Web安全相關(二):跨站請求偽造(CSRF/XSRF)

来源:https://www.cnblogs.com/supersnowyao/archive/2018/01/13/8279186.html

簡介 CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利 ...

簡介
  CSRF(Cross-site request forgery跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。儘管聽起來像跨站腳本(XSS),但它與XSS非常不同,並且攻擊方式幾乎相左。XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防範的資源也相當稀少)和難以防範,所以被認為比XSS更具危險性。

場景

      某程式員大神God在某線上銀行Online Bank給他的朋友Friend轉賬。

  

  

  轉賬後,出於好奇,大神God查看了網站的源文件,以及捕獲到轉賬的請求。

   

  

  大神God發現,這個網站沒有做防止CSRF的措施,而且他自己也有一個有一定訪問量的網站,於是,他計劃在自己的網站上內嵌一個隱藏的Iframe偽造請求(每10s發送一次),來等待魚兒Fish上鉤,給自己轉賬。

  網站源碼:

 1 <html>
 2 <head>
 3     <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> 
 4     <title></title>
 5 </head>
 6 <body>
 7 <div>
 8     我是一個內容豐富的網站,你不會關閉我!
 9 </div>
10 
11 <iframe name="frame" src="invalid.html" sandbox="allow-same-origin allow-scripts allow-forms"  style="display: none; width: 800px; height: 1000px;"> </iframe> 
12 <script type="text/javascript">
13     setTimeout("self.location.reload();", 10000);
14 </script>
15 </body>
16 </html>

   偽造請求源碼:

 1 <html>
 2 <head>
 3     <title></title>
 4 </head>
 5 <body>
 6 <form id="theForm" action="http://localhost:22699/Home/Transfer" method="post">
 7     <input class="form-control" id="TargetUser" name="TargetUser" placeholder="用戶名" type="text" value="God" />
 8     <input class="form-control" id="Amount" name="Amount" placeholder="轉賬金額" type="text" value="100" />
 9 </form>
10 
11 <script type="text/javascript">
12     document.getElementById('theForm').submit();
13 </script>
14 </body>
15 </html>

   

  魚兒Fish打開了大神God的網站,在上面瀏覽豐富多彩的內容。此時偽造請求的結果是這樣的(為了演示效果,去掉了隱藏):

   

  因為魚兒Fish沒有登陸,所以,偽造請求一直無法執行,一直跳轉回登錄頁面。

  然後魚兒Fish想起了要登錄線上銀行Online Bank查詢內容,於是他登錄了Online Bank。

  此時偽造請求的結果是這樣的(為了演示效果,去掉了隱藏):

   

  魚兒Fish每10秒會給大神God轉賬100元。

   

 

防止CSRF

  CSRF能成功是因為同一個瀏覽器會共用Cookies,也就是說,通過許可權認證和驗證是無法防止CSRF的。那麼應該怎樣防止CSRF呢?其實防止CSRF的方法很簡單,只要確保請求是自己的站點發出的就可以了。那怎麼確保請求是發自於自己的站點呢?ASP.NET以Token的形式來判斷請求。

  我們需要在我們的頁面生成一個Token,發請求的時候把Token帶上。處理請求的時候需要驗證Cookies+Token。

  

  

  此時偽造請求的結果是這樣的(為了演示效果,去掉了隱藏):

  

$.ajax

  如果我的請求不是通過Form提交,而是通過Ajax來提交,會怎樣呢?結果是驗證不通過。

  

  為什麼會這樣子?我們回頭看看加了@Html.AntiForgeryToken()後頁面和請求的變化。

  1. 頁面多了一個隱藏域,name為__RequestVerificationToken。

  

  2. 請求中也多了一個欄位__RequestVerificationToken。

  

  原來要加這麼個欄位,我也加一個不就可以了!

    

  啊!為什麼還是不行...逼我放大招,研究源碼去!

  

  噢!原來token要從Form裡面取。但是ajax中,Form裡面並沒有東西。那token怎麼辦呢?我把token放到碗里,不對,是放到header里。

   js代碼:

 1 $(function () {
 2             var token = $('@Html.AntiForgeryToken()').val();
 3 
 4             $('#btnSubmit').click(function () {
 5                 var targetUser = $('#TargetUser').val();
 6                 var amount = $('#Amount').val();
 7                 var data = { 'targetUser': targetUser, 'amount': amount };
 8                 return $.ajax({
 9                     url: '@Url.Action("Transfer2", "Home")',
10                     type: 'POST',
11                     data: JSON.stringify(data),
12                     contentType: 'application/json',
13                     dataType: 'json',
14                     traditional: 'true',
15                     beforeSend: function (xhr) {
16                         xhr.setRequestHeader('__RequestVerificationToken', token);
17                     },
18                     success:function() {
19                         window.location = '@Url.Action("Index", "Home")';
20                     }
21                 });
22             });
23         });

   在服務端,參考ValidateAntiForgeryTokenAttribute,編寫一個AjaxValidateAntiForgeryTokenAttribute:

 1 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
 2     public class AjaxValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
 3     {     
 4         public void OnAuthorization(AuthorizationContext filterContext)
 5         {
 6             if (filterContext == null)
 7             {
 8                 throw new ArgumentNullException("filterContext");
 9             }
10 
11             var request = filterContext.HttpContext.Request;
12 
13             var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
14             var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
15             var formToken = request.Headers["__RequestVerificationToken"];
16             AntiForgery.Validate(cookieValue, formToken);
17         }
18     }

   然後調用時把ValidateAntiForgeryToken替換成AjaxValidateAntiForgeryToken。

   

  大功告成,好有成就感!

全局處理

  如果所有的操作請求都要加一個ValidateAntiForgeryToken或者AjaxValidateAntiForgeryToken,不是挺麻煩嗎?可以在某個地方統一處理嗎?答案是可以的。

  ValidateAntiForgeryTokenAttribute繼承IAuthorizationFilter,那就在AuthorizeAttribute里做統一處理吧。

  ExtendedAuthorizeAttribute:

 1 public class ExtendedAuthorizeAttribute : AuthorizeAttribute
 2     {
 3         public override void OnAuthorization(AuthorizationContext filterContext)
 4         {
 5             PreventCsrf(filterContext);
 6             base.OnAuthorization(filterContext);
 7             GenerateUserContext(filterContext);
 8         }
 9 
10         /// <summary>
11         /// http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages
12         /// </summary>
13         private static void PreventCsrf(AuthorizationContext filterContext)
14         {
15             var request = filterContext.HttpContext.Request;
16 
17             if (request.HttpMethod.ToUpper() != "POST")
18             {
19                 return;
20             }
21 
22             var allowAnonymous = HasAttribute(filterContext, typeof(AllowAnonymousAttribute));
23 
24             if (allowAnonymous)
25             {
26                 return;
27             }
28 
29             var bypass = HasAttribute(filterContext, typeof(BypassCsrfValidationAttribute));
30 
31             if (bypass)
32             {
33                 return;
34             }
35 
36             if (filterContext.HttpContext.Request.IsAjaxRequest())
37             {
38                 var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
39                 var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
40                 var formToken = request.Headers["__RequestVerificationToken"];
41                 AntiForgery.Validate(cookieValue, formToken);
42             }
43             else
44             {
45                 AntiForgery.Validate();
46             }
47         }
48 
49         private static bool HasAttribute(AuthorizationContext filterContext, Type attributeType)
50         {
51             return filterContext.ActionDescriptor.IsDefined(attributeType, true) ||
52                    filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(attributeType, true);
53         }
54 
55         private static void GenerateUserContext(AuthorizationContext filterContext)
56         {
57             var formsIdentity = filterContext.HttpContext.User.Identity as FormsIdentity;
58 
59             if (formsIdentity == null || string.IsNullOrWhiteSpace(formsIdentity.Name))
60             {
61                 UserContext.Current = null;
62                 return;
63             }
64 
65             UserContext.Current = new WebUserContext(formsIdentity.Name);
66         }
67     }

   然後在FilterConfig註冊一下。

    

  FAQ:

  1. BypassCsrfValidationAttribute是什麼鬼?不是有個AllowAnonymousAttribute嗎?

  如果有些操作你不需要做CSRF的處理,比如附件上傳,你可以在對應的Controller或Action上添加BypassCsrfValidationAttribute。

  AllowAnonymousAttribute不僅會繞過CSRF的處理,還會繞過認證和驗證。BypassCsrfValidationAttribute繞過CSRF但不繞過認證和驗證,

也就是BypassCsrfValidationAttribute作用於那些登錄或授權後的Action。

 

  2. 為什麼只處理POST請求?

  我開發的時候有一個原則,查詢都用GET,操作用POST,而對於查詢的請求沒有必要做CSRF的處理。大家可以按自己的需要去安排!

  

  3. 我做了全局處理,然後還在Controller或Action上加了ValidateAntiForgeryToken或者AjaxValidateAntiForgeryToken,會衝突嗎?

  不會衝突,只是驗證會做兩次。

源碼下載

  為了方便使用,我沒有使用任何資料庫,而是用了一個文件來存儲數據。代碼下載後可以直接運行,無需配置。

  下載地址:https://github.com/ErikXu/CSRF

 

文章轉載自:http://www.cnblogs.com/Erik_Xu/p/5481441.html


您的分享是我們最大的動力!

更多相關文章
  • 在多線程環境下,使用BlockingCollection以及ConcurrentQueue來消費生產者生產的資源,這是我自己寫的多生產者多消費者的作法,其實也是基於單個task下的阻塞隊列的IsComplete來識別的。 使用阻塞隊列更簡單但是內部的消費者線程比較適合使用單獨的線程不適合使用線程池, ...
  • 因為要部署項目到雲伺服器,不想在伺服器上裝SqlServer,所以需要把項目改為Mysql。 項目初始化 1、下載項目壓縮包,前面文章已經說到,可以加群到群文件里下載。解壓縮下載的項目源碼,使用VS2015打開項目 這裡需要還原包,選擇解決方案 右鍵(還原NuGet包),現在還原NuGet包比之前快 ...
  • 在.NET中有兩個AuthorizeAttribute類, 一個定義在System.Web.Http命名空間下 #region 程式集 System.Web.Http, Version=5.2.3.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35... ...
  • 背水一戰 Windows 10 之 文件系統: 獲取文件夾的屬性, 獲取文件夾的縮略圖 ...
  • AdminController中添加引用: Index添加[Authorize]許可權要求: StartUp.cs中添加引用: StartUp.cs ConfigureServices中添加常量: 添加中間件: 此時,訪問Admin頁面,自動跳轉至Account/Login?ReturnUrl=%2F ...
一周排行
  • 在 XAML 應用的開發過程中,使用 MVVM 框架能夠極大地提高軟體的可測試性、可維護性。MVVM 的核心思想是關註點分離,使得業務邏輯從 View 中分離出來到 ViewModel 以及 Model 中,從邏輯上來講,這也是業務邏輯應該處的位置。 具體來說,藉助於數據綁定 (Data Bindi ...
  • 在使用Entity Framework時,若有多個排序,需要OrderBy (OrderByDescending)再ThenBy (ThenByDescending) 假設需要根據Name升序排序,再根據Id降序排序,則: 藉助System.Linq.Dynamic的方式 首先需要在項目中引用Sys ...
  • 【01】淺談Google Chrome瀏覽器(理論篇) 【02】淺談Google Chrome瀏覽器(操作篇)(上) 【03】淺談Google Chrome瀏覽器(操作篇)(下) 【04】淺談ASP.NET框架 【05】淺談ASP.NET MVC運行過程 【06】淺談ASP.NET MVC 控制器 ...
  • package com.swift; public class Bank_Customer_Test { public static void main(String[] args) { /* * 兩個客戶往一個銀行存錢,每人存三十次一次存一百。 模擬銀行存錢功能,時時銀行現金數。 */ Custo... ...
  • 在當前的Java記憶體模型下,線程可以把變數保存在本地記憶體(比如機器的寄存器)中,而不是直接在主存中進行讀寫。這就可能造成一個線程在主存中修改了一個變數的值,而另外一個線程還繼續使用它在寄存器中的變數值的拷貝,造成數據的不一致。 在當前的Java記憶體模型下,線程可以把變數保存在本地記憶體(比如機器的寄存 ...
  • 題目描述 HXY得到了一些卡片,這些卡片上標有數字0或5。現在她可以選擇其中一些卡片排成一列,使得排出的一列數字組成的數最大,且滿足被90整除這個條件。同時這個數不能含有前導0,即0不能作為這串數的首位。如果不能排出這樣的數,輸出“-1”。 輸入輸出格式 輸入格式: 第一行,卡片的個數n。 第二行, ...
  • Tomcat 是什麼 Tomcat 是由 Apache 開發的一個 Servlet 容器,實現了對 Servlet 和 JSP 的支持,並提供了作為Web伺服器的一些特有功能,如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。 由於 Tomcat 本身也內含了一個 HTTP 伺服器,它也可 ...
  • 題目描述 某人寫了n封信和n個信封,如果所有的信都裝錯了信封。求所有信都裝錯信封共有多少種不同情況。 輸入輸出格式 輸入格式: 一個信封數n(n<=20) 輸出格式: 一個整數,代表有多少種情況。 輸入輸出樣例 輸入樣例#1: 複製 2 輸出樣例#1: 複製 1 輸入樣例#1: 複製 2 輸出樣例# ...
  • 上面只是做到讀取並寫入另一個文件,並沒有進行排序 下麵是排序的方法 ...
  • 百度UMeditor富文本編輯器java使用 1.介紹 UMeditor 是一款輕量級的富文本編輯器,比UEditor要小得多,是為滿足廣大門戶網站對於簡單發帖框,或者回覆框需求所定製的線上富文本編輯器 2.下載 官網地址:http://ueditor.baidu.com/website/umedi ...