http://blog.csdn.net/jazywoo123/article/details/8168829

2012.11

 　你公司網(wǎng)絡(luò)上的Web應(yīng)用程序是否容易遭受跨站請求偽造攻擊呢?這是一個值得討論的問題,，因?yàn)橐淮纬晒Φ腃SRF攻擊的后果往往是破壞性的,，會花費(fèi)公司的大量金錢，甚至導(dǎo)致機(jī)密信息丟失,。

　　什么是CSRF(跨站請求偽造)?

　　CSRF攻擊通過使應(yīng)用程序相信導(dǎo)致此活動的請求來自應(yīng)用程序的一個可信用戶,，從而誘使應(yīng)用程序執(zhí)行一種活動(如轉(zhuǎn)移金融資產(chǎn)、改變賬戶口令等)。用戶可以是公司的一位雇員,，企業(yè)合伙人,，或者是一個外部的客戶。

　　CSRF攻擊依賴于這樣一個事實(shí)：許多Web應(yīng)用程序使用cookie,，其終結(jié)時間相對較長,，從而使用戶在通過最初的驗(yàn)證之后仍能訪問應(yīng)用程序。

　　要使CSRF攻擊得逞,，潛在的受害者必須使用其瀏覽器進(jìn)行驗(yàn)證,，并登錄到公司的Web應(yīng)用程序。只要用戶沒有退出應(yīng)用程序,，瀏覽器中的應(yīng)用程序的cookie沒被終止,，該用戶就是CSRF攻擊的一個潛在受害者。

　　CSRF攻擊如何運(yùn)行?

　　為執(zhí)行CSRF攻擊,，黑客需要把一個特別偽造的到達(dá)公司應(yīng)用程序的鏈接放置到其它網(wǎng)頁上或放到電子郵件中,。但黑客并不把此鏈接作為一個超級鏈接，而是將它放在一個圖像或腳本標(biāo)簽中,，從而隱藏鏈接，將鏈接作為圖像或腳本的源,。

　　下面是一個來自維基百科的例子：

　　img src="http://bank./withdraw?account=bob&amount=100000&for=mallory"

　　現(xiàn)在,，如果受害者在其瀏覽器中查看包含此圖像的網(wǎng)頁，或讀取包含此鏈接的電子郵件程序,，瀏覽器會跟蹤鏈接,，試圖獲取圖片。如果受害者近來登錄過此站點(diǎn),，其瀏覽器會提供一個用于驗(yàn)證的cookie,，告訴瀏覽器將10萬美元從“bob”的賬戶轉(zhuǎn)移給“mallory”。一般而言,，受害人不會知道執(zhí)行了什么業(yè)務(wù)(至少在檢查其賬戶余額之前),，因?yàn)槭芎θ说臑g覽器在執(zhí)行業(yè)務(wù)時并不從bank.那里顯示任何反饋(如一個確認(rèn)網(wǎng)頁)。

　　在上面的例子中,，該鏈接專門針對bob,，限制其實(shí)用性。在實(shí)踐中,，黑客有可能使用一個更為通用的鏈接,，可適用于碰巧登錄到企業(yè)Web應(yīng)用程序的任何潛在受害者。但對黑客來說,，偽造一次成功的CSRF攻擊并不容易,，因?yàn)樵诠暨^程中，黑客并不能從Web應(yīng)用程序獲得任何反饋。這意味著,，只有從你的Web應(yīng)用程序發(fā)出的響應(yīng)完全可預(yù)測時,，這種攻擊才可能發(fā)生。

　　所以說,，一個易于遭受攻擊的Web應(yīng)用程序必須：

　　1,、 準(zhǔn)許用戶用一個合法的cookie進(jìn)行訪問，其到期時間必須足夠長,。

　　2,、 在提交適當(dāng)?shù)腢RL(可從外部站點(diǎn)發(fā)送)時，準(zhǔn)許執(zhí)行交易,。

　　3,、 以一種可預(yù)測的方法進(jìn)行響應(yīng)。

　　CSRF攻擊可以達(dá)到什么目標(biāo)?

　　雖然CSRF攻擊僅能在Web應(yīng)用程序中執(zhí)行業(yè)務(wù),，其后果卻可能蔓延很廣,。例如，這會導(dǎo)致受害人在不知情的情況下向論壇發(fā)帖子,、訂閱郵件列表,、網(wǎng)購或股票交易，或變更用戶名或口令,。對受到受害人防火墻保護(hù)的所有應(yīng)用程序而言,，CSRF攻擊都能發(fā)揮作用。如果受害者的機(jī)器位于受限的某個IP范圍,，就會使得黑客訪問此范圍內(nèi)的相關(guān)應(yīng)用程序,。

　　還有一種CSRF變種，稱為登錄CSRF,，它能夠使用攻擊者的登錄憑證記錄受害人在Web應(yīng)用程序中的活動,。這將使黑客以后可以登錄進(jìn)入并檢索關(guān)于受害人的信息，如用戶活動歷史,，或由受害者所提交的任何機(jī)密信息,。

　　五大方法減輕Web應(yīng)用程序易受CSRF攻擊的風(fēng)險(xiǎn)

　　限制驗(yàn)證cookie的到期時間。這些cookie的合法時間越短,，黑客利用你的Web應(yīng)用程序的機(jī)會就越小,。不過，這個時間越短,，用戶就越不方便,。因此，你需要在安全性和方便性之間進(jìn)行平衡,。

　　執(zhí)行重要業(yè)務(wù)之前,，要求用戶提交額外的信息,。要求用戶在進(jìn)行重要業(yè)務(wù)前輸入口令，這可以防止黑客發(fā)動CSRF攻擊(只要瀏覽器中沒有包含口令),，因?yàn)檫@種重要信息無法預(yù)測或輕易獲得,。

　　使用秘密的無法預(yù)測的驗(yàn)證符號。當(dāng)保存在用戶瀏覽器中的cookie僅由一次會話確認(rèn)時,，CSRF攻擊才會有效,。所以在每次HTTP請求(當(dāng)然攻擊者無法提前知道)中都有附加的特定會話的信息，這樣就可以挫敗CSRF攻擊,。不過,，如果這種應(yīng)用程序存在跨站腳本漏洞，黑客就有可能訪問這種驗(yàn)證符號,。

　　使用定制的HTTP報(bào)頭,。如果執(zhí)行交易的所有請求都使用XMLHttpRequest并附加一個定制的HTTP報(bào)頭，同時拒絕缺少定制報(bào)頭的任何請求,，就可以用XMLHttpRequest API來防御CSRF攻擊,。由于瀏覽器通常僅準(zhǔn)許站點(diǎn)將定制的HTTP報(bào)頭發(fā)送給相同站點(diǎn)，從而了防止由CSRF攻擊的源站點(diǎn)所發(fā)起的交易,。

　　檢查訪問源的報(bào)頭,。在瀏覽者發(fā)送HTTP請求時，它通常會包含源自訪問源報(bào)頭的URL,。理論上講,，你可以使用這些信息來阻止源自其它任何站點(diǎn)(而不是來自Web應(yīng)用程序自身)的請求。不過,，訪問源報(bào)頭并不總是可用的，(例如,，有些單位由于私密性的緣故而將它剝離了),，或者這個報(bào)頭容易被欺騙，所以說,，這條措施并不真正有效,。