淘宝优惠券网站怎么做的,建设网站的费用,西安 网站 制作,福州市建设工程造价管理网站目录 前言
漏洞介绍
漏洞原理
产生条件
产生的危害
靶场练习
post 请求csrf案例
防御措施
验证请求来源
设置 SameSite 属性
双重提交 Cookie
结语 前言
在网络安全领域#xff0c;各类漏洞层出不穷#xff0c;时刻威胁着用户的隐私与数据安全。跨站请求伪造各类漏洞层出不穷时刻威胁着用户的隐私与数据安全。跨站请求伪造Cross - Site Request Forgery简称 CSRF漏洞便是其中较为隐蔽且危害较大的一种。它如同隐藏在暗处的 “小偷”悄无声息地窃取用户权限执行恶意操作。了解 CSRF 漏洞无论是对 Web 开发者加固应用安全还是对普通用户提升安全防范意识都有着重要意义。
漏洞介绍
CSRF 漏洞简单来说是指攻击者诱导受害者进入一个恶意链接利用受害者在已登录的目标网站上的身份验证信息在受害者不知情的情况下以受害者的名义在目标网站上执行非本意的操作。与跨站脚本XSS漏洞不同CSRF 漏洞主要利用的是网站对用户浏览器的信任而非直接攻击用户浏览器。这种漏洞广泛存在于各类 Web 应用中只要应用依赖用户的身份验证来执行敏感操作就有可能受到 CSRF 攻击的威胁。
漏洞原理
用户登录与身份验证用户在目标网站进行登录网站通过 Cookie 或 Token 等方式对用户进行身份验证并在后续请求中识别用户身份。例如用户登录银行网站后银行网站会为用户生成一个包含身份信息的 Cookie用户后续的转账、查询等操作网站都会根据这个 Cookie 来确认用户身份。攻击者构造恶意链接攻击者精心构造一个包含恶意操作的链接比如转账到攻击者账户的链接。这个链接的请求地址是目标网站的合法操作地址但是参数被攻击者篡改包含了恶意指令。诱导受害者访问攻击者通过各种手段如发送恶意邮件、在社交平台发布诱人的消息等诱导受害者点击这个恶意链接。当受害者点击链接时由于受害者的浏览器中保存着目标网站的身份验证信息如 Cookie浏览器会自动带上这些信息向目标网站发送请求。目标网站执行恶意操作目标网站接收到请求后根据附带的身份验证信息认为请求来自合法用户从而执行了链接中的恶意操作如转账、修改密码等而受害者对此毫不知情。
产生条件
目标网站存在敏感操作网站提供了如转账、修改密码、删除重要数据等敏感操作这些操作仅应在用户主动发起且确认的情况下执行。身份验证信息存储方式不当网站依赖 Cookie 或其他简单的身份验证机制且这些验证信息在用户浏览器中存储容易被攻击者利用。例如Cookie 没有设置 HttpOnly 属性使得攻击者可以通过 JavaScript 读取 Cookie 内容进一步利用。缺乏有效的防御机制网站没有对请求来源进行严格验证无法识别出请求是否来自合法用户的主动操作还是被攻击者诱导的恶意请求。
产生的危害
经济损失在金融类网站中攻击者利用 CSRF 漏洞进行转账操作直接导致用户的资金被盗取给用户带来严重的经济损失。隐私泄露攻击者可以修改用户的个人信息如在社交网站上修改用户的隐私设置将原本私密的信息公开造成用户隐私泄露。账号被盗用通过修改用户密码攻击者可以轻松登录用户账号进一步控制用户的账户发布恶意信息甚至利用用户的社交关系进行诈骗等活动。
靶场练习
搭建靶场环境使用开源的 Web 安全靶场在这里使用的是DVWADamn Vulnerable Web Application。在虚拟机环境中部署 DVWA设置好相关的数据库和配置文件。选择 CSRF 漏洞模块进入 DVWA 的 CSRF 漏洞测试模块将安全级别设置为 “Low”这个级别下的漏洞比较容易复现。构造恶意链接查看low模式下的源代码是否有进行过滤可以查看没有进行过滤校验在该模块中有一个修改用户密码的功能。攻击者可以通过抓包工具如 Burp Suite获取正常修改密码的请求包然后修改其中的密码参数构造出一个恶意链接。正常的修改密码请求是攻击者将其修改为http://10.0.0.100:90/DVwa-master/vulnerabilities/csrf/?password_new123456333password_conf123456333ChangeChange#。诱导受害者访问假设受害者已经登录了 DVWA 且浏览器中保存了登录的 Cookie。攻击者将构造好的恶意链接发送给受害者当受害者点击链接时浏览器会自动带上 Cookie 向 DVWA 发送请求从而实现密码修改完成 CSRF 攻击的复现。防御措施验证将 DVWA 的安全级别提升到 “Medium” 或 “High”再次尝试上述攻击。在 “Medium” 级别网站可能会增加一些简单的防御机制如在请求中增加一个随机的 Token验证 Token 的合法性。攻击者会发现攻击无法成功从而理解防御 CSRF 漏洞的原理和方法。
post 请求csrf案例
登录凡诺后台修改密码 操作描述攻击者首先正常登录凡诺后台系统进入修改密码的功能页面。在这个页面中攻击者会输入新密码并提交修改请求这一步的目的是触发系统的修改密码操作以便后续利用这个操作来构造 CSRF 攻击。在这里我修改的密码是1234567。 重要性通过这一步攻击者可以熟悉修改密码的流程和页面布局同时为后续抓包获取必要的请求信息做准备。 使用 Burp Suite 抓包 抓包工具介绍Burp Suite 是一款广泛使用的 Web 应用程序安全测试工具它可以拦截、修改和分析 HTTP 请求和响应。攻击者利用 Burp Suite 的抓包功能捕获在凡诺后台修改密码时浏览器发送的请求。 请求类型与关键信息 没有 Token 值Token 是一种用于防止 CSRF 攻击的机制通常是服务器生成的一个随机字符串会在每次请求中附带。如果请求中没有 Token 值说明该系统在修改密码这个功能上可能没有实现有效的 CSRF 防护这为攻击者提供了可乘之机。 POST 请求抓包结果显示修改密码的请求是一个 POST 请求。POST 请求通常用于向服务器提交数据在修改密码的场景中新密码等重要信息会通过 POST 请求发送到服务器。 使用 Burp Suite 生成 POCProof of Concept概念验证 POC 生成过程 通过分析生成的 POC 代码可以看到请求的详细信息包括请求的 URL、请求方法POST、请求参数如用户名、新密码等。 在 Burp Suite 中攻击者可以利用抓包得到的请求信息使用其内置的功能生成一个 POC。这个 POC 本质上是一段可以模拟用户修改密码请求的代码通常是一段 JavaScript 代码。 将修改后的 JavaScript 代码复制到一个新的 HTML 文件中。HTML 文件可以在浏览器中打开当浏览器加载这个 HTML 文件时其中的 JavaScript 代码会自动执行向凡诺后台服务器发送修改密码的请求。 修改代码并创建 HTML 文件这里将1234567的密码修改为12345678将代码放在单独的文件中废弃 Burp Suite 数据包在完成 HTML 文件的创建后攻击者不再需要之前在 Burp Suite 中捕获的原始数据包因此可以将其废弃。 诱导被攻击者打开 HTML 文件 攻击原理当被攻击者在已经登录凡诺后台的状态下打开攻击者构造的 HTML 文件时浏览器会执行其中的 JavaScript 代码向凡诺后台服务器发送修改密码的请求。由于被攻击者的浏览器中保存着登录凡诺后台的会话信息如 Cookie服务器会认为这个请求是由合法用户发起的从而执行修改密码的操作。在这里我们在本机环境中进行演示。攻击成功标志如果被攻击者成功打开了 HTML 文件并且服务器接受了修改密码的请求那么攻击就成功了。攻击者可以通过检查凡诺后台的密码是否被修改来确认攻击结果。此时输入1234567发现密码错误已经更改为12345678
防御措施 验证请求来源
Referer 验证服务器可以通过检查请求头中的 Referer 字段来判断请求的来源。如果 Referer 字段的值不符合预期说明请求可能来自恶意网站可以拒绝该请求。但需要注意的是Referer 字段可以被篡改因此这种方法并不是绝对安全的。同源策略现代浏览器遵循同源策略只有来自同一源协议、域名和端口都相同的页面才能直接访问另一个页面的资源。服务器可以利用这一特性确保请求来自合法的源。
使用 CSRF Token
生成 Token服务器在用户访问包含敏感操作的页面时生成一个随机且唯一的 CSRF Token并将其存储在服务器端如会话中同时将 Token 嵌入到页面中如隐藏表单字段或请求头。验证 Token当用户提交请求时客户端需要将 Token 一并发送给服务器。服务器验证客户端提交的 Token 与服务器端存储的 Token 是否一致如果一致则认为请求合法否则拒绝请求。 设置 SameSite 属性
SameSite 是 Cookie 的一个属性用于控制 Cookie 在跨站请求中的传递。可以将 Cookie 的 SameSite 属性设置为 “Strict” 或 “Lax”以限制 Cookie 只在同源请求或同站请求中传递从而减少 CSRF 攻击的风险。
双重提交 Cookie
服务器在用户访问页面时生成一个随机的 Token 并将其存储在 Cookie 中同时将该 Token 嵌入到页面的表单字段或请求头中。当用户提交请求时服务器会比较 Cookie 中的 Token 和请求中携带的 Token 是否一致如果一致则认为请求合法。
结语
CSRF 漏洞虽然隐蔽但只要开发者和用户提高安全意识采取有效的防范措施就能大大降低其带来的风险。对于开发者来说要在代码层面增加对请求来源的验证使用 Token 等技术防止恶意请求。对于用户而言要谨慎点击不明链接尤其是在已登录重要网站的情况下。网络安全是一场持久战需要我们不断学习和实践共同守护网络空间的安全。
