您好!欢迎光临云杰通信官网,本公司专业提供企业网络优化、企业MPLS-VPN、SD-WAN加速上网等网络接入服务。
服务热线:13631779516

企业网络优化专家

智能网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

CSRF攻击原理及防御详解

2020-08-18 16:48云杰小编阅读:91

国际网络专线,MPLS-VPN,SD-WAN,广域网

2009年一起黑客入侵事件轰动一时,好莱坞女星凡妮莎·哈金斯(Vanessa Hudgens)的邮箱遭黑客窃取,大量私密照片外泄。而导致该事件发生的举动仅仅是打开了一封Email。

这到底是怎么做到的呢?我们又该如何防范?

这就引出了我们今天的话题----CSRF攻击。

什么是CSRF?

CSRF是一种冒充用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。实际上就是攻击者恶意利用用户信任的网站,构造了某些操作,引诱用户去点击,从而冒充用户,在其不知情的情况下完成攻击者想做的操作,比如以你的名义发消息、发邮件,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。所以CSRF也被称为“One-Click Attack”(一键攻击)。

回到上文的例子,黑客整个攻击流程其实十分简单:

黑客给该明星的Gmail账户发了一封Email,邮件内容是一张图片,发送邮件中被植入了CSRF代码。

当用户点击邮件加载图片时,实际上访问了这样的链接:

https://mail.google.com/mail?ui=2&fw=true&fwe=attacker@email.com

这个链接的功能是设置Gmail邮件转发,因此目标邮箱中的所有邮件都被转发到黑客指定的邮箱。当这封邮件被打开时,攻击就悄悄地完成了,邮箱内所有邮件被转发到黑客的账号。

那么CSRF攻击原理是什么?完成一次CSRF攻击,必须满足以下两个条件:

1.用户登录受信任网站,并在本地生成Cookie。

2.在不登出该受信任网站的情况下,访问危险网站。

这两个条件看似不容易同时满足,但实际情况是用户登录了一个网站后,即便关闭了浏览器,储存在本地的Cookie也未必会立刻过期。

由于用户已经登录,攻击者只需构造正确的请求链接,让浏览器发送请求,浏览器就可携带正确的Cookie并直接访问链接实现相关功能。一个存在漏洞的可信任网站很有可能被恶意攻击者利用成为恶意网站。

待到用户察觉时……可能已经发生了不堪设想的后果……

那我们应该如何防御呢?

CSRF攻击主要有两个特点:

1. 通常发生在第三方域名

2. CSRF攻击者只是使用而无法获取Cookie等信息

要防御CSRF攻击,我们对症下药!

目前主要使用以下两种策略,分别针对上述CSRF的两个特点:

1.验证HTTP请求头中指定字段

2.添加校验Token

第一种策略所指定的字段具体为Origin Header和Referer Header,通过验证这两个字段可以确定来源域名,但如果攻击者有权限在本域发布评论(含链接、图片等,统称UGC),那么它可以直接在本域发起攻击,这种情况下该策略无法达到防护的作用。

因此通过添加校验请求令牌(Token)来辅助认证才是我们比较通用的做法:

CSRF攻击之所以能够成功,是因为黑客可以伪造用户的请求,使用用户的Cookie来通过安全验证。要抵御CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于Cookie之中。

按照这个思路,我们可以在HTTP请求中加入一个随机产生的Token,并在服务器端建立一个拦截器来验证这个Token。当用户登陆后,Token保存在Session里。在用户发出请求时,该令牌会与其他请求信息一并被发出。在接收用户请求时,如果请求中没有Token或者Token内容不正确,则认为可能是CSRF攻击而拒绝该请求。

文章标题:《CSRF攻击原理及防御详解》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-2793-0.html

主要业务
企业专线网络MPLS-VPNSD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
热门专题:广域网接口什么是广域网广域网优化广域网访问广域网加速广域网协议广域网端口无线广域网局域网广域网广域网上海iplc网络建设MPLS-VPN网络远程组网网络加速视频会议ebayAliExpresAmazonInstagramTwitterFacebookgooglevklineSkypeWhatsAppzoom视频会议网站加速mpls iplc 价格mpls专线价格mplsvpn专线sdn和sdwansdwan公司sdwan价格电信sdwan免费sdwan东莞mplsvpnsdwan安装sdwan电信sdwanmpls华为mpls配置三层mplsmpls工作mpls路由bgp mplsmpls运营商mpls专线mpls功能华为mplsmpls应用mpls标签网络mplsmpls详解
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部