39

我不明白使用“挑战令牌”会如何增加任何形式的预防:应该将什么值与什么进行比较?

来自OWASP

通常,开发人员只需为当前会话生成一次此令牌。在初始生成此令牌后,该值将存储在会话中,并用于每个后续请求,直到会话到期。

如果我正确理解了这个过程,就会发生这种情况。

我在http://example.com登录并创建了一个包含此随机令牌的会话/cookie。然后,每个表单都包含一个隐藏输入,该输入还包含来自会话的随机值,该值在表单提交时与会话/cookie 进行比较。

但这有什么作用呢?您不只是获取会话数据,将其放入页面,然后将其与完全相同的会话数据进行比较吗?似乎是循环推理。这些文章一直在谈论遵循“同源策略”,但这没有任何意义,因为所有 CSRF 攻击都与用户同源,只是诱使用户执行他/她不打算执行的操作。

除了将令牌作为查询字符串附加到每个 URL 之外,还有其他选择吗?看起来非常丑陋和不切实际,并且使用户更难添加书签。

4

4 回答 4

37

攻击者无法获得令牌。因此请求不会生效。

我推荐 Gnucitizen 的这篇文章。它有一个相当不错的 CSRF 解释:http ://www.gnucitizen.org/blog/csrf-demystified/

于 2010-04-05T22:32:57.143 回答
21

CSRF 类比解释 - 示例:

想象一下,你正在用一把钥匙——你的钥匙打开你的前门。没有人有你的钥匙。你打开门——但在你进去之前,你的邻居从马路对面叫你过来,你们俩就天气或特朗普总统最近凌晨 3.45 的推文等进行了非常友好的交谈。你,别人在外面看到你,决定冒充你,穿着和你一样的衣服和发型,决定假扮你进自己的房子!

在你的房子里没有人注意到任何不同 - 你的妻子就像,'哦,粗鲁*,他在家'。

冒名顶替者帮自己赚了你所有的钱,也许在出去的时候玩一些 Xbox,没有人比这更聪明。

CSRF 基本上依赖于这样一个事实,即你打开了你家的门,然后把它开着,让其他人简单地走进来假装是你。

解决这个问题的方法是什么?

当你第一次打开你家的门时,你的门卫会给你一张纸,上面写着一个很长且非常随机的数字:

“ASDFLJWERLI2343234”

现在,如果你想进入自己的房子,你必须把那张纸交给门卫才能进去。

所以现在当模仿者试图进入你的房子时,门卫问:

“纸上写的随机数是多少?”

如果冒充者没有正确的数字,那么他将无法进入。要么这样,要么他必须正确猜测随机数 - 这是一项非常困难的任务。更糟糕的是,随机数的有效期仅为 20 分钟(例如)。所以要知道冒充者必须猜对,不仅如此,他只有 20 分钟才能得到正确答案。这也太费劲了!所以他放弃了。

当然,这个类比有点紧张,但我希望它对你有所帮助。

**crud =(创建、读取、更新删除)

于 2018-01-31T06:35:52.457 回答
13

您需要继续为自己研究这个主题,但我想这就是您发布到 SO 的原因 :)。 CSRF是一种非常严重且普遍存在的漏洞类型,所有 Web 应用程序开发人员都应该意识到这一点。

首先,同源政策不止一种。但最重要的部分是从http://whatever.com托管的脚本无法从http://victom.com读取数据,但它可以通过 POST 和 GET 发送数据。如果请求只包含攻击者已知的信息,那么攻击者可以在受害者的浏览器上伪造请求并将其发送到任何地方。以下是构建不包含随机令牌的请求的 3 个XSRF 漏洞利用。

如果站点包含随机令牌,那么您必须使用 XSS 绕过同源策略提供的保护。使用 XSS,您可以强制 javascript 从另一个域“起源”,然后它可以使用 XmlHttpRequest 读取令牌并伪造请求。这是我写的一个漏洞利用,它就是这样做的。

于 2010-04-05T22:33:22.963 回答
9

除了将令牌作为查询字符串附加到每个 URL 之外,还有其他选择吗?看起来非常丑陋和不切实际,并且使用户更难添加书签。

只要您确保您网站上的所有 GET 请求都是只读的,就没有理由将令牌附加到您网站上的每个 URL 。如果您使用 GET 请求来修改服务器上的数据,则必须使用 CSRF 令牌保护它。

CSRF 的有趣之处在于,虽然攻击者可以向您的站点发出任何 http 请求,但他无法读回响应。

如果您有没有随机令牌的 GET url,攻击者将能够发出请求,但他将无法读回响应。如果该 url 改变了服务器上的某些状态,攻击者的工作就完成了。但是,如果只是生成一些 html,攻击者将一无所获,而您一无所获。

于 2010-04-06T01:40:12.867 回答