Web安全相關(二):跨站請求偽造(CSRF/XSRF)

来源:https://www.cnblogs.com/supersnowyao/archive/2018/01/13/8279186.html
-Advertisement-
Play Games

簡介 CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利 ...


簡介
  CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比XSS更具危險性。

場景

      某程式員大神God在某線上銀行Online Bank給他的朋友Friend轉賬。

  

  

  轉賬後,出於好奇,大神God查看了網站的源文件,以及捕獲到轉賬的請求。

   

  

  大神God發現,這個網站沒有做防止CSRF的措施,而且他自己也有一個有一定訪問量的網站,於是,他計劃在自己的網站上內嵌一個隱藏的Iframe偽造請求(每10s發送一次),來等待魚兒Fish上鉤,給自己轉賬。

  網站源碼:

 1 <html>
 2 <head>
 3     <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> 
 4     <title></title>
 5 </head>
 6 <body>
 7 <div>
 8     我是一個內容豐富的網站,你不會關閉我!
 9 </div>
10 
11 <iframe name="frame" src="invalid.html" sandbox="allow-same-origin allow-scripts allow-forms"  style="display: none; width: 800px; height: 1000px;"> </iframe> 
12 <script type="text/javascript">
13     setTimeout("self.location.reload();", 10000);
14 </script>
15 </body>
16 </html>

   偽造請求源碼:

 1 <html>
 2 <head>
 3     <title></title>
 4 </head>
 5 <body>
 6 <form id="theForm" action="http://localhost:22699/Home/Transfer" method="post">
 7     <input class="form-control" id="TargetUser" name="TargetUser" placeholder="用戶名" type="text" value="God" />
 8     <input class="form-control" id="Amount" name="Amount" placeholder="轉賬金額" type="text" value="100" />
 9 </form>
10 
11 <script type="text/javascript">
12     document.getElementById('theForm').submit();
13 </script>
14 </body>
15 </html>

   

  魚兒Fish打開了大神God的網站,在上面瀏覽豐富多彩的內容。此時偽造請求的結果是這樣的(為了演示效果,去掉了隱藏):

   

  因為魚兒Fish沒有登陸,所以,偽造請求一直無法執行,一直跳轉回登錄頁面。

  然後魚兒Fish想起了要登錄線上銀行Online Bank查詢內容,於是他登錄了Online Bank。

  此時偽造請求的結果是這樣的(為了演示效果,去掉了隱藏):

   

  魚兒Fish每10秒會給大神God轉賬100元。

   

 

防止CSRF

  CSRF能成功是因為同一個瀏覽器會共用Cookies,也就是說,通過許可權認證和驗證是無法防止CSRF的。那麼應該怎樣防止CSRF呢?其實防止CSRF的方法很簡單,只要確保請求是自己的站點發出的就可以了。那怎麼確保請求是發自於自己的站點呢?ASP.NET以Token的形式來判斷請求。

  我們需要在我們的頁面生成一個Token,發請求的時候把Token帶上。處理請求的時候需要驗證Cookies+Token。

  

  

  此時偽造請求的結果是這樣的(為了演示效果,去掉了隱藏):

  

$.ajax

  如果我的請求不是通過Form提交,而是通過Ajax來提交,會怎樣呢?結果是驗證不通過。

  

  為什麼會這樣子?我們回頭看看加了@Html.AntiForgeryToken()後頁面和請求的變化。

  1. 頁面多了一個隱藏域,name為__RequestVerificationToken。

  

  2. 請求中也多了一個欄位__RequestVerificationToken。

  

  原來要加這麼個欄位,我也加一個不就可以了!

    

  啊!為什麼還是不行...逼我放大招,研究源碼去!

  

  噢!原來token要從Form裡面取。但是ajax中,Form裡面並沒有東西。那token怎麼辦呢?我把token放到碗里,不對,是放到header里。

   js代碼:

 1 $(function () {
 2             var token = $('@Html.AntiForgeryToken()').val();
 3 
 4             $('#btnSubmit').click(function () {
 5                 var targetUser = $('#TargetUser').val();
 6                 var amount = $('#Amount').val();
 7                 var data = { 'targetUser': targetUser, 'amount': amount };
 8                 return $.ajax({
 9                     url: '@Url.Action("Transfer2", "Home")',
10                     type: 'POST',
11                     data: JSON.stringify(data),
12                     contentType: 'application/json',
13                     dataType: 'json',
14                     traditional: 'true',
15                     beforeSend: function (xhr) {
16                         xhr.setRequestHeader('__RequestVerificationToken', token);
17                     },
18                     success:function() {
19                         window.location = '@Url.Action("Index", "Home")';
20                     }
21                 });
22             });
23         });

   在服務端,參考ValidateAntiForgeryTokenAttribute,編寫一個AjaxValidateAntiForgeryTokenAttribute:

 1 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
 2     public class AjaxValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
 3     {     
 4         public void OnAuthorization(AuthorizationContext filterContext)
 5         {
 6             if (filterContext == null)
 7             {
 8                 throw new ArgumentNullException("filterContext");
 9             }
10 
11             var request = filterContext.HttpContext.Request;
12 
13             var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
14             var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
15             var formToken = request.Headers["__RequestVerificationToken"];
16             AntiForgery.Validate(cookieValue, formToken);
17         }
18     }

   然後調用時把ValidateAntiForgeryToken替換成AjaxValidateAntiForgeryToken。

   

  大功告成,好有成就感!

全局處理

  如果所有的操作請求都要加一個ValidateAntiForgeryToken或者AjaxValidateAntiForgeryToken,不是挺麻煩嗎?可以在某個地方統一處理嗎?答案是可以的。

  ValidateAntiForgeryTokenAttribute繼承IAuthorizationFilter,那就在AuthorizeAttribute里做統一處理吧。

  ExtendedAuthorizeAttribute:

 1 public class ExtendedAuthorizeAttribute : AuthorizeAttribute
 2     {
 3         public override void OnAuthorization(AuthorizationContext filterContext)
 4         {
 5             PreventCsrf(filterContext);
 6             base.OnAuthorization(filterContext);
 7             GenerateUserContext(filterContext);
 8         }
 9 
10         /// <summary>
11         /// http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages
12         /// </summary>
13         private static void PreventCsrf(AuthorizationContext filterContext)
14         {
15             var request = filterContext.HttpContext.Request;
16 
17             if (request.HttpMethod.ToUpper() != "POST")
18             {
19                 return;
20             }
21 
22             var allowAnonymous = HasAttribute(filterContext, typeof(AllowAnonymousAttribute));
23 
24             if (allowAnonymous)
25             {
26                 return;
27             }
28 
29             var bypass = HasAttribute(filterContext, typeof(BypassCsrfValidationAttribute));
30 
31             if (bypass)
32             {
33                 return;
34             }
35 
36             if (filterContext.HttpContext.Request.IsAjaxRequest())
37             {
38                 var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
39                 var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
40                 var formToken = request.Headers["__RequestVerificationToken"];
41                 AntiForgery.Validate(cookieValue, formToken);
42             }
43             else
44             {
45                 AntiForgery.Validate();
46             }
47         }
48 
49         private static bool HasAttribute(AuthorizationContext filterContext, Type attributeType)
50         {
51             return filterContext.ActionDescriptor.IsDefined(attributeType, true) ||
52                    filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(attributeType, true);
53         }
54 
55         private static void GenerateUserContext(AuthorizationContext filterContext)
56         {
57             var formsIdentity = filterContext.HttpContext.User.Identity as FormsIdentity;
58 
59             if (formsIdentity == null || string.IsNullOrWhiteSpace(formsIdentity.Name))
60             {
61                 UserContext.Current = null;
62                 return;
63             }
64 
65             UserContext.Current = new WebUserContext(formsIdentity.Name);
66         }
67     }

   然後在FilterConfig註冊一下。

    

  FAQ:

  1. BypassCsrfValidationAttribute是什麼鬼?不是有個AllowAnonymousAttribute嗎?

  如果有些操作你不需要做CSRF的處理,比如附件上傳,你可以在對應的Controller或Action上添加BypassCsrfValidationAttribute。

  AllowAnonymousAttribute不僅會繞過CSRF的處理,還會繞過認證和驗證。BypassCsrfValidationAttribute繞過CSRF但不繞過認證和驗證,

也就是BypassCsrfValidationAttribute作用於那些登錄或授權後的Action。

 

  2. 為什麼只處理POST請求?

  我開發的時候有一個原則,查詢都用GET,操作用POST,而對於查詢的請求沒有必要做CSRF的處理。大家可以按自己的需要去安排!

  

  3. 我做了全局處理,然後還在Controller或Action上加了ValidateAntiForgeryToken或者AjaxValidateAntiForgeryToken,會衝突嗎?

  不會衝突,只是驗證會做兩次。

源碼下載

  為了方便使用,我沒有使用任何資料庫,而是用了一個文件來存儲數據。代碼下載後可以直接運行,無需配置。

  下載地址:https://github.com/ErikXu/CSRF

 

文章轉載自:http://www.cnblogs.com/Erik_Xu/p/5481441.html


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • python3.5模擬登陸
    python3.5模擬登陸要求: 1、三次登陸認證; 2、輸入正確 >歡迎; 3、輸入錯誤 >密碼或賬戶有誤; 4、如果想繼續 >選擇y或Y。 思路: 1、創建賬戶和密碼; 2、用while迴圈,count計數; 3、輸入正確時,跳出迴圈(break); 4、擋count=3時,要重新計數(coun ...
  • 4、ABPZero系列教程之拼多多賣家工具 集成簡訊發送模塊
    ABPZero並沒有手機簡訊發送功能,現在我們來集成一個,為後面註冊、登錄作鋪墊。 阿裡雲簡訊服務 首先需要在阿裡雲開通簡訊服務,連接地址 開通後,在簽名管理中添加一個簽名 在模板管理中添加一個模板,如下圖所示 最後需要使用阿裡雲提供的.NET發送簡訊類庫,下麵可以直接下載我上傳的類庫,也可以去官方 ...
  • 3、ABPZero系列教程之拼多多賣家工具 項目修改及優化
    本篇內容雜而簡單,不需要多租戶、不需要多語言、使用MPA(多頁面)、頁面載入速度提升…… 剛登錄系統會看到如下界面,這不是最終想要的效果,以下就一一來修改。 不需要多租戶 AbpZeroTemplateConsts.cs代碼修改如下 文件路徑:D:\abp version\aspnet-zero-3 ...
  • htmlagilitypack的簡單使用
    1.新建一個web頁。 2.添加引用,引入htmlagilitypack。 3.代碼 HtmlWeb類是一個從網路上獲取一個HTML文檔的類,其提供的功能大多是基於完成此需求出發。 HtmlDocument類對應著一個HTML文檔代碼。它提供了創建文檔,裝載文檔,修改文檔等等一系列功能。 ...
  • Web安全相關(五):SQL註入(SQL Injection)
    簡介 SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式,而這些輸入大都是SQL語法里的一些組合,通過執行SQL語句進而執行攻擊者所要的操作,其主要原因是程式沒有細緻地過濾用戶輸入的數據,致使非法數據侵入系統。 根據相關技術原理,SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的 ...
  • 用MVC5+EF6+WebApi 做一個小功能(三) 項目搭建
    一般一個項目開始之前都會有啟動會,需求交底等等,其中會有一個環節,大講特講項目的意義,然後取一個高大上的項目名字,咱這是一個小功能談不上項目,但是名字不能太小氣了。好吧,就叫Trump吧。沒有任何含義,玩嘛! 項目分層結構也要在這裡說一下,這次這個小功能仿照DDD的分層模式,一定記住我說的是仿照。因... ...
  • Web安全相關(四):過多發佈(Over Posting)
    簡介 過多發佈的內容相對比較簡單,因此,我只打算把原文中的一些關鍵信息翻譯一下。原文鏈接如下: http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-c ...
  • Web安全相關(三):開放重定向(Open Redirection)
    簡介 那些通過請求(如查詢字元串和表單數據)指定重定向URL的Web程式可能會被篡改,而把用戶重定向到外部的惡意URL。這種篡改就被稱為開發重定向攻擊。 場景分析 假設有一個正規網站http://nerddinner.com/,還有一個惡意網站或釣魚網站http://nerddiner.com/(註 ...
一周排行
    -Advertisement-
    Play Games
  • C#自增運算符詳解:++i與i++的區別及應用場景
    概述:在C#中,++i和i++都是自增運算符,其中++i先增加值再返回,而i++先返回值再增加。應用場景根據需求選擇,首碼適合先增後用,尾碼適合先用後增。詳細示例提供清晰的代碼演示這兩者的操作時機和實際應用。 在C#中,++i 和 i++ 都是自增運算符,但它們在操作上有細微的差異,主要體現在操作的 ...
  • Taurus.MVC 性能壓力測試(ap 壓測 和 linux 下wrk 壓測):.NET 版本
    上次發佈了:Taurus.MVC 性能壓力測試(ap 壓測 和 linux 下wrk 壓測):.NET Core 版本,今天計劃準備壓測一下 .NET 版本,來測試並記錄一下 Taurus.MVC 框架在 .NET 版本的性能,以便後續持續優化改進。 為了方便對比,本文章的電腦環境和測試思路,儘量和... ...
  • 一文讀懂.NET WebAPI中FromRoute、FromQuery、FromBody的關鍵角色與用法
    .NET WebAPI作為一種構建RESTful服務的強大工具,為開發者提供了便捷的方式來定義、處理HTTP請求並返迴響應。在設計API介面時,正確地接收和解析客戶端發送的數據至關重要。.NET WebAPI提供了一系列特性,如[FromRoute]、[FromQuery]和[FromBody],用 ...
  • WPF/C#實現圖像濾鏡優化方案:打造炫目視覺體驗!
    原因:我之所以想做這個項目,是因為在之前查找關於C#/WPF相關資料時,我發現講解圖像濾鏡的資源非常稀缺。此外,我註意到許多現有的開源庫主要基於CPU進行圖像渲染。這種方式在處理大量圖像時,會導致CPU的渲染負擔過重。因此,我將在下文中介紹如何通過GPU渲染來有效實現圖像的各種濾鏡效果。 生成的效果 ...
  • Bogus 實戰:使用 Bogus 和 EFCore 生成模擬數據和種子數據【完整教程】
    引言 上一章我們介紹了在xUnit單元測試中用xUnit.DependencyInject來使用依賴註入,上一章我們的Sample.Repository倉儲層有一個批量註入的介面沒有做單元測試,今天用這個示例來演示一下如何用Bogus創建模擬數據 ,和 EFCore 的種子數據生成 Bogus 的優 ...
  • WPF隨筆收錄-實時繪製心率曲線
    一、前言 在自己的項目中,涉及到實時心率曲線的繪製,項目上的曲線繪製,一般很難找到能直接用的第三方庫,而且有些還是定製化的功能,所以還是自己繪製比較方便。很多人一聽到自己畫就害怕,感覺很難,今天就分享一個完整的實時心率數據繪製心率曲線圖的例子;之前的博客也分享給DrawingVisual繪製曲線的方 ...
  • wpf程式修改啟動入口註意事項
    如果你在自定義的 Main 方法中直接使用 App 類並啟動應用程式,但發現 App.xaml 中定義的資源沒有被正確載入,那麼問題可能在於如何正確配置 App.xaml 與你的 App 類的交互。 確保 App.xaml 文件中的 x:Class 屬性正確指向你的 App 類。這樣,當你創建 Ap ...
  • 記一次 .NET某爐膛鍋爐檢測系統 崩潰分析
    一:背景 1. 講故事 上個月有個朋友在微信上找到我,說他們的軟體在客戶那邊隔幾天就要崩潰一次,一直都沒有找到原因,讓我幫忙看下怎麼回事,確實工控類的軟體環境複雜難搞,朋友手上有一個崩潰的dump,剛好丟給我來分析一下。 二:WinDbg分析 1. 程式為什麼會崩潰 windbg 有一個厲害之處在於 ...
  • 一個.NET內置依賴註入的小型強化版
    前言 .NET生態中有許多依賴註入容器。在大多數情況下,微軟提供的內置容器在易用性和性能方面都非常優秀。外加ASP.NET Core預設使用內置容器,使用很方便。 但是筆者在使用中一直有一個頭疼的問題:服務工廠無法提供請求的服務類型相關的信息。這在一般情況下並沒有影響,但是內置容器支持註冊開放泛型服 ...
  • WPF隨筆收錄-DataGrid固定右側列
    一、前言 在項目開發過程中,DataGrid是經常使用到的一個數據展示控制項,而通常表格的最後一列是作為操作列存在,比如會有編輯、刪除等功能按鈕。但WPF的原始DataGrid中,預設只支持固定左側列,這跟大家習慣性操作列放最後不符,今天就來介紹一種簡單的方式實現固定右側列。(這裡的實現方式參考的大佬 ...
所有分類