跨站请求伪造CSRF

CSRF(Cross-site request forgery)

  • 从信任的角度来区分
    • XSS:利用用户对站点的信任
    • CSRF:利用站点对已经身份认证的信任
  • 结合社工在身份认证会话过程中实现攻击
    • 修改账号密码,个人信息(email、收货地址)
    • 发送伪造的业务请求(网银、购物、投票)
    • 关注他人社交帐号、推送博文
    • 在用户非自愿、不知情的情况下提交请求。
  • 属于业务逻辑漏洞
    • 对关键操作缺少确认机制
    • 自动扫描程序无法发现此类漏洞
  • 漏洞利用条件
    • 被害用户已经完成身份认证
    • 新请求的提交不需要重新身份认证或确认机制
    • 攻击者必须了解WebAPP请求的参数构造
    • 诱使用户出发攻击的指令(社工)
  • Burpsuite CSRF PoC generator
    • 生成一个页面

自动扫描程序的检测方法

  • 在请求和响应过程中检查是否存在anti-CSRF token名
  • 检查服务器是否验证anti-CSRF token的名值
  • 检查token中可编辑的字符串
  • 检查referrer头是否可以伪造

对策

  • Captcha
  • anti-CSRF token
  • referrer头
  • 降低会话超时时间