学前端网络安全这块还不懂?细说CSRF

什么是CSRF?

举个栗子,比如我们需要在某个博客上删除一个文章,攻击者首先在自己的域构造一个页面,使用了一个img标签,其地址指向了删除博客的链接。攻击者诱使目标用户,也就是博客主访问这个页面,该用户看到了一张无法显示的一张图片,这时候在回头看看该博客的这篇文章,发现文章已经被删除了,原来刚才的图片链接香博客服务器发送了一个get请求,而这次请求,导致了博客上的一边文章被删除了。在整个攻击过成功,攻击者仅仅诱使用户访问了一个页面,就以该用户身份的第三方站点里执行了一次操作。这个删除博客文章的请求都是攻击者所伪造的,所以这种攻击就叫做“跨站点请求伪造”。

浏览器cookie策略

攻击者伪造的请求之所以能够被服务器验证通过,是因为用户的浏览器发送了cookie的缘故。浏览器所持有的cookie分为两种:一种是‘Session Cookie’,又称“临时Cookie”:另一种是“Third-party Cookie”,也称为“本地Cookie”。两者的区别在于,后者是服务器在Set-Cookie时制定了Expire实践,只有到了Expire时间后Cookie才会失效,所以这种Cookie才会失效,所以这种Cookie会保存在本地:而Session Cookie则没有制定Expire时间,所以浏览器关闭后,Session Cookie就失效了。

在浏览网站过成功如果一个网站设置了Session Cookie,那么在浏览器进程的生命周期内,即使浏览器新打开了Tab页, Session Cookie也都是有效的。Session Cookie保存在浏览器进程的内存空间中;而Third-party Cookie则保存在本地。

在当前的主流浏览器中,默认会拦截Third=party Cookie的有:IE6、IE7、IE8、safari;不会拦截的有火狐2、火狐3、oprea、Google Chrome、Android等。

但若CSRF攻击的目标并不需要使用Cookie,则也不必顾虑浏览器的Cookie策略了。

P3P头的副作用

尽管有些CSRF攻击实施起来不需要验证,不需要发送Cookie,但是不可否认的是,大部分敏感或重要的操作是躲藏认证之后的。因此浏览器第三方Cookie的发送,在某些程度上来说是降低了CSRF攻击的威力。可是这一情况在P3P头介入后变得复杂起来。P3P header是w3c制定的一项关于隐私的标准,如果网站返回浏览器的Http的头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。

举个栗子,前端通过iframe去加载一段后端代码,后端代码尝试设置set-Cookie,浏览器会受到一个cookie,如果setcookie成功,再次请求该页面时,浏览器会发送刚才收到的Cookie。可是由于跨域显示,set-cookie是不会成功的,所以无法发送刚才收到Cookie。这里无论时临时Cookie还是本地Cookie都一样。第二次发包,只是再次接收到Cookie,上次set-COOKIE的值并不曾发送,说明没有Set-Cookie成功。但是这种情况在加入P3P头后会有所改变,P3P头允许跨域访问隐私数据,从而可以跨域Set-Cookie成功。

P3P头的介入改变了隐私策略,从而使得iframe,script等标签在IE中不在拦截第三方Cookie的发送。P3P头只需要由网站设置一次即可,之后每次请求都会遵循此策略,而不需要再重复设置。

P3P头目前是网站的应用中被广泛应用,因此CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略。

请求方式

在CSRF攻击流行之初,曾经认为只能由Get请求发起的,因此很多开发把一些重要操作改成了post请求,但是这种观点是错误的,主要原因是因为大多数的CSRF的攻击发起都是通过标签属性,这类标签只能够发起一次get请求,而不能发起post请求。

可行的CSRF的防御

1. 验证码

验证码是被认为对抗CSRF攻击最简洁有效的防御方法。强制用户必须与应用进行交互,才能完成最终请求。因此,验证码能够很好的遏制CSRF。但是非万能的,不可能在用户的所有操作上加上验证码,只能当做辅助的一种手段,而不能作为最重要的解决方案。

2. Referer Check

这种方法可以被用于检查请求是否来自合法的“源”。 常见的互联网应用,页面与页面之间都具有一定的逻辑关系,这就是使得每个正常请求的Referer具有一定的规律。缺陷在于,服务器并非什么时候都能拿到Referer。很多用户处于隐私保护考虑,限制了Referer的发送。在某些情况 下,浏览器也不会发送Referer,比如从Https跳转到Http,出于安全考虑,浏览器也不会发送Referer。所以该方法也不能作为主要手段。

Token

CSRF的本质:重要操作的所有参数都可以被攻击者猜测到。攻击者只有预测出URL的所有参数与参数值,才能成功地构造出一个伪造的请求;反之,攻击者无法攻击成功。因此我们需要一个更加通用的解决方案帮助解决这个问题,这个方案就是使用token。

token是随机的,也是不可预测的。token需要足够随机,必须使用足够安全的随机数生成算法,或者采用真随机数生成器。token应该相当于一个‘秘密’,为用户与服务器所共同拥有的,不能被第三者知晓。在实际应用中,token可以放在用户的Session,cookie,localstorage中,由于token存在,攻击者无法在构造出一个完成的url实施CSRF攻击。 token需要同时放在表单和Session中,在提交请求时,服务器只需验证表单中Token与用户Session中的Token是否一致,如果一致,则认为是合法请求;如果不一致,或者有一个为空,则认为请求不合法,可能发生了CSRF。

防御CSRF的token,是根据 “不可预测性原则”的设计方案,所以token生成一定要足够随机,需要使用安全的随机数生成器生成token。token目的不是为了防止重复提交。所以为了使用方便,可以允许在一个用户有效生命周期内,在token消耗掉前都使用同一个token。但是如果用户已经提交表单,则这个token已经消耗掉,应该再次重新生成一个新的token。

使用token时应该注意token的保密性,token如果出现在某个页面的url中,则可能会通过Referer的方式泄露。使用token时,应该尽量吧token放在表单中,把get变为post,避免token泄露。

CSRF的token仅仅用于对抗CSRF攻击,当网站还同时存在XSS漏洞时,这个方案就会变得无效,因为Xss可以模拟客户浏览器执行任意操作。在XSS攻击下,攻击者完全可以请求页面后,读出页面内容的token值,然后在构造出一个合法的请求。这个过程称为XSRF,这里不做详细阐述。

各位大佬,献丑了!!

网络安全学习路线 (2024最新整理)

 如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言扣1或者关注我我后台会主动发给你! 

第一阶段:安全基础

网络安全行业与法规

Linux操作系统

计算机网络

HTML PHP Mysql Python基础到实战掌握

  第二阶段:信息收集

IP信息收集

域名信息收集

服务器信息收集

Web网站信息收集

Google hacking

Fofa网络安全测绘

 第三阶段:Web安全 

SQL注入漏洞

XSS

CSRF漏洞

文件上传漏洞

文件包含漏洞

SSRF漏洞

XXE漏洞

远程代码执行漏洞

密码暴力破解与防御

中间件解析漏洞

反序列化漏洞

 第四阶段:渗透工具 

MSF

Cobalt strike

Burp suite

Nessus   Appscea   AWVS

Goby   XRay

Sqlmap

Nmap

Kali

 第五阶段:实战挖洞 

漏洞挖掘技巧

Src

Cnvd

众测项目

热门CVE漏洞复现

靶场实战

学习资料的推荐

学习框架已经整理完毕,现在就差资料资源了,我这里整理了所有知识点对应的资料资源文档,大家不想一个一个去找的话,可以参考一下这些资料!

1.视频教程

 2.SRC技术文档&PDF书籍 

3.大厂面试题    

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/630720.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

脉冲水路清洗机,全自动脉冲技术清除管道堵塞

邦注脉冲水路清洗机是一种高效的清洗设备,它利用全自动脉冲技术来清除管道内的堵塞和污垢。以下是对该设备的一些详细描述: 全自动脉冲技术:脉冲水路清洗机采用了全自动脉冲技术,这是一种先进的清洗方法。该技术通过产生高强度的…

##21 深入理解文本处理:使用PyTorch进行NLP基础操作

文章目录 前言简介文本预处理实现分词构建词汇表 文本向量化构建简单的文本分类模型结论 前言 在现代深度学习应用中,文本处理是不可或缺的一部分,尤其在自然语言处理(NLP)领域。借助强大的框架如PyTorch,我们可以更加…

AI 绘画神器 Fooocus 图生图:图像放大或变化、图像提示、图像重绘或扩充、反推提示词、生成参数提取、所需模型下载

本文收录于《AI绘画从入门到精通》专栏,专栏总目录:点这里,订阅后可阅读专栏内所有文章。 大家好,我是水滴~~ 本文讲述 Fooocus 的图生图功能,主要内容包括:图像放大或变化、图像提示、图像重绘或扩充、反推…

Typora+PicGo+Gitee设置图床,解决CSDN上传markdown文件图片加载不出来的问题(超级实用)

注: 由于gitee现在已经加上了防盗链,并且只支持1M的图片,我觉得不是很好用(可以买腾讯云或阿里云等),之后找到比较好点的图床工具也会持续更新的。(sm.ms好像还好,github网速不太稳定…

查询新加 字段不返回数据要看 有没有 AllInfoResultMap 有要再里面加字段

查询新加 字段不返回数据要看 有没有 AllInfoResultMap 有要再里面加字段

容联云零代码平台容犀desk:重新定义坐席工作台

在数智化浪潮的推动下,企业亟待灵活适应市场变化、快速响应客户需求,同时还要控制成本并提升效率,传统的软件开发模式因开发周期长、成本高、更新迭代慢等问题,逐渐难以满足企业灵活多变的业务需求。 容犀Desk,观察到…

山东大学计算机考研数据分析,初复试占比6:4,复试内容不少得花精力准备!

山东大学(ShandongUniversity),简称山大,位于中国山东,是中华人民共和国教育部直属的综合性全国重点大学,是国家“211工程”、“985工程”重点建设院校,入选“111计划”、“珠峰计划”、“卓越工…

数据结构——直接插入排序

基本思想 再插入第i个元素时,前面i-1个已经排好序。 排序过程 初始状态(假设第一个元素为有序,其余均为无序元素) 问题一:如何构建初始的有序序列? 办法 将第一个记录看成是初始有序表,然后…

计算概论学习笔记(2)

感谢北大李戈老师讲解的计算概论。 【道阻且长,行则将至】 很多年没有intensive coding,现在这个系列是coding retake,一点点回忆之前的知识,希望能重回到一线。主要内容包括C,C,Pytorch学术前沿项目学习和实践,预计…

AI大模型日报#0515:Google I/O大会、 Ilya官宣离职、腾讯混元文生图大模型开源

导读:欢迎阅读《AI大模型日报》,内容基于Python爬虫和LLM自动生成。目前采用“文心一言”(ERNIE 4.0)、“零一万物”(Yi-34B)生成了今日要点以及每条资讯的摘要。 《AI大模型日报》今日要点:谷歌…

运用MongoDB Atlas释放开发者潜能同时把控成本

在当下的商业环境中,不可预测性已经成为常态,工程团队负责人必须在把控不可预测性和优化IT成本的双重挑战下谋求平衡。 咨询公司德勤2024 MarginPLUS调查收集了300多位企业负责人的见解,报告中重点介绍了面对动荡的全球经济环境,…

国际生物多样性科普暨母亲节亲子活动在天河公园举行

引言:"人类是命运共同体,不论是战胜新冠疫情,还是加强生物多样性保护,实现全球可持续发展,唯有团结合作,才能有效应对全球性挑战。生态兴则文明兴。我们应该携手努力,共同推进人与自然和谐…

抖音评论采集python爬虫(含一二级评论内容)

声明 仅用于学习交流,不用于其他用途 正文 随着抖音评论采集更新需要登录,由于不懈的努力,攻破这一难点,不需要登录采集作品所有评论信息 话不多说上代码看效果: 输入作品id: 这样就拿到评论信息了,可以…

数字化档案真能永久保存吗

数字化档案可以长期保存,但不能永久保存。虽然数字化技术可以提供更好的保存手段和更方便的存取方式,但数字化档案仍然面临一些挑战和风险。 首先,数字化档案需要依赖特定的技术和设备进行读取和处理。如果这些技术和设备过时或无法使用&…

Java 开发 框架安全:Spring 命令执行漏洞.(CVE-2022-22965)

什么叫 Spring 框架. Spring 框架是一个用于构建企业级应用程序的开源框架。它提供了一种全面的编程和配置模型,可以简化应用程序的开发过程。Spring 框架的核心特性包括依赖注入(Dependency Injection)、面向切面编程(Aspect-Or…

工厂自动化升级改造(3)-Modbus与MQTT的转换

什么是MQTT,Modbus,见下面文章 工厂自动化升级改造参考(01)--设备通信协议详解及选型-CSDN博客文章浏览阅读608次,点赞9次,收藏6次。>>特点:基于标准的以太网技术,使用TCP/IP协议栈,支持高速数据传输和局域网内的设备通信。>>>特点:跨平台的通信协议,…

并发-sleep更优雅的实现方案:TimeUnit.枚举常量.sleep()

首先给出结论:线程使用中的暂停,建议优先使用TimeUnit类中的sleep()但需要注意传入时间小于0的异常情况TimeUnit是java.util.concurrent包下的一个类名主要功能是暂停线程的操作拥有与Thread.sleep()一样的功能都是暂停线程,但TimeUnit提供了…

Polylang Pro插件下载:多语言网站构建的终极解决方案

在全球化的今天,多语言网站已成为企业拓展国际市场的重要工具。然而,创建和管理一个多语言网站并非易事。幸运的是,Polylang Pro插件的出现,为WordPress用户提供了一个强大的多语言解决方案。本文将深入探讨Polylang Pro插件的功能…

Hadoop3:HDFS副本节点选择逻辑讲解

一、副本节点选择(机架感知) 说明 第一个副本,因为我们的client可能是web页,也可能是shell终端。 如果是web页,则随机选取一个节点,如果是shell终端,则选择当前shell终端所在的节点。 节点距离最…

问题-小技巧-Win11-如何把Win11鼠标右键界面变成Win10鼠标右键界面

如果Win10的鼠标右键操作不常用,那就按住shift后再按鼠标右键,就会使用Win10的鼠标右键界面。 如果想彻底改成Win10的操作做界面可以看—— 问题-小技巧-Win11-如何把Win11鼠标右键界面改成Win10鼠标右键界面 这个文章详细的讲解了,如果把…