CSRF(Cross-site request forgery)
- 从信任的角度来区分
- XSS:利用用户对站点的信任
- CSRF:利用站点对已经身份认证的信任
- 结合社工在身份认证会话过程中实现攻击
- 修改账号密码,个人信息(email、收货地址)
- 发送伪造的业务请求(网银、购物、投票)
- 关注他人社交帐号、推送博文
- 在用户非自愿、不知情的情况下提交请求。
- 属于业务逻辑漏洞
- 对关键操作缺少确认机制
- 自动扫描程序无法发现此类漏洞
- 漏洞利用条件
- 被害用户已经完成身份认证
- 新请求的提交不需要重新身份认证或确认机制
- 攻击者必须了解WebAPP请求的参数构造
- 诱使用户出发攻击的指令(社工)
- Burpsuite CSRF PoC generator
- 生成一个页面
自动扫描程序的检测方法
- 在请求和响应过程中检查是否存在anti-CSRF token名
- 检查服务器是否验证anti-CSRF token的名值
- 检查token中可编辑的字符串
- 检查referrer头是否可以伪造
对策
- Captcha
- anti-CSRF token
- referrer头
- 降低会话超时时间