逻辑漏洞挖掘之CSRF漏洞原理分析及实战演练 | 京东物流技术团队
一、前言
2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进,有更多的同事对逻辑漏洞产生了兴趣,本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐步提升大家的安全意识。第二篇选取了广为熟知的CSRF漏洞进行介绍。
二、CSRF漏洞介绍
1、CSRF漏洞的定义
跨站请求伪造(Cross-site request forgery,简称CSRF),攻击者利用受害者身份发起了HTTP请求,导致受害者在不知情的情况下进行了业务操作,如修改资料、提交订单、发布留言或评论等
2、CSRF主要攻击形式
① GET类型的CSRF
这类攻击非常简单,只需要一个HTTP请求:<img src=””>
② POST类型的CSRF
这种类型的 CSRF 利用起来通常使用的是一个自动提交的表单,访问问该页面后,表单会自动提交,相当于模拟用户完成了一次 POST 操作。可见这种类型的 CSRF 与第一种一样,都是模拟请求,所以后端接口也不能将安全寄托在仅允许 POST 请求上。
③ 链接类型的 CSRF
链接类型的CSRF并不常见,比起其他两种用户打开页面就中招的情况,这种类型需要用户点击链接才会触发,但本质上与前两种一样。这种类型通常是在论坛发布的图片中嵌入恶意链接,或者以广告的形式诱导用户中招,攻击者通常会以比较夸张的词语诱骗用户点击,例如:<a href=" taget="_blank"> <a/>由于之前用户登录了信任的网站A,并且保存登录状态,只要用户主动访问这个页面,则表示攻击成功。
3、CSRF漏洞危害
CSRF漏洞可能导致在用户不知情的情况下进行业务操作:
① 修改资料
② 提交订单
③ 发布留言或评论(关键操作、增删改)等
三、CSRF漏洞原理分析
四、CSRF漏洞实例分析
1、GET类型的CSRF
2、POST类型的CSRF
构造form表单类型的poc,请求addOrEdit接口新增字典成功。
五、CSRF漏洞防范意见
1、验证请求的Referer值
如果Referer是以⾃⼰的⽹站开头的域名,则说明该请求来⾃⽹站⾃⼰,是合法的。如果Referer是其他⽹站域名或空⽩,就有可能是CSRF攻击,那么服务器应拒绝该请求,但是此⽅法存在被绕过的可能。
2、请求中添加token并验证
CSRF攻击之所以能够成功,是因为攻击者可以伪造⽤户的请求,由此,抵御CSRF攻击的关键在于:在请求中放⼊攻击者不能伪造的信息。例如可以在HTTP请求中以参数的形式加⼊⼀个随机产⽣的token,并在服务器端验证token,如果请求中没有token或者token的内容不正确,则认为该请求可能是CSRF攻击从⽽拒绝该请求。
六、CSRF常用构造内容
1、GET类型:
2、POST类型的CSRF
表单类型 POC构造:
JSON类型 POC构造:
作者:京东物流 范文君
来源:京东云开发者社区 自猿其说Tech 转载请注明来源
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
深圳一公司奖励程序员“黄金键帽”,价值近 2 万元
2023年10月24日,被众多科技公司和业内人士称为“程序员节”。当天,深圳一公司奖励员工“黄金键帽”。 据称这款空格键键帽是 40g 黄金,价值近 2 万元。 △“黄金C键”是该公司去年的奖励 获得奖励程序员根据代码行数排名和部门推举共同选出,最具分量的“黄金空格键”奖励给有效代码量最多的程序员。
- 下一篇
Java模块化应用实践之精简JRE | 京东云技术团队
导语 Java9及以后的版本引入了模块化特性,但是直到今天JDK21都发布了,依然没有被大量使用起来,那么这个特性就真的没啥意义了吗? 别忘了,Java本身可是把模块化做到了极致的,所以可以利用这个特性对JRE本身进行定制化或者精简化。 由于平时偶尔会开发一些Java的客户端应用,这时精简JRE的需求就凸显出来,让自己的程序带着最精简的JRE到处运行。 实际实践了一段时间之后发现“真香!” 现在把“利用Java模块化精简JRE”的方法和经验分享给大家。 案例项目 这是我的一个个人开源项目:MooInfo 项目地址:https://github.com/rememberber/MooInfo 项目结构如下: 一、找出项目依赖的模块 1、maven编译,打包项目,打包依赖jar到libs 2、使用新版JDK自带的jdeps找出依赖的模块 上命令:C:\Users\zhoubo9\.jdks\corretto-17.0.8.1\bin\jdeps -q --multi-release 17 --ignore-missing-deps --print-module-deps D:\IdeaPr...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- 设置Eclipse缩进为4个空格,增强代码规范