提交數據問題。一般程序員會考慮給一些留言或者評論的表單加上水印以防止SPAM問題（這裏，SPAM能夠簡單的理解爲垃圾留言、垃圾評論，或者是帶有站外連接的惡意回覆），可是有時爲了提升用戶的體驗性，可能沒有對一些操做作任何限制，因此攻擊者能夠事先預測並設置請求的參數，在站外的Web頁面裏編寫腳本僞造文件請求，或者和自動提交的表單一塊兒使用來實現GET、POST請求，當用戶在會話狀態下點擊連接訪問站外Web頁面，客戶端就被強迫發起請求。

CSRF站內類型的漏洞在必定程度上是因爲程序員濫用$_REQUEST類變量形成的。在一些敏感的操做中（如修改密碼、添加用戶等），原本要求用戶從表單提交發起POST請求傳遞參數給程序，可是因爲使用了$_REQUEST等變量，程序除支持接收POST請求傳遞的參數外也支持接收GET請求傳遞的參數，這樣就會爲攻擊者使用CSRF攻擊創造條件。通常攻擊者只要把預測的請求參數放在站內一個貼子或者留言的圖片連接裏，受害者瀏覽了這樣的頁面就會被強迫發起這些請求。

CSRF攻擊實例

下面以Axous 1.1.1 CSRF Add Admin Vulnerability（漏洞CVE編號：CVE-2012-2629）爲例，介紹CSRF攻擊具體實施過程。

Axous是一款網上商店應用軟件。Axous 1.1.1以及更低版本在實現上存在一個CSRF漏洞，遠程攻擊者能夠經過構造特製的網頁，誘使該軟件管理員訪問，成功利用此漏洞的攻擊者能夠添加系統管理員。利用此漏洞主要包含如下三個過程：

1. 攻擊者構造惡意網頁。在實施攻擊前，攻擊者須要構造一個與正常添加管理員用戶基本同樣的網頁，在該惡意網頁中對必要的參數項進行賦值，並將該網頁的action指向正常添加管理員用戶時訪問的URL，核心代碼如圖2所示；

2. 攻擊者利用社會工程學誘使Axous系統管理員訪問其構造的惡意網頁；

3. 執行惡意代碼。當系統管理員訪問惡意網頁時，惡意代碼在管理員不知情的狀況下以系統管理員的合法權限被執行，攻擊者僞造的管理員帳戶添加成功。

 

圖2 CSRF攻擊添加管理員核心代碼

3      CSRF 漏洞檢測

檢測CSRF漏洞是一項比較繁瑣的工做，最簡單的方法就是抓取一個正常請求的數據包，去掉Referer字段後再從新提交，若是該提交還有效，那麼基本上能夠肯定存在CSRF漏洞。

隨着對CSRF漏洞研究的不斷深刻，不斷涌現出一些專門針對CSRF漏洞進行檢測的工具，如CSRFTester，CSRF Request Builder等。

以CSRFTester工具爲例，CSRF漏洞檢測工具的測試原理以下：使用CSRFTester進行測試時，首先須要抓取咱們在瀏覽器中訪問過的全部連接以及全部的表單等信息，而後經過在CSRFTester中修改相應的表單等信息，從新提交，這至關於一次僞造客戶端請求。若是修改後的測試請求成功被網站服務器接受，則說明存在CSRF漏洞，固然此款工具也能夠被用來進行CSRF攻擊。

4    CSRF漏洞防護

CSRF漏洞防護主要能夠從三個層面進行，即服務端的防護、用戶端的防護和安全設備的防護。

4.1      服務端的防護

目前業界服務器端防護CSRF攻擊主要有三種策略：驗證HTTP Referer字段，在請求地址中添加token並驗證，在HTTP頭中自定義屬性並驗證。下面分別對這三種策略進行簡要介紹。

4.1.1        驗證HTTP Referer字段

根據HTTP協議，在HTTP頭中有一個字段叫Referer，它記錄了該HTTP請求的來源地址。在一般狀況下，訪問一個安全受限頁面的請求必須來自於同一個網站。好比某銀行的轉帳是經過用戶訪問http://bank.test/test?page=10&userID=101&money=10000頁面完成，用戶必須先登陸bank. test，而後經過點擊頁面上的按鈕來觸發轉帳事件。當用戶提交請求時，該轉帳請求的Referer值就會是轉帳按鈕所在頁面的URL（本例中，一般是以bank. test域名開頭的地址）。而若是攻擊者要對銀行網站實施CSRF攻擊，他只能在本身的網站構造請求，當用戶經過攻擊者的網站發送請求到銀行時，該請求的Referer是指向攻擊者的網站。所以，要防護CSRF攻擊，銀行網站只須要對於每個轉帳請求驗證其Referer值，若是是以bank. test開頭的域名，則說明該請求是來自銀行網站本身的請求，是合法的。若是Referer是其餘網站的話，就有多是CSRF攻擊，則拒絕該請求。add by zhj: 不過，該方法貌似不靠譜，由於Referer是能夠僞造的。

4.1.2        在請求地址中添加token並驗證

CSRF攻擊之因此可以成功，是由於攻擊者能夠僞造用戶的請求，該請求中全部的用戶驗證信息都存在於Cookie中，所以攻擊者能夠在不知道這些驗證信息的狀況下直接利用用戶本身的Cookie來經過安全驗證。由此可知，抵禦CSRF攻擊的關鍵在於：在請求中放入攻擊者所不能僞造的信息，而且該信息不存在於Cookie之中。鑑於此，系統開發者能夠在HTTP請求中以參數的形式加入一個隨機產生的token，並在服務器端創建一個攔截器來驗證這個token，若是請求中沒有token或者token內容不正確，則認爲多是CSRF攻擊而拒絕該請求。add by zhj：我的推薦這種方法，其實把token放在localstorage中就好了，localstorage是html5標準定義的，它不會自動添加到http請求中，目前主流瀏覽器都支持。

4.1.3        在HTTP頭中自定義屬性並驗證

自定義屬性的方法也是使用token並進行驗證，和前一種方法不一樣的是，這裏並非把token以參數的形式置於HTTP請求之中，而是把它放到HTTP頭中自定義的屬性裏。經過XMLHttpRequest這個類，能夠一次性給全部該類請求加上csrftoken這個HTTP頭屬性，並把token值放入其中。這樣解決了前一種方法在請求中加入token的不便，同時，經過這個類請求的地址不會被記錄到瀏覽器的地址欄，也不用擔憂token會經過Referer泄露到其餘網站。

4.2      用戶端的防護

    對於普通用戶來講，都學習並具有網絡安全知識以防護網絡攻擊是不現實的。但若用戶養成良好的上網習慣，則可以很大程度上減小CSRF攻擊的危害。例如，用戶上網時，不要輕易點擊網絡論壇、聊天室、即時通信工具或電子郵件中出現的連接或者圖片；及時退出長時間不使用的已登陸帳戶，尤爲是系統管理員，應儘可能在登出系統的狀況下點擊未知連接和圖片。除此以外，用戶還須要在鏈接互聯網的計算機上安裝合適的安全防禦軟件，並及時更新軟件廠商發佈的特徵庫，以保持安全軟件對最新攻擊的實時跟蹤。

4.3      安全設備的防護

因爲從漏洞的發現到補丁的發佈須要必定的時間，並且至關比例的廠商對漏洞反應不積極，再加之部分系統管理員對系統補丁的不夠重視，這些都給了攻擊者可乘之機。鑑於上述各類狀況，用戶能夠藉助第三方的專業安全設備增強對CSRF漏洞的防護。

CSRF攻擊的本質是攻擊者僞造了合法的身份，對系統進行訪問。若是可以識別出訪問者的僞造身份，也就能識別CSRF攻擊。研究發現，有些廠商的安全產品能基於硬件層面對HTTP頭部的Referer字段內容進行檢查來快速準確的識別CSRF攻擊。圖3展現了這種防護方式的簡圖。目前H3C公司的IPS產品採用了特殊技術，支持對部分經常使用系統的CSRF漏洞攻擊進行檢測和阻斷。

 

圖3 安全設備傳統防護方式

 

5    CSRF與XSS的關係（add by zhj）

研究了半天CSRF和XSS，感受CSRF應該是XSS的一種而已，若是XSS標籤沒有放在被攻擊者登陸的網站，而是在另外一個網站，並且XSS攻擊時訪問的網站是被攻擊者登陸的網站，那這種XSS攻擊也稱爲CSRF攻擊。可見，CSRF攻擊是XSS攻擊的一種，還有一種XSS攻擊是訪問攻擊者本身的網站，這種攻擊標籤通常是放在被攻擊者登陸的網站，這樣攻擊標籤綁定的js腳本就能夠獲取被攻擊者在登陸網站的一些信息，如cookie，而後把這些信息發給攻擊者本身的網站。這樣，攻擊者就竊取了被攻擊者的信息。從防禦措施上來看，CSRF的防禦比XSS要簡單，只須要客戶端修改便可，CSRF只要客戶端不要把數據保存在cookie中，而是保存在web storage中便可防護CSRF；而對於XSS，就須要先後端都要對輸入進行檢查才行。

6    結束語

CSRF攻擊做爲一種存在已久的攻擊方式，在大量的商業網站上均可以找出。對廣大系統維護者來講須要深刻理解CSRF攻擊，並制定最適合當前系統的防護方案，在不損害應用程序性能的前提下，提升系統安全性；而對即將開發的網絡應用系統來講，深入理解CSRF的危害性，在設計階段就考慮到對CSRF的防範將會取得事半功倍的效果。