当前位置:首页 > 黑客技术 > 正文内容

OWASP TOP 10之怎么防护CSRF进犯

访客4年前 (2021-04-16)黑客技术767

0x00 什么是CSRF

CSRF(Cross-site request forgery跨站恳求假造,也被称为“One Click Attack”或许Session Riding,一般缩写为CSRF或许XSRF,是一种对网站的歹意运用。尽管听起来像跨站脚本(XSS),但它与XSS十分不同,而且进犯办法简直相左。XSS运用站点内的信赖用户,而CSRF则经过假装来自受信赖用户的恳求来运用受信赖的网站。与XSS进犯比较,CSRF进犯往往不大盛行(因而对其进行防备的资源也适当稀疏)和难以防备,所以被以为比XSS更具危险性。

理论上来说,CSRF比XSS更为遍及,也更简单被疏忽。CSRF之所以简单难以防备,是由于这种进犯彻底以用户的身份履行,而使用程序和浏览器往往无法判别这是CSRF进犯仍是合法的HTTP恳求。

OWASP TOP 10是这样描述的

防止跨站恳求假造,一般需求在每个HTTP恳求中添加一个不行猜测的令牌,这种令牌至少应该对每一个用户会话来说是仅有的。

最好的办法是将独有的令牌包含在一个躲藏字段中。这将使得该令牌经过HTTP恳求体发送,防止其包含在URL中然后被露出出来。 该独有令牌相同能够包含在URL中或作为一个URL参数。可是这种办法的巨大危险在于:URL会露出给进犯者,这样隐秘令牌也会被走漏。

OWASP的CSRF Guard能够同来在JAVA EE,.NET,orPHP使用程序中主动参加这种令牌。OWASP的ESAPI包含了多种开发者能够运用的办法来防止CSRF缝隙

要求用户从头认证或许证明他们是一个实在的用户也能够防护CSRF进犯。

0x01 怎么查验是否存在CSRF

那么,怎么判别是否存在CSRF缝隙呢?

检测使用程序是否存在该缝隙的办法是查看每个衔接和表单都供给了不行猜测的CSRF令牌。没有这样的令牌,进犯者就能够假造歹意恳求。另一种防护的办法是要求用户证明他们是实在用户的办法(比方:CAPTCHA)。要点重视那些调用能够改动状况功用和链接的表格,由于他们是跨站恳求假造进犯的最重要的方针。

由于多步买卖并不具有内涵的防进犯才能,因而咱们需求检测这些买卖。进犯者能容易运用多个标签或JavaScript假造一系列恳求

请注意:会话cookie、源IP地址和其他浏览器主动发送的信息不能作为防进犯令牌,由于这些信息现已包含在假造的恳求中。

OWASP的CSRF测验东西有助于生成测验事例,可用于展现跨站恳求假造缝隙的损害。

接下来咱们评论CSRF的防护办法

现在,防护CSRF进犯的办法主要有如下的几种:

运用POST办法代替GET 验证HTTP Referer 验证码 运用token

0x02 运用POST代替GET

程序员乱用$_REQUEST办法来获取外部数据,毋容置疑是导致CSRF众多的原因之一。因而,在开发过程中,要合理选用POST、GET办法,尽量运用POST代替GET办法提交和修正数据,这样能够在必定程度上防止CSRF

尽管运用POST代替GET操作的办法不能彻底防备CSRF,但会添加进犯的难度。

无论怎么,开发人员都应该时间区分好POST、GET办法的使用场景,便是为了防备也能进步使用程序的安全性。

0x03查验HTTP Referer

别的一种常见的防护CSRF的办法是验证HTTP恳求来历。

在HTTP头中含有一个Referer字段,该字段记录了从HTTP恳求的来历地址,经过查看来历地址是来自站内仍是来自长途的歹意页面,能够处理从站外建议的CSRF进犯,趁便处理不合法盗链、站外提交等问题

一个典型的HTTP Referer的完成办法如下:

1
2
3
4
5
If(eregi(“www.dmzlab.com”, $_SERVER[‘HTTP_REFERER’])) {
      ok();
      }else{
             echo “不合法恳求”
      }

可是,这种办法相同有缺点。由于HTTP Rreferer是由客户端浏览器发送的,所以能够被修正和假造。现在现已有一些办法和东西能够恣意篡改Referer的值。

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106185.html

分享给朋友:

“OWASP TOP 10之怎么防护CSRF进犯” 的相关文章

天猫双十一购物津贴使用规则

每年的双十一玩法都有更新,玩法是越来越多,但仍保留了一些经典玩法,比如购物津贴。那么购物津贴是什么意思呢?天猫双十一购物津贴使用规则是什么?双十一购物津贴可以与哪些优惠叠加?双11购物津贴面值多少元?一起来了解一下吧!    ...

今天的汽油单价 - 今日燃油价格最新行情

4点59元调为5点02元,不同批次价格会有差距,经常堵车路况差的情况下,93#汽油7点71元/升、20:29单位:人民币,情况今天零时起。 92号汽油,0 号柴油每升上调0点04元。更别说不同地区了,92号汽油,上调0点37行情元;93号,最高限价,决定从。 92汽油官方价6点柴油价:6点:5点90...

接单的黑客_可以找黑客黑美团吗

有在网络安全范畴中,猜测网络违法和歹意软件发展趋势好像现已成为了各大网络安全公司的传统了。 为了防止让咱们去阅览上百页的安全陈述,咱们专门整兼并总结了McAfee、Forrester、FiskIQ、卡巴斯基实验室【1、2、3】、WatchGuard、Nuvias、FireEye、CyberArk、F...

黑客了解,中国黑客越南网络apt,黑客网站密码破解工具

6.42 · hxxp[://]offlineearthquake[.]com/file//?id=&n=000 进程三:使命履行及实时数据剖析10.61 2019年6月19日,FireEye Endpoint Security设备上收到了缝隙检测警报。 违规应用程序被辨认为Microso...

有机调和水多少钱一吨 「有机调和水制作过程」

如果说一吨女人是水啊,2,而化学肥料就像人吃的维生素,不能光喝水。 摆放至出水,15种神秘辣椒,用油炸成油炸品,好的纯净水想怎么用就怎么用、稳定供水量。白露节令的露、在本生态系统中有光、过高引起的压力传感的反应原水泵恒定系统供水压力,玉米面4两,制作方法是:将小鱼2调和条。 汽提→大豆原油。手板石膏...

Webshell安全检测篇

0x00 依据流量的检测办法 1.概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分...

评论列表

末屿僚兮
2年前 (2022-07-03)

秘令牌也会被走漏。OWASP的CSRF Guard能够同来在JAVA EE,.NET,orPHP使用程序中主动参加这种令牌。OWASP的ESAPI包含了多种开发者能够运用的办法来防止C

颜于酷腻
2年前 (2022-07-03)

程序的安全性。0x03查验HTTP Referer别的一种常见的防护CSRF的办法是验证HTTP恳求来历。在HTTP头中含有一个Referer字段,该字段记录了从HTTP恳求的来历地址,经过查看来历地址是来自站内仍是来自长途的歹意页面,能够处理从站外建议的CSRF进

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。