Csrf跨站请求伪造(客户端发起)
原理:
利用已登录的用户身份,以用户的名义发送恶意请求,完成非法操作。
当用户第一次发请GET请求时后台会给前端发送一个加密字符串,下次用户发请POST请求时就需要带这这个加密字符串发送
CSRF的使用:在setting.py中间件中的django.middleware.csrf.CsrfViewMiddleware来完成这个功能biand form表单发起请求在请求:在表单里面加上{% csrf_token %}就行 ajax的使用:对于某个请求设置,在请求头中加入headers: {'X-CSRFtoken': $.cookie('csrftoken')},
测试方法:
安全扫描;使用burpsuite进行抓包,将参数中的token删除,或者设置为空,重放请求,若正常访问则说明有漏洞;
同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功,如果仍然能操作成功即存在风险。
使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登录界面。
检测csrf漏洞一般是看每一个操作是否有验证码验证,是否有token或者referer,可以注册多个账户然后利用A用户生成的poc去检测B用户
#防御方案
1、当用户发送重要的请求时需要输入原始密码,二次验证,再次输入密码
2、设置随机Token: 请求地址中添加takon验证:筛选出需要防范 CSRF 的页面然后嵌入 Token
3、检验referer来源,请求时判断请求链接是否为当前管理员正在使用的页面(管
理员在编辑文章,黑客发来恶意的修改密码链接,因为修改密码页面管理员并没有在
操作,所以攻击失败)
检验 Referer:验证HTTP头的Referer:仅响应Referer头带本域的请求。(同源策略)
4、设置验证码
使用localStorage或sessionStorage保存会话
5、限制请求方式只能为POST
例子(攻击基本思想)
用户如果浏览并信任了存在CSRF漏洞的网站A,浏览器产生了相应的cookie,用户在没有退出该网站的情况下,访问了危险网站B 。危险网站B要求访问网站A,发出一个请求。浏览器带着用户的cookie信息访问了网站A,因为网站A不知道是用户自身发出的请求还是网站B发出的请求,所以就会处理网站B的请求,这样就完成了模拟用户操作的目的。
工具
Burpsuit自带csrf跳转页面构造功能
