北京天融信科技有限公司
今天來(lái)說(shuō)說(shuō)“跨站請(qǐng)求偽造攻擊(Cross-site request forgery)"。
跨站請(qǐng)求偽造攻擊,簡(jiǎn)稱CSRF攻擊。與跨站腳本攻擊(Cross Site Scripting,簡(jiǎn)稱XSS)有點(diǎn)類似,其攻擊的核心要素都是“欺騙"。區(qū)別在于XSS竊取了用戶對(duì)網(wǎng)站的信任,CSRF則是竊取了服務(wù)器對(duì)用戶瀏覽器的信任。 (關(guān)于“跨站腳本攻擊"介紹,請(qǐng)點(diǎn)擊上方“收錄話題"進(jìn)行了解。) CSRF是如何進(jìn)行攻擊的? 較為典型的CSRF攻擊例如“銀行網(wǎng)站轉(zhuǎn)賬"攻擊,用戶登陸銀行A網(wǎng)站完成轉(zhuǎn)賬操作后,在瀏覽器“身份"信息未失效前,攻擊者通過(guò)某種手段誘使用戶打開CSRF攻擊B網(wǎng)站,此時(shí)B網(wǎng)站可以插入一條經(jīng)過(guò)特殊構(gòu)造的URL,其中包含A網(wǎng)站的地址與轉(zhuǎn)賬命令。而A網(wǎng)站的服務(wù)器此時(shí)檢測(cè)到剛剛轉(zhuǎn)完賬的用戶帶著“身份"信息又來(lái)了,系統(tǒng)會(huì)判定這是本人在操作,同意本次的交易請(qǐng)求。用戶在毫不知情的情況下,就被攻擊者利用本地信息轉(zhuǎn)走了存款。 CSRF造成的危害還有很多,攻擊者能夠“欺騙"受害用戶完成該受害者所允許的任一狀態(tài)改變的操作,比如:更新賬號(hào)細(xì)節(jié)、完成購(gòu)物、注銷甚至登錄等操作。CSRF攻擊雖然隱秘,但天融信Web應(yīng)用防火墻(TopWAF)防御CSRF攻擊有妙招! 兩道防線,守護(hù)安全 大家都知道在HTTP報(bào)頭中有一個(gè)Referer字段,字段中記錄了HTTP請(qǐng)求的來(lái)源地址,正常情況下Referer字段應(yīng)和請(qǐng)求的地址位于同一域名下。但如果是CSRF攻擊傳來(lái)的請(qǐng)求,Referer攜帶的地址則會(huì)是CSRF攻擊網(wǎng)站的地址。 天融信Web應(yīng)用防火墻可通過(guò)驗(yàn)證用戶HTTP請(qǐng)求的Referer字段實(shí)現(xiàn)對(duì)CSRF攻擊進(jìn)行抵御。如果發(fā)現(xiàn)訪問網(wǎng)站的HTTP請(qǐng)求的Referer字段記錄的URL并非原網(wǎng)站的URL,則判定發(fā)送該HTTP請(qǐng)求的用戶可能遭受攻擊者的CSRF攻擊,根據(jù)CSRF策略的動(dòng)作處理該HTTP請(qǐng)求。 “道"高一尺,“魔"高一丈? 驗(yàn)證Referer字段過(guò)于依賴瀏覽器發(fā)送正確的Referer字段,同時(shí)無(wú)法保證用戶使用的瀏覽器沒有安全漏洞影響導(dǎo)致Referer字段被篡改。 “魔"高一尺,“道"高一丈! 天融信Web應(yīng)用防火墻可為用戶端設(shè)置一個(gè)偽隨機(jī)數(shù)作為驗(yàn)證的Token信息,Token信息會(huì)隨客戶端提交的請(qǐng)求頭傳輸?shù)椒?wù)器進(jìn)行校驗(yàn),正常訪問時(shí),客戶端瀏覽器可正常獲取并傳回此偽隨機(jī)數(shù),而在CSRF攻擊中,攻擊者無(wú)法獲取此偽隨機(jī)數(shù)的值,天融信Web應(yīng)用防火墻就會(huì)因校驗(yàn)Token的值為空或者錯(cuò)誤,根據(jù)CSRF策略的動(dòng)作處理該HTTP請(qǐng)求。 作為的網(wǎng)絡(luò)安全企業(yè),天融信多年來(lái)在技術(shù)上持續(xù)創(chuàng)新突破,持續(xù)為客戶Web站點(diǎn)安全提供更好的安方案,為客戶的Web應(yīng)用安全保駕護(hù)航。