CSRF攻击技术浅析.pdf

1、No.4Vol.35Journal of ShijiazhuangUniversity of Applied Technology第35卷第4期Aug.2023石家庄职业技术学院学报2023年8 月文章编号：10 0 9-48 7 3（2 0 2 3)0 4-0 0 2 9-0 4CSRF攻击技术浅析杨朝升（石家庄职业技术学院信息工程系，河北石家庄050081)摘要：在阐述CSRF攻击原理的基础上，结合攻击案例剖析CSRF的攻击过程，提出针对性的防护手段，如验证码、referer和token，同时建议抓住CSRF攻击本质，利用“不可预测性原则”将涉及重要业务过程的参数进行加密或随机数处理，让攻

2、击者无法构造出参数值，从而达到有效防御的目的。关键词：CSRF；攻击；防护；应用程序中图分类号：TP393.08文献标志码：A跨站请求伪造（CSRF）最早在2 0 0 0 年被国外的研究人员提出，国内直到2 0 0 6 年才被提及和研究.2 0 0 8 年，CSRF攻击方式开始升级，主要通过虫脚本的方式在大型社交类应用程序中泛滥，产生了很大的影响.尽管CSRF的危害很大，但是很多开发者和安全从业人员对其仍然不够重视，使得很多Web系统对CSRF防备不足.CSRF是一种危害大且非常隐蔽的攻击方式，在安全界被称为“沉睡的巨人”，连续多年位于OWASP（全球知名的Web安全研究组织）提供的十大Web

3、安全问题前列.本文通过分析CSRF的渗透攻击过程，提出避免遭受CSRF攻击的防御手段，以期为维护网络安全提供借鉴.1CSRFF简介目前，黑客攻击已成为非常严重的网络安全问题.伴随着Internet的快速发展和普及，在电子商务、政务系统、医疗平台等领域，Web应用发展迅速.Web技术虽然给各行各业带来了便利和发展，但针对Web系统的攻击也层出不穷.许多黑客甚至可以突破SSL加密、防火墙及人侵检测系统攻人Web应用网站的内部，窃取、篡改信息.而利用browser漏洞及黑客攻击方法，很容易获取Web应用系统中存储的用户资料，如用户名、密码及其他保密信息.攻击手段和过程也趋于工具化、流程化.OWASP

4、提供的top10Web安全问题列表见表1.表1OWASP提供的top10Web安全问题列表排序安全问题1Cross SiteScripting(XSS)2Injection Flaws(SQL Injection,Command Injection)3Malicious File Execution4InsecureDirectObjectReference5Cross SiteRequest Forgery(CSRF)6Information Leakage and Improper Error Handling7Broken Authentication and Session Manag

5、ement8InsecureCryptographic Storage9Insecure Communications10Failure to Restrict URL Access由表1可知，在OWASP统计的所有安全威胁中，CSRF攻击是常见的Web安全攻击类型之一.Web程序提供了友好的用户交互界面，正常合法的用户通过GET或者POST表单，将合法请求数据传送给Web程序，但是Web程序与用户之间的合法会话却可以被攻击者通过browser漏洞和恶意script劫持，甚至伪造受害者的请求数据.CSRF即是伪造受害者端请求的一种攻击方式，按照OWASP的定义，CSRF攻击时会迫使某个登录的浏

6、览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，让人侵者获得利益。这虽然像跨站脚本攻击（XSS），但它与XSS不同.XSS收稿日期：2 0 2 2-12-0 2作者简介：杨朝升（19 8 6-），男，石家庄职业技术学院讲师，研究方向：网络安全第3 5卷石家庄职业技术学院学报30通常攻击客户端即browser，而CSRF则主要攻击server,CSRF伪造的业务流程会利用合法用户的身份达成攻击.XSS攻击原理更简单，流行面更广；而CSRF比较“小众”，但它造成的危害却并不比XSS小，攻击者只要利用如电子邮件或聊天软件发送的链接等就能诱导用户在毫不知情的情况下执行隐藏的非本意操作，例如

7、，如果用户登录网银查看账户余额，在没有退出当前网银系统的情况下去访问某贴吧网站，而攻击者恰好在该贴吧中精心构造了一个恶意链接，通过感兴趣的话题等手段诱使该用户点击该恶意链接，就会让该用户账户中的钱在不知情的情况下被转走.CSRF能够攻击成功的原因在于，重要操作的所有参数都可以被攻击者猜测到.合法请求和CSRF恶意攻击行为的区别见图1.正常业务请求CSRF攻击攻击者构造用户登录A页面恶意表单请求填好A页面表单引诱用户手动点击信息（用户名、密码）伪装的恶意链接点击页面提交，点击链接，发出发出请求B请求B服务器处理服务器处理图1正常请求与CSRF恶意请求的区别2CSRF攻击原理HTTP协议是无状态协

8、议，大部分网站通过cookie识别用户身份，进行session追踪.虽然cook-ie机制解决了HTTP协议的无秩序状态，允许一个用户在访问一个Web系统的多个页面时只进行一次身份认证，提升了用户的浏览网体验，但之后访问网站就会自动带上这个身份标识cookie.如果这期间浏览器被恶意控制并在用户不知情时请求了网站的URL，可能就会执行一些违背用户意愿的操作，如修改个人资料、添加管理员后台密码等.而这并不是用户真正想发出的请求，是伪造请求，这些请求可以从第三方网站提交，即跨站 2 .CSRF并没有使攻击者获取到受害者的cookie值，只是利用受害者本人去点击相关链接，由受害者本人完成CSRF攻击

9、.临时cookie在关闭浏览器后失效，而本地cookie会在到达响应头中expires属性指定的时间后自动失效 3.主流浏览器如火狐、chrome等在进行跨域资源请求时默认允许携带第三方cookie，这就为CS-RF攻击创造了条件.CSRF攻击原理见图2.用户C利用用户名、密码成功地登录社交网站A，网站A会给C颁发一个独一无二的标识C身份的cookie.C和A之间的请求、响应、交互均通过该cookie值来完成身份认证.攻击者B想加A为好友，但A不同意.这时，B想通过攻击手段来实现加好友，于是他研究了一个加好友的HTTP请求操作，即通过本地抓包研究请求，构造出一个链接，当点击这个链接时，就相当于

10、向服务器提交了一次请求，内容是请求的账户将添加B为好友.当B自已提交这个链接请求时，由于请求中带的cookie与服务器颁发给C用户的cook-ie不一致不能实现加好友，这时B将构造的链接通过各种方法诱惑C去点击它（包括发送链接给C点击；在B网站构造XSS，使得C在访问B时，自动触发并发送相关链接），如果C没有退出A网站（这个前提很重要，因为C如果关闭了网站浏览器，则意味着cookie需要重新颁发），却点击了这个构造的链接，这个请求就包含着C的合法cookie，对于服务器A来说，它会认为C发起了一次“添加B为好友”的合法请求，因此会接受这次操作，从而B就达到了加好友的目的。1浏览并登录信任网站A

11、6A不知道5中的请求是C发出的还是B发出的，由于浏览器2验验证通过，在用户C处产生A的cookieWebA会自动带上用户C的Cookie，（信息站点）所以A会根据用户C的权限处理5根据站点B在4中的请求，浏览5的请求，这样B就达到了模器带着2 中的cookie访问站点A拟用户C操作的目的器3用户在没有退出A网站的情况下，用户访问恶意网站BWeb B4站点B要求访问第三方站点A，（恶意站点）发出request请求图2CSRF的攻击原理杨朝升：CSRF攻击技术浅析第4期313CSRF渗透案例与分析3.1CSRF渗透案例说明本案例中，受害者在某个贴吧自己ID下的所有的虚拟货币全部丢失.受害者于一周前

12、在某台机器上登录了一次自已的账号，当时虚拟货币还在，一周后再次登录时发现自已ID下所有的虚拟货币全部丢失.受害者用自已的账号登录贴吧网站后，在未退出当前系统的情况下，又访问了某论坛中的图片消息，当他点击图片消息时，图片并没有显示完全，见图3，受害者并没有在意这张没有加载成功的图片，关闭图片显示后就离开了。Loading.图3恶意图片截图一周后，当受害者再次以自已的账号登录某贴吧网站后，发现虚拟货币全部丢失，受害者认为是自已的机器中了病毒，将杀毒软件升级杀毒后，用不同的浏览器登录该贴吧查看账户的虚拟货币，结果显示的仍是无虚拟货币。3.2CSRF案例分析分析这个案例可知，当受害者点击自已感兴趣的I

13、D链接时，有张图片没显示，于是受害者再次打开那个论坛，并找到当时的贴子，查看了这张图片，发现是圆，查看该图片的属性，发现其地址是：http:/www.explorer.org/tto/xss_post_forward-er.php?woke=http:/passport.*.com/sex=1&email=attack &sdv=&zodiac=o&birth_year=0（省略部分代码）.仔细分析这个地址，发现这是一个精心构造的带有正常网银系统转账业务流程的请求.此请求是恶意的，因为它通过伪造请求数据包并劫持合法用户身份，偷偷地将受害者ID下的所有资产转移给发贴人。由于大多数网站具备cook

14、ie使用时间验证策略.当用户登录网站上自已的账户时，在一段时间内本地计算机不需要再次验证就可以对这个用户进行操作，而当链接出现在SRC（图片的链接）上时，浏览器就会按照本地的cookie去加载这个URL，而网站的cookie是未过期的，所以网站A验证了来源请求的cookie是合法的.而服务器验证用户的身份是通过cookie识别来完成的，所以攻击者盗用了用户的cookie即盗用了用户的身份，以合法用户的身份发起了恶意请求，CSRF攻击就发生了.3.3CSRF攻击可能造成的伤害如果攻击取得成功，CSRF攻击可能造成如下伤害：修改受攻击者在网站的设置（比如员工在公司网站中的ID内容）；修改公司的硬件

15、防火墙设置；使用受攻击者的登录信息在网站中发表评论或留言；通过受攻击者的IP地址发表匿名留言；将资金转移到另一个用户账号中；窃取有价值的资料；运行恶意软件，留下很少或不留下能查明真实攻击者的痕迹；进行股票交易；订阅在线服务等 44CCSRF防御策略(1）通过验证码防御CSRF目前，对于CSRF攻击的防御最基础的方法是强制验证码机制，这也是最简洁有效的.CSRF攻击的原因在于用户在不知情的情况下被动地进行网络请求，利用验证码强制用户与服务器建立有效的交互机制，就能够很好地遏制CSRF攻击，但是在很多场景下需要考虑用户体验的效果，验证码不能随时应用，故验证码机制只能作为辅助手段(2)通过refer

16、er防御CSRF常见的Web业务间往往是有关联的，比如银行转账业务必须在登录成功后才能进行，因此可以通过验证referer即验证当前网页是从哪个页面链接的来防御CSRF攻击，但不是所有的服务器都能保证取得referer，很多服务器出于安全考虑往往限制referer的使用.(3）通过token防御CSRFCSRF攻击之所以能够成功，是因为攻击者可以完全伪造用户的请求，该请求中用户验证信息均存在于cookie中，因此攻击者可以在不知道这些验证信息的情况下直接利用用户的cookie来通过安全验证 5.一般的合法请求需要登录A页面进行表单内容信息的填写，在客户请求A页面等待服务器的响应，服务器返回A页

17、面的内容时，可以在返回的表单中插入一个用户不可见的token隐藏字段，这个字段对应的值是根据一定的算法生成的.用户在填写好表单后提交页面请求B，请求B中就会携带该token值.而当请求再次发生时，就会对请求中的数据进行检查，查看是否有该token值并且是否和之前发送给用户的token值一致，正常的合法请求是一致的，但欣责任编辑：金第3 5卷石家庄职业技术学院学报32是CSRF攻击则不然，由于其没有登录A页面，因此直接对B页面的请求中肯定没有token，这样Web系统就可以判断为CSRF攻击.如果恶意攻击者通过客户端抓包获取到了to-ken,或者通过其他方式从受害者处获取到了to-ken，也不能

18、绕过服务器的检测.首先这个token是根据一定的算法生成的，影响它的因素有源IP、时间等，所以即使获取了受害者的token并加人到请求参数中，由于源IP、时间等不一致，Web系统同样能够识别是否为CSRF攻击.但这种保存token的方法是建立在cookie不会被攻击者截获的前提下的.如果Web系统同时存在XSS漏洞，那么攻击者可以通过XSS来获取cookie，C SR F 防护也会失效.Token实现的CSRF防护原理图见图4.5CSRF防御开发建议(1)对Web应用中的身份标识信息cookie，要尽可能地缩短验证时间，减少cookie暴露的风险.(2)CSRF之所以能够成功，究其原因是重要业

19、务过程中的参数可以被攻击者猜测到,所以建议开发人员重点梳理重要业务中的参数，并对其进行加密或者随机化处理，从而让攻击者无法猜测到真实的参数值。简而言之，通过“不可预测性原则”保护Web系统.参考文献：1吴翰清.白帽子讲WEB安全M.北京：电子工业出版社，2012:120-121.2季凡，方勇，蒲伟，等.CSRF新型利用及防范技术研究 JI.信息安全与通信保密，2 0 13（3）：7 5-7 6.3陈万坡.基于WEB应用程序技术的CSRF攻击与防御技用户请求页面Aserver返回表单响应加入隐藏字段token填写表单，提交请求B页面（携带token）请求经过对token进行校验未通过验证校验通过

20、验证判断为CSRF攻击请求发往server图4Token防护原理图(3）相对于GET提交表单方式，虽然POST也存在安全威胁，但POST提交方式更隐蔽，更安全，建议提交表单业务采用POST方式.(4)在使用过程中，要注意token的保密性，防止token被XSS漏洞泄露，尽量把token写人表单中而不是放在URL中，避免通过referer的方式被窃取术 D.上海：上海交通大学，2 0 15.4DAFYDDSTUTTARD，M A R E U SPI NT O.黑客攻防技术宝典：Web实战篇M.北京：人民邮电出版社，2 0 0 9：2 2-2 4.5张悦，杨学全.基于服务器端CSRF防御模块的设

21、计与实现 J.信息技术与信息化，2 0 14（7）：45-46.An analysis of CSRF attack technologyYANG Zhao-sheng(Department of Information Engineering,Shijiazhuang University of Applied Technology,Shijiazhuang,Hebei 05081,China)Abstract:On the basis of the attack principle of CSRF,this paper analyzes CSRF with illustrative ca-

22、ses,and puts forward protection measures,i.e.,verification code,referer and token.At the same time,it is recommended to grasp the essence of CSRF attack,and use the unpredictability principle to encrypt orapply random number parameters involving business processes,so that attackers could not construct pa-rametervalues.Key words:CSRF;attack;protection;application program